Перші страхові продукти для покриття збитків від помилок і проблем, пов’язаних з інформаційними технологіями, з’явилися ще у 1980х роках. Пізніше у 90–х роках ці продукти сформували окрему нішеву галузь у страховому бізнесі, і пережили пік своєї популярності в очікуванні та побоюваннях Y2K (помилки, пов’язаної з переходом у 2000, тобто потенційною відмовою обчислювальних технологій, які, з одного боку, могли не сприйняти наступну, після 1999 року, нумерацію). Черговим етапом розвитку стало покриття ризиків, пов’язаних з діяльністю третіх осіб, які призвели до втрати даних, зупинки бізнесу, і т.д. І нарешті, в кінці 2000х, страхування кіберризиків, пов’язаних з власними помилками, необізнаністю співробітників і практично всім, що стосується обчислювальних технологій, завершило цикл розвитку даних продуктів.
На перший погляд, все просто. Це як в автомобільному страхуванні (добровільному) – незалежно від того, хто заподіяв шкоду твоєму автомобілю, отримай компенсацію. З певними умовами. За відсутностю певних обставин. Після проведення відповідного аналізу та інспекції фахівцями. Отже, з кіберстрахуванням все так само.
Для того, щоб застрахувати свої ризики на найбільш вигідних умовах, вам потрібно показати страховику, що ви дбаєте про кібербезпеку і кіберстійкість свого бізнесу. Повертаючись до аналогії з автомобілем, ви повинні надати його для огляду, а при підрахунку тарифу андеррайтери спираються на ряд атрибутів: рік випуску, аварійність, стаж водія, страхова історія та інше. У кіберстрахуванні до вас «завітає» інспекція перед укладенням договору. У кращому випадку вам запропонують заповнити опитувальник, в якому ви самі підтвердите наявність у компанії необхідних заходів і контролів для забезпечення безпеки та зниження потенційних ризиків. Модель передконтрактної перевірки залежить від розміру потенційних страхових виплат, уразливості компанії, а також ймовірності кіберінциденту в компанії або в індустрії, яку вона представляє.
Після визначення поточного стану, страховик, як правило, розробляє індивідуальний тариф (а часто й сам договір), що відповідає конкретному клієнтові. Для великих контрактів залучаються цілі групи експертів, які проводять додаткову оцінку потенційного збитку і найбільш слабких місць у безпеці клієнта. Вже існують «пакетні» продукти, з якими ви можете застрахуватися від однієї або декількох конкретних загроз.
Далі щасливий власник поліса може спокійно жити і розвивати свій бізнес. Але краще не забувати про те, що кібербезпекою потрібно займатися на постійній основі, тому що навіть страховка від загроз з кіберсвіту не врятує, якщо ви не докладатиме зусиль зі свого боку. Що мається на увазі? Те, що заявляючи певний рівень безпеки в компанії (впроваджені політики, програмне забезпечення, охорону фізичного периметру і т.п.) ви отримуєте певний тариф і гарантії від страховика. У разі виникнення кіберінциденту, який призведе до фінансових втрат або втрати іміджу, повної або часткової зупинки бізнесу або іншим, відчутним наслідкам, ніхто не прийде до вас з чеком на потрібну суму. Для початку буде проведено розслідування, яке має показати причини й шляхи виникнення кіберінціденту. Якщо доведуть недбале ставлення клієнта до безпеки – виплати не буде. Якщо клієнт порушував законодавчі або регуляторні норми – виплати теж може не бути. Якщо клієнт не забезпечив належний рівень розуміння своїх співробітників кібербезпеки, тож інцидент стався внаслідок їхньої недбалості – виплати не буде. І так далі.
Отже, приймаючи рішення про страхування кіберризиків у вашій компанії, необхідно розуміти, що це не просто підписання договору. Найбільш ефективним як з фінансової, так і з операційної точки зору, є комплексний підхід, заснований на управлінні ризиками в компанії. Для цього потрібно самотужки або із залученням кваліфікованих консультантів провести аналіз ризиків в компанії і впровадити процеси управління цими ризиками. На підставі аналізу обрати найбільш критичні для бізнесу ризики, які можна «передати» третім особам, тобто застрахувати. Забезпечити наявність необхідних контролів та інструментів забезпечення кібербезпеки у бізнес–процесах, які потрапляють в охоплення даних ризиків. Провести оцінку і тарифікацію разом зі страховиком і продовжувати підвищувати рівень зрілості кібербезпеки компанії. В такому випадку, коли настане відповідний інцидент, ви а) будете напоготові, аби самостійно протистояти загрозі б) будете впевнені в тому, що в процесі атаки і після неї ваша страхова компанія забезпечить заявлену підтримку та матеріальну компенсацію.
Не сприймайте страхування кіберризиків, як задачу вашого страховика або брокера. Такий проект набагато ширше і вимагає уваги керівництва компанії, здебільшого й залучення позаштатних фахівців, щоб провести детальну оцінку і максимально підготуватися, незважаючи на наявність страхового полісу.
