1

Кіберстрахування. Cтрахуємо ризики, але не чекаємо на диво

Перші страхові продукти для покриття збитків від помилок і проблем, пов’язаних з інформаційними технологіями, з’явилися ще у 1980х роках. Пізніше у 90–х роках ці продукти сформували окрему нішеву галузь у страховому бізнесі, і пережили пік своєї популярності в очікуванні та побоюваннях Y2K (помилки, пов’язаної з переходом у 2000, тобто потенційною відмовою обчислювальних технологій, які, з одного боку, могли не сприйняти наступну, після 1999 року, нумерацію). Черговим етапом розвитку стало покриття ризиків, пов’язаних з діяльністю третіх осіб, які призвели до втрати даних, зупинки бізнесу, і т.д. І нарешті, в кінці 2000х, страхування кіберризиків, пов’язаних з власними помилками, необізнаністю співробітників і практично всім, що стосується обчислювальних технологій, завершило цикл розвитку даних продуктів.

На перший погляд, все просто. Це як в автомобільному страхуванні (добровільному) – незалежно від того, хто заподіяв шкоду твоєму автомобілю, отримай компенсацію. З певними умовами. За відсутностю певних обставин. Після проведення відповідного аналізу та інспекції фахівцями. Отже, з кіберстрахуванням все так само.

Для того, щоб застрахувати свої ризики на найбільш вигідних умовах, вам потрібно показати страховику, що ви дбаєте про кібербезпеку і кіберстійкість свого бізнесу. Повертаючись до аналогії з автомобілем, ви повинні надати його для огляду, а при підрахунку тарифу андеррайтери спираються на ряд атрибутів: рік випуску, аварійність, стаж водія, страхова історія та інше. У кіберстрахуванні до вас «завітає» інспекція перед укладенням договору. У кращому випадку вам запропонують заповнити опитувальник, в якому ви самі підтвердите наявність у компанії необхідних заходів і контролів для забезпечення безпеки та зниження потенційних ризиків. Модель передконтрактної перевірки залежить від розміру потенційних страхових виплат, уразливості компанії, а також ймовірності кіберінциденту в компанії або в індустрії, яку вона представляє.

Після визначення поточного стану, страховик, як правило, розробляє індивідуальний тариф (а часто й сам договір), що відповідає конкретному клієнтові. Для великих контрактів залучаються цілі групи експертів, які проводять додаткову оцінку потенційного збитку і найбільш слабких місць у безпеці клієнта. Вже існують «пакетні» продукти, з якими ви можете застрахуватися від однієї або декількох конкретних загроз.

Далі щасливий власник поліса може спокійно жити і розвивати свій бізнес. Але краще не забувати про те, що кібербезпекою потрібно займатися на постійній основі, тому що навіть страховка від загроз з кіберсвіту не врятує, якщо ви не докладатиме зусиль зі свого боку. Що мається на увазі? Те, що заявляючи певний рівень безпеки в компанії (впроваджені політики, програмне забезпечення, охорону фізичного периметру і т.п.) ви отримуєте певний тариф і гарантії від страховика. У разі виникнення кіберінциденту, який призведе до фінансових втрат або втрати іміджу, повної або часткової зупинки бізнесу або іншим, відчутним наслідкам, ніхто не прийде до вас з чеком на потрібну суму. Для початку буде проведено розслідування, яке має показати причини й шляхи виникнення кіберінціденту. Якщо доведуть недбале ставлення клієнта до безпеки – виплати не буде. Якщо клієнт порушував законодавчі або регуляторні норми – виплати теж може не бути. Якщо клієнт не забезпечив належний рівень розуміння своїх співробітників кібербезпеки, тож інцидент стався внаслідок їхньої недбалості – виплати не буде. І так далі.

Отже, приймаючи рішення про страхування кіберризиків у вашій компанії, необхідно розуміти, що це не просто підписання договору. Найбільш ефективним як з фінансової, так і з операційної точки зору, є комплексний підхід, заснований на управлінні ризиками в компанії. Для цього потрібно самотужки або із залученням кваліфікованих консультантів провести аналіз ризиків в компанії і впровадити процеси управління цими ризиками. На підставі аналізу обрати найбільш критичні для бізнесу ризики, які можна «передати» третім особам, тобто застрахувати. Забезпечити наявність необхідних контролів та інструментів забезпечення кібербезпеки у бізнес–процесах, які потрапляють в охоплення даних ризиків. Провести оцінку і тарифікацію разом зі страховиком і продовжувати підвищувати рівень зрілості кібербезпеки компанії. В такому випадку, коли настане відповідний інцидент, ви а) будете напоготові, аби самостійно протистояти загрозі б) будете впевнені в тому, що в процесі атаки і після неї ваша страхова компанія забезпечить заявлену підтримку та матеріальну компенсацію.

Не сприймайте страхування кіберризиків, як задачу вашого страховика або брокера. Такий проект набагато ширше і вимагає уваги керівництва компанії, здебільшого й залучення позаштатних фахівців, щоб провести детальну оцінку і максимально підготуватися, незважаючи на наявність страхового полісу.

Related Posts

card__image

Організації змінюють стратегії з пошуку кіберспеціалістів

Організації все частіше пов’язують кіберзлами з браком навичок, тоді як, згідно нещодавнього звіту Global Cybersecurity Skills Gap Report за 2024 рік від Fortinet, роботодавці високо цінують сертифікати як підтвердження поточних навичок і знань у сфері кібербезпеки.   В рамках дослідження було опитано понад 1850 осіб, які приймають рішення у сфері ІТ та кібербезпеки. Було виявлено, […]

card__image

Половину фахівців з кібербезпеки очікує вигоряння протягом наступних 12 місяців

MultiTeam Solutions, провідна компанія з розвитку командної роботи в кібербезпеці з акцентом на потреби людей, поділилася тривожною статистикою: половина фахівців з кібербезпеки очікують, що протягом наступного року вони відчуватимуть виснаження. Ця інформація викладена в новому звіті “Stress & Burnout in Cybersecurity: The Risk of a Thousand Papercuts» на основі опитування 173 міжнародних фахівців з кібербезпеки. […]

card__image

Атаки на ланцюги постачання є головною кіберзагрозою до 2030 року – ENISA

Агентство Європейського Союзу з питань мережевої та інформаційної безпеки (European Union Agency for Network and Information Security, ENISA ) прогнозує, що ланцюги постачань ПЗ посідають перше місце серед 10 головних кіберзагроз до 2030 року. Тобто атаки на ланцюги постачань програмного забезпечення є найбільшою загрозою, з якою можуть зіткнутися організації ЄС до 2030 року, згідно з […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *