1

Киберстрахование. Cтрахуем риски, но не ждем чуда

Первые страховые продукты для покрытия ущерба от ошибок и проблем, связанных с информационными технологиями, появились еще в 1980х годах. Позже в 90–х годах эти продукты сформировали отдельную нишевую отрасль в страховом бизнесе, и пережили пик своей популярности в ожидании и страхе от Y2K (ошибки, связанной с переходом в 2000 год и потенциальным отказом вычислительных технологий, которые, вроде как, могли не воспринять следующую, после 1999, нумерацию). Следующим этапом развития стало покрытие рисков, связанных с деятельностью третьих лиц, и приведшее к потерям данных, остановке бизнеса и прочему подобному. И, наконец в конце 2000х, страхование киберрисков, связанных с собственными ошибками, недобросовестностью собственных сотрудников и вообще, практически всем, что связано с вычислительными технологиями, завершило этот цикл развития данных продуктов.

На первый взгляд, все просто. Это как в автомобильном страховании (добровольном), неважно кто причинил ущерб твоему автомобилю, получи компенсацию. С определенными условиями. При отсутствии определенных обстоятельств. После проведения соответствующего анализа и инспекции специалистами. Что же, с киберстрахованием все обстоит точно так же.

Для того, чтобы застраховать свои риски с наиболее выгодными условиями, вам нужно показать страховщику, что вы заботитесь о кибербезопасности и киберустойчивости своего бизнеса. Возвращаясь к аналогии с автомобилем, вы должны предоставить его для осмотра, а при подсчете тарифа андеррайтеры опираются на ряд атрибутов: год выпуска, аварийность, стаж водителя, страховая история и прочее. В киберстраховании, к вам «в гости» перед заключением договора придет инспекция. В лучшем случае вам предложат заполнить опросник, в котором вы сами подтвердите наличие в компании необходимых мер и контролей для обеспечения безопасности и снижения потенциальных рисков. Модель предконтрактной проверки зависит от размера потенциальных страховых выплат, уязвимости компании, а также вероятности киберинцидента в компании или в индустрии, которую она представляет.

После определения текущего состояния, страховщик, как правило, разрабатывает индивидуальный тариф (а зачастую и сам договор), подходящий конкретному клиенту. Для особо крупных контрактов привлекаются целые группы экспертов, которые проводят дополнительную оценку потенциального ущерба и наиболее слабых мест в безопасности клиента. Уже существуют и «пакетные» продукты, с которыми вы можете застраховаться от одной или нескольких конкретных угроз.

А дальше счастливый обладатель полиса может спокойно жить и развивать свой бизнес. Но лучше не забывать о том, что кибербезопасностью нужно заниматься на постоянной основе, потому что даже страховка от угроз из кибермира не спасет, если вы не покажете должных усилий со своей стороны. Что имеется в виду? То, что заявляя определенный уровень безопасности в компании (внедренные политики, программное обеспечение, охрану физического периметра и т.д.) вы получаете определенный тариф и гарантии от страховщика. В случае возникновения киберинцидента, который приведет к финансовым потерям или потере имиджа, полной или частичной остановке бизнеса или другим, ощутимым, последствиям, никто не прибежит к вам с чеком на нужную сумму. Для начала будет проведено расследование, которое должно показать причины и пути наступления киберинцидента. Если будет доказано халатное отношение клиента к безопасности – выплаты не будет. Если клиент будет нарушать законодательные или регуляторные нормы – выплаты тоже может не быть. Если клиент не обеспечил должный уровень понимания своих сотрудников кибербезопасности и инцидент произошел как следствие их халатности – выплаты не будет. И так далее.

Поэтому, принимая решение о страховании киберрисков в вашей компании, необходимо понимать, что это не просто подписание договора. Наиболее эффективным, как с финансовой, так и с операционной точки зрения, является комплексный подход, основанный на управлении рисками в компании. Для этого нужно своими силами, или с привлечением квалифицированных консультантов провести анализ рисков в компании и внедрить процессы управления этими рисками. На основании анализа, выбрать наиболее критичные для бизнеса риски, которые можно «передать» третьим лицам, то есть застраховать. Обеспечить наличие необходимых контролей и инструментов обеспечения кибербезопасности в бизнес–процессах, которые попадают в охват данных рисков. Провести оценку и тарификацию вместе со страховщиком и продолжать повышать уровень зрелости кибербезопасности компании. В таком случае, когда наступит соответствующий инцидент, вы а) будете во всеоружии, чтобы самостоятельно противостоять угрозе б) будете уверены в том, что в процессе атаки и после нее ваша страховая компания обеспечит заявленную поддержку и материальную компенсацию.

Не воспринимайте страхование киберрисков, как задачу вашего страховщика или брокера. Такой проект, намного шире и требует внимания руководства компании, а, в большинстве случаев, и привлечения компетенций со стороны, чтобы провести детальную оценку и подготовиться ко всему, неважно пригодится страховой полис или нет.

Related Posts

card__image

Cyberattacks on Critical Infrastructure: The Digital Battlefield

Извините, этот текст доступен только на “en” и “ua”. Cyber threats are escalating in critical sectors like energy and healthcare. Recent warnings from CISA, NSA, and FBI highlight vulnerabilities exploited by Chinese-linked operations.   In today’s world, it’s hard to miss the constant buzz about cyber threats, especially when they hit critical infrastructure and sectors […]

card__image

Киберугрозы растут, а специалистов становится все меньше

Ключевым вопросом исследования рынка труда в сфере кибербезопасности ISC2 2024, является необходимость для организаций расширить возможности для развития кадрового потенциала в этой сфере, а также предоставить больше возможностей для новичков войти в профессию и развивать необходимые навыки при поддержке опытных коллег.   Согласно новым данным, глобальный рост числа специалистов по кибербезопасности впервые за шесть лет […]

card__image

Количество DDoS-атак увеличивается

Мониторинг развивающихся тенденций DDoS важен для предвидения угроз и адаптации стратегий защиты. Комплексный отчет Gcore Radar за первое полугодие 2024 года предоставляет подробную информацию по DDoS-атакам, демонстрируя изменения в моделях атак и более широком ландшафте киберугроз. Ниже мы делимся основнвыми инсайтами.   Ключевые выводы   Количество DDoS-атак в первом полугодии 2024 года выросло на 46% […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *