Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, которые, вроде как, могли не воспринять следующую, после 1999, нумерацию). Следующим этапом развития стало покрытие рисков, связанных с деятельностью третьих лиц, и приведшее к потерям данных, остановке бизнеса и прочему подобному. И, наконец в конце 2000х, страхование киберрисков, связанных с собственными ошибками, недобросовестностью собственных сотрудников и вообще, практически всем, что связано с вычислительными технологиями, завершило этот цикл развития данных продуктов.
На первый взгляд, все просто. Это как в автомобильном страховании (добровольном), неважно кто причинил ущерб твоему автомобилю, получи компенсацию. С определенными условиями. При отсутствии определенных обстоятельств. После проведения соответствующего анализа и инспекции специалистами. Что же, с киберстрахованием все обстоит точно так же.
Для того, чтобы застраховать свои риски с наиболее выгодными условиями, вам нужно показать страховщику, что вы заботитесь о кибербезопасности и киберустойчивости своего бизнеса. Возвращаясь к аналогии с автомобилем, вы должны предоставить его для осмотра, а при подсчете тарифа андеррайтеры опираются на ряд атрибутов: год выпуска, аварийность, стаж водителя, страховая история и прочее. В киберстраховании, к вам «в гости» перед заключением договора придет инспекция. В лучшем случае вам предложат заполнить опросник, в котором вы сами подтвердите наличие в компании необходимых мер и контролей для обеспечения безопасности и снижения потенциальных рисков. Модель предконтрактной проверки зависит от размера потенциальных страховых выплат, уязвимости компании, а также вероятности киберинцидента в компании или в индустрии, которую она представляет.
После определения текущего состояния, страховщик, как правило, разрабатывает индивидуальный тариф (а зачастую и сам договор), подходящий конкретному клиенту. Для особо крупных контрактов привлекаются целые группы экспертов, которые проводят дополнительную оценку потенциального ущерба и наиболее слабых мест в безопасности клиента. Уже существуют и «пакетные» продукты, с которыми вы можете застраховаться от одной или нескольких конкретных угроз.
А дальше счастливый обладатель полиса может спокойно жить и развивать свой бизнес. Но лучше не забывать о том, что кибербезопасностью нужно заниматься на постоянной основе, потому что даже страховка от угроз из кибермира не спасет, если вы не покажете должных усилий со своей стороны. Что имеется в виду? То, что заявляя определенный уровень безопасности в компании (внедренные политики, программное обеспечение, охрану физического периметра и т.д.) вы получаете определенный тариф и гарантии от страховщика. В случае возникновения киберинцидента, который приведет к финансовым потерям или потере имиджа, полной или частичной остановке бизнеса или другим, ощутимым, последствиям, никто не прибежит к вам с чеком на нужную сумму. Для начала будет проведено расследование, которое должно показать причины и пути наступления киберинцидента. Если будет доказано халатное отношение клиента к безопасности – выплаты не будет. Если клиент будет нарушать законодательные или регуляторные нормы – выплаты тоже может не быть. Если клиент не обеспечил должный уровень понимания своих сотрудников кибербезопасности и инцидент произошел как следствие их халатности – выплаты не будет. И так далее.
Поэтому, принимая решение о страховании киберрисков в вашей компании, необходимо понимать, что это не просто подписание договора. Наиболее эффективным, как с финансовой, так и с операционной точки зрения, является комплексный подход, основанный на управлении рисками в компании. Для этого нужно своими силами, или с привлечением квалифицированных консультантов провести анализ рисков в компании и внедрить процессы управления этими рисками. На основании анализа, выбрать наиболее критичные для бизнеса риски, которые можно «передать» третьим лицам, то есть застраховать. Обеспечить наличие необходимых контролей и инструментов обеспечения кибербезопасности в бизнес–процессах, которые попадают в охват данных рисков. Провести оценку и тарификацию вместе со страховщиком и продолжать повышать уровень зрелости кибербезопасности компании. В таком случае, когда наступит соответствующий инцидент, вы а) будете во всеоружии, чтобы самостоятельно противостоять угрозе б) будете уверены в том, что в процессе атаки и после нее ваша страховая компания обеспечит заявленную поддержку и материальную компенсацию.
Не воспринимайте страхование киберрисков, как задачу вашего страховщика или брокера. Такой проект, намного шире и требует внимания руководства компании, а, в большинстве случаев, и привлечения компетенций со стороны, чтобы провести детальную оценку и подготовиться ко всему, неважно пригодится страховой полис или нет.