1

Кіберстрахування. Cтрахуємо ризики, але не чекаємо на диво

Перші страхові продукти для покриття збитків від помилок і проблем, пов’язаних з інформаційними технологіями, з’явилися ще у 1980х роках. Пізніше у 90–х роках ці продукти сформували окрему нішеву галузь у страховому бізнесі, і пережили пік своєї популярності в очікуванні та побоюваннях Y2K (помилки, пов’язаної з переходом у 2000, тобто потенційною відмовою обчислювальних технологій, які, з одного боку, могли не сприйняти наступну, після 1999 року, нумерацію). Черговим етапом розвитку стало покриття ризиків, пов’язаних з діяльністю третіх осіб, які призвели до втрати даних, зупинки бізнесу, і т.д. І нарешті, в кінці 2000х, страхування кіберризиків, пов’язаних з власними помилками, необізнаністю співробітників і практично всім, що стосується обчислювальних технологій, завершило цикл розвитку даних продуктів.

На перший погляд, все просто. Це як в автомобільному страхуванні (добровільному) – незалежно від того, хто заподіяв шкоду твоєму автомобілю, отримай компенсацію. З певними умовами. За відсутностю певних обставин. Після проведення відповідного аналізу та інспекції фахівцями. Отже, з кіберстрахуванням все так само.

Для того, щоб застрахувати свої ризики на найбільш вигідних умовах, вам потрібно показати страховику, що ви дбаєте про кібербезпеку і кіберстійкість свого бізнесу. Повертаючись до аналогії з автомобілем, ви повинні надати його для огляду, а при підрахунку тарифу андеррайтери спираються на ряд атрибутів: рік випуску, аварійність, стаж водія, страхова історія та інше. У кіберстрахуванні до вас «завітає» інспекція перед укладенням договору. У кращому випадку вам запропонують заповнити опитувальник, в якому ви самі підтвердите наявність у компанії необхідних заходів і контролів для забезпечення безпеки та зниження потенційних ризиків. Модель передконтрактної перевірки залежить від розміру потенційних страхових виплат, уразливості компанії, а також ймовірності кіберінциденту в компанії або в індустрії, яку вона представляє.

Після визначення поточного стану, страховик, як правило, розробляє індивідуальний тариф (а часто й сам договір), що відповідає конкретному клієнтові. Для великих контрактів залучаються цілі групи експертів, які проводять додаткову оцінку потенційного збитку і найбільш слабких місць у безпеці клієнта. Вже існують «пакетні» продукти, з якими ви можете застрахуватися від однієї або декількох конкретних загроз.

Далі щасливий власник поліса може спокійно жити і розвивати свій бізнес. Але краще не забувати про те, що кібербезпекою потрібно займатися на постійній основі, тому що навіть страховка від загроз з кіберсвіту не врятує, якщо ви не докладатиме зусиль зі свого боку. Що мається на увазі? Те, що заявляючи певний рівень безпеки в компанії (впроваджені політики, програмне забезпечення, охорону фізичного периметру і т.п.) ви отримуєте певний тариф і гарантії від страховика. У разі виникнення кіберінциденту, який призведе до фінансових втрат або втрати іміджу, повної або часткової зупинки бізнесу або іншим, відчутним наслідкам, ніхто не прийде до вас з чеком на потрібну суму. Для початку буде проведено розслідування, яке має показати причини й шляхи виникнення кіберінціденту. Якщо доведуть недбале ставлення клієнта до безпеки – виплати не буде. Якщо клієнт порушував законодавчі або регуляторні норми – виплати теж може не бути. Якщо клієнт не забезпечив належний рівень розуміння своїх співробітників кібербезпеки, тож інцидент стався внаслідок їхньої недбалості – виплати не буде. І так далі.

Отже, приймаючи рішення про страхування кіберризиків у вашій компанії, необхідно розуміти, що це не просто підписання договору. Найбільш ефективним як з фінансової, так і з операційної точки зору, є комплексний підхід, заснований на управлінні ризиками в компанії. Для цього потрібно самотужки або із залученням кваліфікованих консультантів провести аналіз ризиків в компанії і впровадити процеси управління цими ризиками. На підставі аналізу обрати найбільш критичні для бізнесу ризики, які можна «передати» третім особам, тобто застрахувати. Забезпечити наявність необхідних контролів та інструментів забезпечення кібербезпеки у бізнес–процесах, які потрапляють в охоплення даних ризиків. Провести оцінку і тарифікацію разом зі страховиком і продовжувати підвищувати рівень зрілості кібербезпеки компанії. В такому випадку, коли настане відповідний інцидент, ви а) будете напоготові, аби самостійно протистояти загрозі б) будете впевнені в тому, що в процесі атаки і після неї ваша страхова компанія забезпечить заявлену підтримку та матеріальну компенсацію.

Не сприймайте страхування кіберризиків, як задачу вашого страховика або брокера. Такий проект набагато ширше і вимагає уваги керівництва компанії, здебільшого й залучення позаштатних фахівців, щоб провести детальну оцінку і максимально підготуватися, незважаючи на наявність страхового полісу.

Related Posts

card__image

10Guards: Cyberattacks through social engineering are inevitable

Вибачте цей текст доступний тільки на “Англійська”. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Looking at the posts and comments in our LinkedIn Security Industry Group, it is clear that cybersecurity is a key topic for many of […]

card__image

Черные лебеди, Канарейки и кибербезопасность

Вибачте цей текст доступний тільки на “Російська”. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Кому-то юмор помог стать президентом, а мне он однажды помог на мероприятии Startup Crash Test выиграть бумажную книгу Нассима Талеба «Черный лебедь». В то […]

card__image

Управління ІТ активами – більше, ніж інвентаризація

Інформаційні технології (ІТ) і департаменти, відповідальні за їх експлуатацію в компанії, довгий час сприймали як витрати і тільки. Про те, щоб поєднати «актив» з ІТ, навіть не йшлося. Директори з ІТ звично боролися на нарадах і радах директорів за право на існування і розвиток, оскільки всім заправляли бізнес підрозділи. Минули роки, бізнес оцифрувався і став […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *