1

Кіберстрахування. Cтрахуємо ризики, але не чекаємо на диво

Перші страхові продукти для покриття збитків від помилок і проблем, пов’язаних з інформаційними технологіями, з’явилися ще у 1980х роках. Пізніше у 90–х роках ці продукти сформували окрему нішеву галузь у страховому бізнесі, і пережили пік своєї популярності в очікуванні та побоюваннях Y2K (помилки, пов’язаної з переходом у 2000, тобто потенційною відмовою обчислювальних технологій, які, з одного боку, могли не сприйняти наступну, після 1999 року, нумерацію). Черговим етапом розвитку стало покриття ризиків, пов’язаних з діяльністю третіх осіб, які призвели до втрати даних, зупинки бізнесу, і т.д. І нарешті, в кінці 2000х, страхування кіберризиків, пов’язаних з власними помилками, необізнаністю співробітників і практично всім, що стосується обчислювальних технологій, завершило цикл розвитку даних продуктів.

На перший погляд, все просто. Це як в автомобільному страхуванні (добровільному) – незалежно від того, хто заподіяв шкоду твоєму автомобілю, отримай компенсацію. З певними умовами. За відсутностю певних обставин. Після проведення відповідного аналізу та інспекції фахівцями. Отже, з кіберстрахуванням все так само.

Для того, щоб застрахувати свої ризики на найбільш вигідних умовах, вам потрібно показати страховику, що ви дбаєте про кібербезпеку і кіберстійкість свого бізнесу. Повертаючись до аналогії з автомобілем, ви повинні надати його для огляду, а при підрахунку тарифу андеррайтери спираються на ряд атрибутів: рік випуску, аварійність, стаж водія, страхова історія та інше. У кіберстрахуванні до вас «завітає» інспекція перед укладенням договору. У кращому випадку вам запропонують заповнити опитувальник, в якому ви самі підтвердите наявність у компанії необхідних заходів і контролів для забезпечення безпеки та зниження потенційних ризиків. Модель передконтрактної перевірки залежить від розміру потенційних страхових виплат, уразливості компанії, а також ймовірності кіберінциденту в компанії або в індустрії, яку вона представляє.

Після визначення поточного стану, страховик, як правило, розробляє індивідуальний тариф (а часто й сам договір), що відповідає конкретному клієнтові. Для великих контрактів залучаються цілі групи експертів, які проводять додаткову оцінку потенційного збитку і найбільш слабких місць у безпеці клієнта. Вже існують «пакетні» продукти, з якими ви можете застрахуватися від однієї або декількох конкретних загроз.

Далі щасливий власник поліса може спокійно жити і розвивати свій бізнес. Але краще не забувати про те, що кібербезпекою потрібно займатися на постійній основі, тому що навіть страховка від загроз з кіберсвіту не врятує, якщо ви не докладатиме зусиль зі свого боку. Що мається на увазі? Те, що заявляючи певний рівень безпеки в компанії (впроваджені політики, програмне забезпечення, охорону фізичного периметру і т.п.) ви отримуєте певний тариф і гарантії від страховика. У разі виникнення кіберінциденту, який призведе до фінансових втрат або втрати іміджу, повної або часткової зупинки бізнесу або іншим, відчутним наслідкам, ніхто не прийде до вас з чеком на потрібну суму. Для початку буде проведено розслідування, яке має показати причини й шляхи виникнення кіберінціденту. Якщо доведуть недбале ставлення клієнта до безпеки – виплати не буде. Якщо клієнт порушував законодавчі або регуляторні норми – виплати теж може не бути. Якщо клієнт не забезпечив належний рівень розуміння своїх співробітників кібербезпеки, тож інцидент стався внаслідок їхньої недбалості – виплати не буде. І так далі.

Отже, приймаючи рішення про страхування кіберризиків у вашій компанії, необхідно розуміти, що це не просто підписання договору. Найбільш ефективним як з фінансової, так і з операційної точки зору, є комплексний підхід, заснований на управлінні ризиками в компанії. Для цього потрібно самотужки або із залученням кваліфікованих консультантів провести аналіз ризиків в компанії і впровадити процеси управління цими ризиками. На підставі аналізу обрати найбільш критичні для бізнесу ризики, які можна «передати» третім особам, тобто застрахувати. Забезпечити наявність необхідних контролів та інструментів забезпечення кібербезпеки у бізнес–процесах, які потрапляють в охоплення даних ризиків. Провести оцінку і тарифікацію разом зі страховиком і продовжувати підвищувати рівень зрілості кібербезпеки компанії. В такому випадку, коли настане відповідний інцидент, ви а) будете напоготові, аби самостійно протистояти загрозі б) будете впевнені в тому, що в процесі атаки і після неї ваша страхова компанія забезпечить заявлену підтримку та матеріальну компенсацію.

Не сприймайте страхування кіберризиків, як задачу вашого страховика або брокера. Такий проект набагато ширше і вимагає уваги керівництва компанії, здебільшого й залучення позаштатних фахівців, щоб провести детальну оцінку і максимально підготуватися, незважаючи на наявність страхового полісу.

Related Posts

card__image

Роль людських помилок у кібербезпеці та чого чекати у 2023 році?

Протягом наступного року багато з того, що ми бачимо, буде продовженням вже знайомих багатьом тенденцій. Це означає:   ПРОГРАМИ-ВИМАГАЧІ ЕВОЛЮЦІОНУЮТЬ:   Доки ворожі країни заохочують зловмисників, а вони продовжуватимуть атакувати організації-жертви, які продовжуватимуть сплачувати викупи, не варто очікувати, що програми-вимагачі скоро зникнуть. Скорше за все, зловмисники використовуватимуть дедалі більше інновацій, щоб випереджати захисні засоби та […]

card__image

Загрози для держав, зростання атак нульового дня: Microsoft’s Digital Defense Report 2022

Нещодавно Microsoft опублікувала звіт про цифровий захист за 2022 рік, у якому представлено поточний ландшафт загроз, аналіз першої рашистсько-української гібридної війни, поточний стан кіберзлочинності та надано рекомендації для успішного захисту від майбутніх загроз.   Державні хакерські угруповання стають все більш вагомою загрозою, оскільки вони все частіше атакують об’єкти критичної інфраструктури та швидко використовують уразливості нульового […]

card__image

QA Тестування та тестування безпеки: чому краще робити це разом

Якісне програмне забезпечення, додаток або продукт є результатом високо орієнтованої на процес функції забезпечення якості (QA) у життєвому циклі розробки програмного забезпечення (SDLC — Software Development Life Cycle). Однак іноді його розглядають як доповнення, яке постачається наприкінці, щоб перевірити всі аспекти продукту чи програми перед тим, як зробити її доступною для загального користування чи кінцевого […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься.