Désolé, cet article est seulement disponible en Russe et Ukrainien. Pour le confort de l’utilisateur, le contenu est affiché ci-dessous dans l’une des autres langues disponibles. Vous pouvez cliquer l’un des liens pour changer la langue du site en une autre langue disponible.
Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, которые, вроде как, могли не воспринять следующую, после 1999, нумерацию). Следующим этапом развития стало покрытие рисков, связанных с деятельностью третьих лиц, и приведшее к потерям данных, остановке бизнеса и прочему подобному. И, наконец в конце 2000х, страхование киберрисков, связанных с собственными ошибками, недобросовестностью собственных сотрудников и вообще, практически всем, что связано с вычислительными технологиями, завершило этот цикл развития данных продуктов.
На первый взгляд, все просто. Это как в автомобильном страховании (добровольном), неважно кто причинил ущерб твоему автомобилю, получи компенсацию. С определенными условиями. При отсутствии определенных обстоятельств. После проведения соответствующего анализа и инспекции специалистами. Что же, с киберстрахованием все обстоит точно так же.
Для того, чтобы застраховать свои риски с наиболее выгодными условиями, вам нужно показать страховщику, что вы заботитесь о кибербезопасности и киберустойчивости своего бизнеса. Возвращаясь к аналогии с автомобилем, вы должны предоставить его для осмотра, а при подсчете тарифа андеррайтеры опираются на ряд атрибутов: год выпуска, аварийность, стаж водителя, страховая история и прочее. В киберстраховании, к вам «в гости» перед заключением договора придет инспекция. В лучшем случае вам предложат заполнить опросник, в котором вы сами подтвердите наличие в компании необходимых мер и контролей для обеспечения безопасности и снижения потенциальных рисков. Модель предконтрактной проверки зависит от размера потенциальных страховых выплат, уязвимости компании, а также вероятности киберинцидента в компании или в индустрии, которую она представляет.
После определения текущего состояния, страховщик, как правило, разрабатывает индивидуальный тариф (а зачастую и сам договор), подходящий конкретному клиенту. Для особо крупных контрактов привлекаются целые группы экспертов, которые проводят дополнительную оценку потенциального ущерба и наиболее слабых мест в безопасности клиента. Уже существуют и «пакетные» продукты, с которыми вы можете застраховаться от одной или нескольких конкретных угроз.
А дальше счастливый обладатель полиса может спокойно жить и развивать свой бизнес. Но лучше не забывать о том, что кибербезопасностью нужно заниматься на постоянной основе, потому что даже страховка от угроз из кибермира не спасет, если вы не покажете должных усилий со своей стороны. Что имеется в виду? То, что заявляя определенный уровень безопасности в компании (внедренные политики, программное обеспечение, охрану физического периметра и т.д.) вы получаете определенный тариф и гарантии от страховщика. В случае возникновения киберинцидента, который приведет к финансовым потерям или потере имиджа, полной или частичной остановке бизнеса или другим, ощутимым, последствиям, никто не прибежит к вам с чеком на нужную сумму. Для начала будет проведено расследование, которое должно показать причины и пути наступления киберинцидента. Если будет доказано халатное отношение клиента к безопасности – выплаты не будет. Если клиент будет нарушать законодательные или регуляторные нормы – выплаты тоже может не быть. Если клиент не обеспечил должный уровень понимания своих сотрудников кибербезопасности и инцидент произошел как следствие их халатности – выплаты не будет. И так далее.
Поэтому, принимая решение о страховании киберрисков в вашей компании, необходимо понимать, что это не просто подписание договора. Наиболее эффективным, как с финансовой, так и с операционной точки зрения, является комплексный подход, основанный на управлении рисками в компании. Для этого нужно своими силами, или с привлечением квалифицированных консультантов провести анализ рисков в компании и внедрить процессы управления этими рисками. На основании анализа, выбрать наиболее критичные для бизнеса риски, которые можно «передать» третьим лицам, то есть застраховать. Обеспечить наличие необходимых контролей и инструментов обеспечения кибербезопасности в бизнес–процессах, которые попадают в охват данных рисков. Провести оценку и тарификацию вместе со страховщиком и продолжать повышать уровень зрелости кибербезопасности компании. В таком случае, когда наступит соответствующий инцидент, вы а) будете во всеоружии, чтобы самостоятельно противостоять угрозе б) будете уверены в том, что в процессе атаки и после нее ваша страховая компания обеспечит заявленную поддержку и материальную компенсацию.
Не воспринимайте страхование киберрисков, как задачу вашего страховщика или брокера. Такой проект, намного шире и требует внимания руководства компании, а, в большинстве случаев, и привлечения компетенций со стороны, чтобы провести детальную оценку и подготовиться ко всему, неважно пригодится страховой полис или нет.
