1

Киберстрахование. Cтрахуем риски, но не ждем чуда

Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, которые, вроде как, могли не воспринять следующую, после 1999, нумерацию). Следующим этапом развития стало покрытие рисков, связанных с деятельностью третьих лиц, и приведшее к потерям данных, остановке бизнеса и прочему подобному. И, наконец в конце 2000х, страхование киберрисков, связанных с собственными ошибками, недобросовестностью собственных сотрудников и вообще, практически всем, что связано с вычислительными технологиями, завершило этот цикл развития данных продуктов.

На первый взгляд, все просто. Это как в автомобильном страховании (добровольном), неважно кто причинил ущерб твоему автомобилю, получи компенсацию. С определенными условиями. При отсутствии определенных обстоятельств. После проведения соответствующего анализа и инспекции специалистами. Что же, с киберстрахованием все обстоит точно так же.

Для того, чтобы застраховать свои риски с наиболее выгодными условиями, вам нужно показать страховщику, что вы заботитесь о кибербезопасности и киберустойчивости своего бизнеса. Возвращаясь к аналогии с автомобилем, вы должны предоставить его для осмотра, а при подсчете тарифа андеррайтеры опираются на ряд атрибутов: год выпуска, аварийность, стаж водителя, страховая история и прочее. В киберстраховании, к вам «в гости» перед заключением договора придет инспекция. В лучшем случае вам предложат заполнить опросник, в котором вы сами подтвердите наличие в компании необходимых мер и контролей для обеспечения безопасности и снижения потенциальных рисков. Модель предконтрактной проверки зависит от размера потенциальных страховых выплат, уязвимости компании, а также вероятности киберинцидента в компании или в индустрии, которую она представляет.

После определения текущего состояния, страховщик, как правило, разрабатывает индивидуальный тариф (а зачастую и сам договор), подходящий конкретному клиенту. Для особо крупных контрактов привлекаются целые группы экспертов, которые проводят дополнительную оценку потенциального ущерба и наиболее слабых мест в безопасности клиента. Уже существуют и «пакетные» продукты, с которыми вы можете застраховаться от одной или нескольких конкретных угроз.

А дальше счастливый обладатель полиса может спокойно жить и развивать свой бизнес. Но лучше не забывать о том, что кибербезопасностью нужно заниматься на постоянной основе, потому что даже страховка от угроз из кибермира не спасет, если вы не покажете должных усилий со своей стороны. Что имеется в виду? То, что заявляя определенный уровень безопасности в компании (внедренные политики, программное обеспечение, охрану физического периметра и т.д.) вы получаете определенный тариф и гарантии от страховщика. В случае возникновения киберинцидента, который приведет к финансовым потерям или потере имиджа, полной или частичной остановке бизнеса или другим, ощутимым, последствиям, никто не прибежит к вам с чеком на нужную сумму. Для начала будет проведено расследование, которое должно показать причины и пути наступления киберинцидента. Если будет доказано халатное отношение клиента к безопасности – выплаты не будет. Если клиент будет нарушать законодательные или регуляторные нормы – выплаты тоже может не быть. Если клиент не обеспечил должный уровень понимания своих сотрудников кибербезопасности и инцидент произошел как следствие их халатности – выплаты не будет. И так далее.

Поэтому, принимая решение о страховании киберрисков в вашей компании, необходимо понимать, что это не просто подписание договора. Наиболее эффективным, как с финансовой, так и с операционной точки зрения, является комплексный подход, основанный на управлении рисками в компании. Для этого нужно своими силами, или с привлечением квалифицированных консультантов провести анализ рисков в компании и внедрить процессы управления этими рисками. На основании анализа, выбрать наиболее критичные для бизнеса риски, которые можно «передать» третьим лицам, то есть застраховать. Обеспечить наличие необходимых контролей и инструментов обеспечения кибербезопасности в бизнес–процессах, которые попадают в охват данных рисков. Провести оценку и тарификацию вместе со страховщиком и продолжать повышать уровень зрелости кибербезопасности компании. В таком случае, когда наступит соответствующий инцидент, вы а) будете во всеоружии, чтобы самостоятельно противостоять угрозе б) будете уверены в том, что в процессе атаки и после нее ваша страховая компания обеспечит заявленную поддержку и материальную компенсацию.

Не воспринимайте страхование киберрисков, как задачу вашего страховщика или брокера. Такой проект, намного шире и требует внимания руководства компании, а, в большинстве случаев, и привлечения компетенций со стороны, чтобы провести детальную оценку и подготовиться ко всему, неважно пригодится страховой полис или нет.

Related Posts

card__image

Advanced Cybersecurity Boosts Higher Returns For Shareholders

Извините, этот текст доступен только на “en” и “ua”.   The study by Diligent and Bitsight points to advanced security and strong risk or audit committees as good predictors of an enterprise’s financial success.   Cybersecurity preparedness and financial success are strongly correlated with companies that maintain strong security measures, outperforming peers with only basic […]

card__image

vv

Извините, этот текст доступен только на “en” и “ua”. Over 709 million attempts to access phishing and scam websites in 2023 have been thwarted by Kaspersky’s anti-phishing system, marking a 40% increase compared to the previous year’s figures. Messaging apps, artificial intelligence platforms, social media services, and cryptocurrency exchanges were among the pathways most frequently […]

card__image

Ransomware surges as compliance stumbles – Thales Group

Извините, этот текст доступен только на “en” и “ua”. Thales announced the release of the 2024 Thales Data Threat Report, its annual report on the latest data security threats, trends, and emerging topics based on a survey of nearly 3000 IT and security professionals in 18 countries across 37 industries. This year’s report found that […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *