Киберстрахование, как инструмент управления рисками

Вы можете не знать, кто такие хакеры, зато хакеры знают о вас все. Если ваш бизнес напрямую или косвенно связан с интернетом или вы храните важные данные в компьютере, на серверах или в облачном хранилище – вы в зоне риска. А что, если утечка этих данных может повлечь за собой финансовые и репутационные потери или вовсе разрушить ваш бизнес? Пренебрегать этим вопросом и думать, что вас это не коснется, точно не стоит.

С января по май 2023 года число преступлений, совершенных с использованием информационно-телекоммуникационных технологий в России выросло на 27,5 % по сравнению с аналогичным периодом предыдущего года. Это следует из доклада МВД о состоянии преступности в стране. За последние 5 лет число таких преступлений увеличилось в 3 раза, до 522 тыс. случаев в прошедшем году.

По данным исследований компании Positive Technologies 84% всех атак приходятся на юридических лиц. Наиболее частыми последствиями успешных кибератак на организации становятся утечки конфиденциальной информации (51%) и нарушения основной деятельности (44%). Наблюдаются также и крупные перебои в работе бизнеса и критически значимой инфраструктуры, масштабные утечки данных. 

Способы работы злоумышленников постоянно развиваются, появляются новые схемы обмана пользователей. В связи с этим возрастает уровень риска и потребность в улучшенной защите.

Надеюсь, что информационная безопасность для вас не новое понятие, и вы знаете, что такое средства защиты от киберугроз, а, возможно, даже разбираетесь в них и применяете в своей деятельности. Поэтому сейчас мы не будем подробно останавливаться на вопросе выбора средств защиты, а подумаем, так ли надежно их использование защищает ваши данные. Даже при наличии самых продвинутых и надежных СЗИ нельзя быть уверенным в полной защищенности на 100%. Использование средств киберзащиты лишь снижает риск возникновения киберинцидентов, но не исключает его. К вопросу управления рисками информационной безопасности надо подходить комплексно. И одним из методов такого комплексного подхода является киберстрахование.

Киберстрахование в РФ

Киберстрахование – это услуга, при которой страховщик берет на себя риски, связанные с пользованием интернетом, хранением и обработкой данных в электронном виде, а также работой с ИТ-инфраструктурами. Компании, имеющие такую страховку, могут получить компенсацию за убытки, связанные с хакерскими атаками, взломом серверов или другими инцидентами. Это позволяет им быстро восстановить свою работу и минимизировать финансовые потери.

Рынок страхования от киберрисков в России пока еще слабо развит. Интерес к нему только начал расти в 2016-2017 годах по причине массовых атак на российские банки, телеком-операторов и распространения вирусов-вымогателей WannCry и Petya. По данным опроса, проведённого компанией «РТК-Солар» в первой половине 2022 года, только 6% компаний уже пользуются услугой страхования киберрисков, а 21% планирует воспользоваться услугой в будущем. В то время как в Америке еще в 2017 году 34% компаний уже имели отдельный полис страхования киберрисков, а еще 44% компаний обсуждали покупку такого полиса со страховыми брокерами.

Одной из первых компаний, предлагающих полисы киберстрахования в России, стала российская «АИГ», дочка American International Group, Inc. (AIG). Ее продукт появился на рынке в 2013 году. Также программы страхования от киберугроз в настоящее время осуществляют компании «Альянс», «Сбербанк страхование» (с 2017 года), «Ингосстрах» (с 2017 года), «АльфаСтрахование» (с 2018 года), «СОГАЗ» (с 2018 года).

Препятствия и новые горизонты

Развитию киберстрахования мешают отсутствие общих стандартов, достоверных данных для расчетов и низкая осведомленность в этой области управленцев компаний. В настоящее время на рынке не так много готовых и проверенных решений. Страховщики предлагают свой подход, опираясь на собственную экспертизу и, опасаясь недооценить угрозу, перезакладывают свои риски, что отражается на стоимости страхового полиса. Отсюда и определённый скепсис со стороны потенциальных потребителей. Не все понимают пользу, которую киберстрахование может принести, и рассматривают его лишь как пустую трату денег и не окупаемые вложения. Рост числа атак заставляет пересмотреть подход к киберрискам, однако многие компании, которые задаются вопросом приобретения полиса, в итоге предпочитают тратить бюджет не на страхование, а инвестировать в улучшение своей IT-инфраструктуры. Кроме того, вкладываться надо еще и собственный штат специалистов по ИБ. Учитывая, что рынок таких сотрудников в России развит слабо, а спрос высок, эксперты стоят дорого. Благо, что на российском рынке уже достаточно поставщиков услуг в этой сфере, которые способны работать на упреждение рисков.

При этом надо помнить, что закупка даже самых передовых средств защиты и содержание штата высококлассных специалистов не является 100% решением проблемы киберугроз. В случае крупномасштабного взлома страховой полис предоставляет финансирование, благодаря которому компания может оправиться от убытков и как можно быстрее вернуться к работе. По полису можно возместить убытки, связанные с проведением расследований регулирующими органами или компенсировать затраты на внутренние расследования, например, расходы на ИТ-экспертов (услуги форензик). Страховщик также возмещает расходы по требованиям третьих лиц (например, клиентов, которые совершают покупки на сайте компании) из-за утечки данных или нарушения конфиденциальности. При оформлении страхового полиса компания сама выбирает риски, которые она хочет застраховать. Это могут быть:

• Кибератаки, хакерские атаки;
• Уничтожение и/или кража данных в результате киберинцидента;
• Расходы на экспертизу (юридические, технические, судебные расходы, необходимые для того, чтобы оценить, была ли атака, каков масштаб ее воздействия);
• Потери из-за прерывания деятельности бизнеса;
• Расходы на расследование угроз совершения атаки (вымогательства);
• Репутационные риски;
• Потеря и восстановление компьютерных данных;
• Ответственность за несоблюдение законов, касающихся конфиденциальности информации;
• Штрафы и санкции против компании;
• Стоимость переговоров в случаях, когда хакер требует выкуп;
• Расходы на рекламные кампании, направленные на восстановление репутации вашей компании.

Страховые нюансы

От каких киберинцидентов надо страховаться в первую очередь зависит от отрасли. Например, если речь идет о производстве, то нужно страховать как минимум простой производства ввиду кибератаки. Если бизнес клиентский, то речь может идти об ущербе, вызванном исками клиентов после утечки данных, которые нанесли им ущерб, а если бизнес банковский, то необходимо приобрести полис страхования от прямых убытков финансового института, к которым привели противоправные действия персонала или третьих лиц.

Не подпадает под страховой случай кибератака в результате военных действий, мародёрства, вторжений зарубежных врагов, революции и других народных волнений. Теоретически это значит, что страховщик не покроет расходы, если киберпреступление будет организовано за границей и будет признано атакой на страну, а не на конкретную компанию. Не удастся покрыть убытки от сбоев в работе электричества, интернета. Сюда же относятся сбои в работе кабельного, спутникового, телекоммуникационного сетевого оборудования, включая проблемы в предоставлении услуг сторонним провайдером. Если в компании установлено нелицензионное ПО, это также станет препятствием для получения выплаты. Показательный пример – иск транснациональной компании Mondelez против страховщика Zurich. На компанию обрушили хакерскую атаку, но страховая компания отказалась платить на том основании, что использованный в атаке вирус по сути – кибероружие, а сама атака – акт военной агрессии другого государства, а значит, относится к категории обстоятельств непреодолимой силы.

Конечно, надо понимать, что страховые компании оказывают услуги страхования в первую очередь с целью получения прибыли, поэтому прописывают множество условий для признания каждого случая страховым. Поэтому, с одной стороны, не надо на них всецело уповать, с другой – и отказываться от них тоже не стоит. Просто надо уметь их правильно использовать.

Заключение

Рынок киберстрахования, как и вся сфера ИБ в целом, сейчас стремительно развивается. Как прогнозируют в компании «Сбербанк страхование», рынок киберстрахования в России может вырасти до 8-10 миллиардов рублей к 2025 году. Для сравнения, в середине 2019 года объем рынка оценивался десятками миллионов рублей. Глава Всероссийского союза страховщиков (ВСС) Игорь Юргенс также отметил перспективность рынка и заявил о необходимости проведения работы по формированию законодательного регулирования и правоприменительной практики.

Очевидно, что делать бесконечные инвестиции в информационную безопасность – контрпродуктивно. В то же время нельзя полагаться исключительно на страховые компании в надежде, что они помогут компенсировать все последствия атак. Поэтому, оптимальным решением может стать комплексный подход, при котором информационная безопасность идет вместе со страхованием. При таком подходе выстраивается техническая система защиты и страхуются уже остаточные риски, закрытие которых становится экономически нецелесообразным.

Для начала надо выстроить комплексную систему информационной безопасности, начиная с выбора хорошего провайдера и набора необходимых услуг и сервисов, затем приобрести необходимые технические средства защиты. После этого уже выбрать типы инцидентов, от которых стоит застраховаться. В таком варианте ваш бизнес будет действительно защищен от киберугроз, а киберстрахование станет доступным не только для крупных компаний, но и для представителей среднего и малого бизнеса.

Автор статьи: Пронин Кирилл, руководитель проектов по информационной безопасности «Астрал. Безопасность».