1

Киберстрахование. Cтрахуем риски, но не ждем чуда

Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, которые, вроде как, могли не воспринять следующую, после 1999, нумерацию). Следующим этапом развития стало покрытие рисков, связанных с деятельностью третьих лиц, и приведшее к потерям данных, остановке бизнеса и прочему подобному. И, наконец в конце 2000х, страхование киберрисков, связанных с собственными ошибками, недобросовестностью собственных сотрудников и вообще, практически всем, что связано с вычислительными технологиями, завершило этот цикл развития данных продуктов.

На первый взгляд, все просто. Это как в автомобильном страховании (добровольном), неважно кто причинил ущерб твоему автомобилю, получи компенсацию. С определенными условиями. При отсутствии определенных обстоятельств. После проведения соответствующего анализа и инспекции специалистами. Что же, с киберстрахованием все обстоит точно так же.

Для того, чтобы застраховать свои риски с наиболее выгодными условиями, вам нужно показать страховщику, что вы заботитесь о кибербезопасности и киберустойчивости своего бизнеса. Возвращаясь к аналогии с автомобилем, вы должны предоставить его для осмотра, а при подсчете тарифа андеррайтеры опираются на ряд атрибутов: год выпуска, аварийность, стаж водителя, страховая история и прочее. В киберстраховании, к вам «в гости» перед заключением договора придет инспекция. В лучшем случае вам предложат заполнить опросник, в котором вы сами подтвердите наличие в компании необходимых мер и контролей для обеспечения безопасности и снижения потенциальных рисков. Модель предконтрактной проверки зависит от размера потенциальных страховых выплат, уязвимости компании, а также вероятности киберинцидента в компании или в индустрии, которую она представляет.

После определения текущего состояния, страховщик, как правило, разрабатывает индивидуальный тариф (а зачастую и сам договор), подходящий конкретному клиенту. Для особо крупных контрактов привлекаются целые группы экспертов, которые проводят дополнительную оценку потенциального ущерба и наиболее слабых мест в безопасности клиента. Уже существуют и «пакетные» продукты, с которыми вы можете застраховаться от одной или нескольких конкретных угроз.

А дальше счастливый обладатель полиса может спокойно жить и развивать свой бизнес. Но лучше не забывать о том, что кибербезопасностью нужно заниматься на постоянной основе, потому что даже страховка от угроз из кибермира не спасет, если вы не покажете должных усилий со своей стороны. Что имеется в виду? То, что заявляя определенный уровень безопасности в компании (внедренные политики, программное обеспечение, охрану физического периметра и т.д.) вы получаете определенный тариф и гарантии от страховщика. В случае возникновения киберинцидента, который приведет к финансовым потерям или потере имиджа, полной или частичной остановке бизнеса или другим, ощутимым, последствиям, никто не прибежит к вам с чеком на нужную сумму. Для начала будет проведено расследование, которое должно показать причины и пути наступления киберинцидента. Если будет доказано халатное отношение клиента к безопасности – выплаты не будет. Если клиент будет нарушать законодательные или регуляторные нормы – выплаты тоже может не быть. Если клиент не обеспечил должный уровень понимания своих сотрудников кибербезопасности и инцидент произошел как следствие их халатности – выплаты не будет. И так далее.

Поэтому, принимая решение о страховании киберрисков в вашей компании, необходимо понимать, что это не просто подписание договора. Наиболее эффективным, как с финансовой, так и с операционной точки зрения, является комплексный подход, основанный на управлении рисками в компании. Для этого нужно своими силами, или с привлечением квалифицированных консультантов провести анализ рисков в компании и внедрить процессы управления этими рисками. На основании анализа, выбрать наиболее критичные для бизнеса риски, которые можно «передать» третьим лицам, то есть застраховать. Обеспечить наличие необходимых контролей и инструментов обеспечения кибербезопасности в бизнес–процессах, которые попадают в охват данных рисков. Провести оценку и тарификацию вместе со страховщиком и продолжать повышать уровень зрелости кибербезопасности компании. В таком случае, когда наступит соответствующий инцидент, вы а) будете во всеоружии, чтобы самостоятельно противостоять угрозе б) будете уверены в том, что в процессе атаки и после нее ваша страховая компания обеспечит заявленную поддержку и материальную компенсацию.

Не воспринимайте страхование киберрисков, как задачу вашего страховщика или брокера. Такой проект, намного шире и требует внимания руководства компании, а, в большинстве случаев, и привлечения компетенций со стороны, чтобы провести детальную оценку и подготовиться ко всему, неважно пригодится страховой полис или нет.

Related Posts

card__image

Как искусственный интеллект помог киберпреступникам

Необычный случай с участием искусственного интеллекта произошел в Британии. Киберпреступники использовали программное обеспечение на основе AI, чтобы подделать голос руководителя, и попросили перевести $243 тыс. Это сработало. По словам генерального директора пострадавшей британской энергетической компании, он действительно подумал, что разговаривает по телефону со своим боссом — главным исполнительным директором немецкой материнской компании. Звонивший попросил перечислить […]

card__image

Stuxnet — одна из самых сложных кибератак в истории

Многие годы атака Stuxnet, разработанная для саботажа иранской ядерной программы, оставалась загадкой и будоражила фантазию людей. Как же США и Израиль внедрили свои вредоносные программы в компьютерные системы завода по обогащению урана, если он был непреступен? Stuxnet задействовали в 2007 году, чем фактически положили начало эпохе цифровых воин. Атака стала возможной благодаря иранскому инженеру, завербованному […]

card__image

Названы главные угрозы умных городов

Инвестиции в кибербезопасность умных городов «сильно отстают», тем самым создавая благоприятную почву для будущих уязвимостей экосистемы IoT, предупреждают исследователи ABI Research.   В 2024 году на финансовые, информационно-коммуникационные технологии (ИКТ) и оборонную промышленность будет приходиться 56% от прогнозируемых общих затрат на кибербезопасность критической инфраструктуры США. Оставшиеся 44% будут распределены между предприятиями в сфере энергетики, здравоохранения, […]

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *