ДЕЙСТВИТЕЛЬНО НАДЕЖНАЯ ЗАЩИТА
Построение надежной защиты от ки бер-угроз должно начинаться с по строения отвечающей современным реалиям системы кибербезопасности. Без этого элемента говорить о защи те невозможно. К сожалению, до сих пор остаются компании, уделяющие недостаточно внимания кибербезо пасности, или думающие, что это их не коснется.
Внимание в области кибербезопас ности определяется не только суммой расходов на эти мероприятия. Мы часто сталкивались с ситуациями, когда в компании с большими затрата ми на информационную безопасность возникает чувство ложной защищен ности, а в реальности никто ни разу даже не пытался, например, произве сти учения по восстановлению дан ных из бэкапа. Когда же в реальности происходит инцидент, удивлялись, что бэкап оказался либо бесполезен, либо восстановление заняло недели вместо первоначально планируемых несколь ких часов.
Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть. Злоумышлен ники не стоят на месте и постоянно развиваются в поисках новых уяз вимостей. Защиты, которую вообще нельзя преодолеть, на сегодняшний день не существует. Преступники могут месяцами «сидеть» внутри компании, ждать ошибки и воспользоваться пред ставленным случаем для атаки.
СТРАХОВЩИК КАК СОЮЗНИК
Чем же может помочь страховщик компании и государству для защиты киберрубежей?
Все понимают, что страховщик возмещает убытки, которые понес страхователь, и это не зависит от вида страхования, но давайте по порядку. В недалеком прошлом у страховщиков не было достаточного опыта в оценке подобных рисков, но с ростом коли чества страхователей и количества страховых случаев компетенции стра ховщиков выросли.
На первоначальном этапе страховщик помогает оценить уровень информаци онной зрелости самого страхователя — именно зрелости, а не только защи щенности. Безусловно, страховщик уточняет, какие средства безопасности используются, оценивает, насколько они соответствуют современным угро зам; чьи средства безопасности можно принимать, а от каких поставщиков лучше отказаться, используя свой вну тренний рейтинг, исходя из истории убыточности. Но это не самое главное.
Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть
Принимая какой-либо риск на стра хование, любой страховщик понимает, что основное — это тяжесть послед ствий при наступлении страхового слу чая. Тяжесть в этом виде страхования определяется сложностью и длитель ностью восстановления после атаки, а это, помимо имеющихся средств безопасности, зависит от установлен ных процедур самого страхователя. Основной вопрос в таких ситуациях, что и как делать, если произошел стра ховой случай. И это один из немногих видов страхования, где ответ на вопрос определяет не только стоимость, но и возможность самого страхования.
План аварийного восстановления должен существовать не только на бу маге, по нему должны проводиться тренировки, он должен постоянно совершенствоваться и отражать реаль ную картину информационных систем компании. Если этого нет, то стра ховщик подскажет страхователю, что и как нужно сделать, чтобы повысить уровень информационной зрелости компании. В течение всего периода страхования страховая компания не прекращает контакт со страховате лем, она предупредит, если появились новые угрозы, а также поделится опытом событий или возможностей, которые позволят улучшить защиту.
При страховании киберрисков вопрос стоит в том, как быстро компания сможет восстановить свою деятельность
При страховании киберрисков во прос в настоящий момент стоит уже не в плоскости, произойдет или не про изойдет страховой случай, а в том, как быстро компания сможет восстановить свою деятельность и вернуться к уров ню до наступления страхового случая.
В большинстве случаев восстанов ление после кибератаки при наличии страхования происходит быстрее, чем без него: не каждая компания сможет найти свободные денежные средства и необходимых специалистов для лик видации последствий, для некоторых это может стать смертельным ударом, после которого бизнес закроется.
Страховщики дополнительно, помимо оценки рискозащищенно сти, оценивают еще и финансовое состояние страхователя. Это помогает понять риск полного прекращения деятельности компании при длитель ном простое после атаки. Для таких компаний риски убытков от перерыва в производстве оцениваются с осо бой осторожностью, т.к. вероятность исчерпания всей страховой суммы особенно велика. Страховщик может даже отказаться страховать такой риск, оставив в страховом покрытии только затраты на восстановление информа ционной системы.
Средний срок восста новления среднего биз неса занимает в районе трех недель, где только затраты на специалистов составляют до двухсот миллионов рублей, не говоря уже об убыт ках от перерыва в ком мерческой деятельности, которые тоже могут быть покрыты догово ром страхования.
Принимая какой-либо риск на страхование, любой страховщик пони мает, что основное — это тяжесть последствий при наступлении стра хового случая. Тяжесть в этом виде страхования определяется сложно стью и длительностью восстановления после атаки.
При наступлении стра хового случая страхов щик, помимо основного страхового возмещения, может помочь органи зовать альтернативные линии связи с клиентами, поставщиками и сотруд никами, оплатить работу специали стов по расследованию инцидента, нанять переговорщика для общения с кибервымогателями, организовать юридическую защиту от претензий контрагентов, привлечь дополнитель ный персонал для организации работы вручную, пока информационная систе ма не восстановлена, и предоставить еще много дополнительных услуг, что было невозможно представить некото рое время назад.
Недооценивать значимость допол нительных услуг нельзя. Например, профессиональное общение с вымога телями позволяет понять, как глубоко мошенники проникли в систему и ка кие именно данные оказались в руках мошенников. При самостоятельном общении можно стать жертвой ма нипуляций, т.к. вымогатели обычно преувеличивают свои достижения, и подвергнуться еще большей панике.
В обозримом будущем при уве личении количества страхователей страховщики создадут собственные инженерные центры, как это сейчас организовано в страховании имуще ства, специалисты которых будут без привлечения внешних организаций заниматься предстраховой оценкой ри ска, а также участвовать в ликвидации последствий кибератак.
СЛОЖНОСТИ КИБЕРСТРАХОВАНИЯ
При таких огромных возможно стях в киберстраховании существуют и определенные проблемы. В первую очередь — это емкость российского рынка. В настоящий момент макси мальная емкость российского рын ка оценивается в 3 млрд руб., что недостаточно для покрытия убытков от перерыва в производстве на период восстановления крупных компаний. Маленькая емкость связана с низкой вовлеченностью страховщиков в этот вид страхования (только пять россий ских страховщиков активно занима ются страхованием таких рисков), а также небольшим собственным удержанием тех страховщиков, кото рые этим занимаются. Мы рассчиты ваем на рост емкости путем активного участия АО РНПК и всего страхового сообщества.
Профессиональное общение с вымогателями позволяет понять, как глубоко мошенники проникли в систему и какие именно данные оказались в их руках
Вторая по значимости пробле ма — это отсутствие единого меха низма оценки рискозащищенности. Безусловно, у страховщиков есть механизмы, которые описаны выше, но не существует единой измеримой градации. В этом вопросе необходимо активное подключение компаний, которые непосредственно занимаются кибербезопасностью. В настоящий момент эти организации разрознены, не имеют своего СРО, что усложняет их объединение ради общих целей. Мы рассчитываем, что со време нем ими будут выработаны единые стандарты, которые позволят страхов щикам на них опираться, что ляжет в основы оценки риска и определения стоимости полиса.
Третья по важности, но самая мас совая проблема заключается в том, что владельцы бизнеса думают, что кибератака их не коснется, либо вообще не понимают само наличие такого риска. Порядка 80 % страхо вателей обратились к страховщику уже после того, как были атакованы. После атаки мгновенно происходит осознание самой угрозы, растет ин формационная зрелость. Но зачастую этот опыт оказывается очень доро гим для компании. Своевременное обращение к страховщику позволило бы компании заранее понять суще ствующие проблемы и уязвимости, что могло бы предотвратить кибера таку, а в случае успешной кибератаки компания получила бы страховое возмещение. Поэтому популяризацию этого вида страхования мы считаем актуальнейшей задачей всего страхо вого сообщества.
Особняком стоит дискуссия о ри сках, связанных с утратой персональ ных данных. В настоящий момент лицо, чьи данные были утрачены или разглашены, фактически может получить возмещение за этот инци дент только обратившись в суд. При этом требуется доказать, кто именно разгласил данные (любой человек оставляет свои данные большому количеству юридических лиц), а сама компенсация носит символический характер. Именно это сдерживает фи зических лиц от массовых обращений в суды. Есть различные инициативы по определению стоимости единицы информации, но они находятся на на чальных этапах разработки.
Специалисты по информационной безопасности утверждают, что почти все персональные данные, которые физические лица сообщают организа циям, уже находятся в руках мо шенников, которые пользуются ими для организации атак, в том числе с использованием механизмов соци альной инженерии. При этом мошен ники действуют очень организованно, с распределением ролей: одни дан ные похищают, вторые их продают, а третьи непосредственно занимаются обманом физических лиц. Поэтому от момента утраты данных до атаки проходит достаточно много времени. Учитывая социальную важность темы, уверен, что вопросы защиты персо нальных данных будут совершенство ваться, в том числе с привлечением страховщиков.
Понимая важность страховых ме ханизмов ликвидации последствий кибератак, в настоящий момент идут законодательные консульта ции о необходимости обязательного страхования объектов критической информационной инфраструктуры, как это определено в рамках 187-ФЗ «О безопасности критической инфор мационной инфраструктуры Рос сийской Федерации». Это сложный вопрос, требующий глубокой прора ботки и настройки такого механизма, если он будет утвержден. Основная цель — наличие быстрого и относи тельно дешевого способа ликвидации последствий кибератак, что позволило бы сохранить работо способность предпри ятий общественной значимости, а возмож но — и предотвратить сами кибератаки.
Помимо перечислен ных проблем, мы стал киваемся с неожидан ными трудностями со стороны самого страхователя: специали сты по информационной безопасности зачастую воспринимают подобное страхова ние негативно, т.к. они думают, что компания купит полис и сократит их рабочие места. Естественно, что это не так. Кибербезопасность — со вместная работа страхователя в лице специалистов по информационной безопасности и руководителей ком пании, разрабатывающих процедуры и мероприятия по организации вос становления, и страховщика, компен сирующего ущерб при наступлении страхового случая.
Источник: https://consult-cct.ru/strahovanie-kiberriskov-zadacha-gosudarstvennoj-vazhnosti?utm_source=ccts&utm_medium=mail&utm_campaign=4
Построение надежной защиты от ки бер-угроз должно начинаться с по строения отвечающей современным реалиям системы кибербезопасности. Без этого элемента говорить о защи те невозможно. К сожалению, до сих пор остаются компании, уделяющие недостаточно внимания кибербезо пасности, или думающие, что это их не коснется.
Внимание в области кибербезопас ности определяется не только суммой расходов на эти мероприятия. Мы часто сталкивались с ситуациями, когда в компании с большими затрата ми на информационную безопасность возникает чувство ложной защищен ности, а в реальности никто ни разу даже не пытался, например, произве сти учения по восстановлению дан ных из бэкапа. Когда же в реальности происходит инцидент, удивлялись, что бэкап оказался либо бесполезен, либо восстановление заняло недели вместо первоначально планируемых несколь ких часов.
Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть. Злоумышлен ники не стоят на месте и постоянно развиваются в поисках новых уяз вимостей. Защиты, которую вообще нельзя преодолеть, на сегодняшний день не существует. Преступники могут месяцами «сидеть» внутри компании, ждать ошибки и воспользоваться пред ставленным случаем для атаки.
СТРАХОВЩИК КАК СОЮЗНИК
Чем же может помочь страховщик компании и государству для защиты киберрубежей?
Все понимают, что страховщик возмещает убытки, которые понес страхователь, и это не зависит от вида страхования, но давайте по порядку. В недалеком прошлом у страховщиков не было достаточного опыта в оценке подобных рисков, но с ростом коли чества страхователей и количества страховых случаев компетенции стра ховщиков выросли.
На первоначальном этапе страховщик помогает оценить уровень информаци онной зрелости самого страхователя — именно зрелости, а не только защи щенности. Безусловно, страховщик уточняет, какие средства безопасности используются, оценивает, насколько они соответствуют современным угро зам; чьи средства безопасности можно принимать, а от каких поставщиков лучше отказаться, используя свой вну тренний рейтинг, исходя из истории убыточности. Но это не самое главное.
Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть
Принимая какой-либо риск на стра хование, любой страховщик понимает, что основное — это тяжесть послед ствий при наступлении страхового слу чая. Тяжесть в этом виде страхования определяется сложностью и длитель ностью восстановления после атаки, а это, помимо имеющихся средств безопасности, зависит от установлен ных процедур самого страхователя. Основной вопрос в таких ситуациях, что и как делать, если произошел стра ховой случай. И это один из немногих видов страхования, где ответ на вопрос определяет не только стоимость, но и возможность самого страхования.
План аварийного восстановления должен существовать не только на бу маге, по нему должны проводиться тренировки, он должен постоянно совершенствоваться и отражать реаль ную картину информационных систем компании. Если этого нет, то стра ховщик подскажет страхователю, что и как нужно сделать, чтобы повысить уровень информационной зрелости компании. В течение всего периода страхования страховая компания не прекращает контакт со страховате лем, она предупредит, если появились новые угрозы, а также поделится опытом событий или возможностей, которые позволят улучшить защиту.
При страховании киберрисков вопрос стоит в том, как быстро компания сможет восстановить свою деятельность
При страховании киберрисков во прос в настоящий момент стоит уже не в плоскости, произойдет или не про изойдет страховой случай, а в том, как быстро компания сможет восстановить свою деятельность и вернуться к уров ню до наступления страхового случая.
В большинстве случаев восстанов ление после кибератаки при наличии страхования происходит быстрее, чем без него: не каждая компания сможет найти свободные денежные средства и необходимых специалистов для лик видации последствий, для некоторых это может стать смертельным ударом, после которого бизнес закроется.
Страховщики дополнительно, помимо оценки рискозащищенно сти, оценивают еще и финансовое состояние страхователя. Это помогает понять риск полного прекращения деятельности компании при длитель ном простое после атаки. Для таких компаний риски убытков от перерыва в производстве оцениваются с осо бой осторожностью, т.к. вероятность исчерпания всей страховой суммы особенно велика. Страховщик может даже отказаться страховать такой риск, оставив в страховом покрытии только затраты на восстановление информа ционной системы.
Средний срок восста новления среднего биз неса занимает в районе трех недель, где только затраты на специалистов составляют до двухсот миллионов рублей, не говоря уже об убыт ках от перерыва в ком мерческой деятельности, которые тоже могут быть покрыты догово ром страхования.
Принимая какой-либо риск на страхование, любой страховщик пони мает, что основное — это тяжесть последствий при наступлении стра хового случая. Тяжесть в этом виде страхования определяется сложно стью и длительностью восстановления после атаки.
При наступлении стра хового случая страхов щик, помимо основного страхового возмещения, может помочь органи зовать альтернативные линии связи с клиентами, поставщиками и сотруд никами, оплатить работу специали стов по расследованию инцидента, нанять переговорщика для общения с кибервымогателями, организовать юридическую защиту от претензий контрагентов, привлечь дополнитель ный персонал для организации работы вручную, пока информационная систе ма не восстановлена, и предоставить еще много дополнительных услуг, что было невозможно представить некото рое время назад.
Недооценивать значимость допол нительных услуг нельзя. Например, профессиональное общение с вымога телями позволяет понять, как глубоко мошенники проникли в систему и ка кие именно данные оказались в руках мошенников. При самостоятельном общении можно стать жертвой ма нипуляций, т.к. вымогатели обычно преувеличивают свои достижения, и подвергнуться еще большей панике.
В обозримом будущем при уве личении количества страхователей страховщики создадут собственные инженерные центры, как это сейчас организовано в страховании имуще ства, специалисты которых будут без привлечения внешних организаций заниматься предстраховой оценкой ри ска, а также участвовать в ликвидации последствий кибератак.
СЛОЖНОСТИ КИБЕРСТРАХОВАНИЯ
При таких огромных возможно стях в киберстраховании существуют и определенные проблемы. В первую очередь — это емкость российского рынка. В настоящий момент макси мальная емкость российского рын ка оценивается в 3 млрд руб., что недостаточно для покрытия убытков от перерыва в производстве на период восстановления крупных компаний. Маленькая емкость связана с низкой вовлеченностью страховщиков в этот вид страхования (только пять россий ских страховщиков активно занима ются страхованием таких рисков), а также небольшим собственным удержанием тех страховщиков, кото рые этим занимаются. Мы рассчиты ваем на рост емкости путем активного участия АО РНПК и всего страхового сообщества.
Профессиональное общение с вымогателями позволяет понять, как глубоко мошенники проникли в систему и какие именно данные оказались в их руках
Вторая по значимости пробле ма — это отсутствие единого меха низма оценки рискозащищенности. Безусловно, у страховщиков есть механизмы, которые описаны выше, но не существует единой измеримой градации. В этом вопросе необходимо активное подключение компаний, которые непосредственно занимаются кибербезопасностью. В настоящий момент эти организации разрознены, не имеют своего СРО, что усложняет их объединение ради общих целей. Мы рассчитываем, что со време нем ими будут выработаны единые стандарты, которые позволят страхов щикам на них опираться, что ляжет в основы оценки риска и определения стоимости полиса.
Третья по важности, но самая мас совая проблема заключается в том, что владельцы бизнеса думают, что кибератака их не коснется, либо вообще не понимают само наличие такого риска. Порядка 80 % страхо вателей обратились к страховщику уже после того, как были атакованы. После атаки мгновенно происходит осознание самой угрозы, растет ин формационная зрелость. Но зачастую этот опыт оказывается очень доро гим для компании. Своевременное обращение к страховщику позволило бы компании заранее понять суще ствующие проблемы и уязвимости, что могло бы предотвратить кибера таку, а в случае успешной кибератаки компания получила бы страховое возмещение. Поэтому популяризацию этого вида страхования мы считаем актуальнейшей задачей всего страхо вого сообщества.
Особняком стоит дискуссия о ри сках, связанных с утратой персональ ных данных. В настоящий момент лицо, чьи данные были утрачены или разглашены, фактически может получить возмещение за этот инци дент только обратившись в суд. При этом требуется доказать, кто именно разгласил данные (любой человек оставляет свои данные большому количеству юридических лиц), а сама компенсация носит символический характер. Именно это сдерживает фи зических лиц от массовых обращений в суды. Есть различные инициативы по определению стоимости единицы информации, но они находятся на на чальных этапах разработки.
Специалисты по информационной безопасности утверждают, что почти все персональные данные, которые физические лица сообщают организа циям, уже находятся в руках мо шенников, которые пользуются ими для организации атак, в том числе с использованием механизмов соци альной инженерии. При этом мошен ники действуют очень организованно, с распределением ролей: одни дан ные похищают, вторые их продают, а третьи непосредственно занимаются обманом физических лиц. Поэтому от момента утраты данных до атаки проходит достаточно много времени. Учитывая социальную важность темы, уверен, что вопросы защиты персо нальных данных будут совершенство ваться, в том числе с привлечением страховщиков.
Понимая важность страховых ме ханизмов ликвидации последствий кибератак, в настоящий момент идут законодательные консульта ции о необходимости обязательного страхования объектов критической информационной инфраструктуры, как это определено в рамках 187-ФЗ «О безопасности критической инфор мационной инфраструктуры Рос сийской Федерации». Это сложный вопрос, требующий глубокой прора ботки и настройки такого механизма, если он будет утвержден. Основная цель — наличие быстрого и относи тельно дешевого способа ликвидации последствий кибератак, что позволило бы сохранить работо способность предпри ятий общественной значимости, а возмож но — и предотвратить сами кибератаки.
Помимо перечислен ных проблем, мы стал киваемся с неожидан ными трудностями со стороны самого страхователя: специали сты по информационной безопасности зачастую воспринимают подобное страхова ние негативно, т.к. они думают, что компания купит полис и сократит их рабочие места. Естественно, что это не так. Кибербезопасность — со вместная работа страхователя в лице специалистов по информационной безопасности и руководителей ком пании, разрабатывающих процедуры и мероприятия по организации вос становления, и страховщика, компен сирующего ущерб при наступлении страхового случая.
Источник: https://consult-cct.ru/strahovanie-kiberriskov-zadacha-gosudarstvennoj-vazhnosti?utm_source=ccts&utm_medium=mail&utm_campaign=4
