Что такое киберриски и спасет ли от них страхование

Киберугрозы в период пандемии взлетели на новый уровень. Переход компаний в онлайн, а сотрудников — на удаленку, пройденный в «пожарном» режиме, открыл новые просторы для мошенников, хакеров и прочих злоумышленников.

Первой волной накрыло Индию (за статус мирового бэк-офиса в ИТ пришлось ответить), далее шторм захватил США, распространился на Европу и под конец дошел до нас. Персональные данные и корпоративные секреты хлынули в открытые сети и даркнет, за ними последовали убытки и судебные иски. К такому варианту развития событий никто в мире реально не был готов.

Сегодня буря немного улеглась, и киберугрозы стали темой для хайпа. Киберзащиту объявили инновацией и стали массово прописывать в корпоративных договорах, мало разбираясь в том, что такое киберриски вообще и как с ними работать. Мы решили пойти по горячим следам: развеять мифы восполнить пробелы.

Начнем с мифов. Киберриски — это не новая реальность, созданная ковидом. Они существовали еще в 80-х и приобрели новое качество с развитием интернета и онлайн-сервисов.

В банковском секторе риски, связанные со счетами, переводами, пластиковыми картами и остальным финансовым трафиком успешно страхуются во всем мире уже не одно десятилетие. Как и информационные утечки, ЧП с базами данных и т. д. Крупные компенсации тоже есть. Например, «Ингосстрах» выплатил по одному из таких случаев 7 млн долларов.

Просчитывать киберриски, управлять ими и обрабатывать страховые случаи (с оценкой ущерба и сумм компенсаций) — задача непростая и дорогая. Нужна своя развитая ИТ-инфраструктура, команды (от инженеров до менеджеров и оценщиков), привлеченные эксперты (например, если случай особый, а объект — закрытый). К тому же, до пандемии основными потребителями таких страховок были банки и ИТ-гиганты. Рынок маленький и сложный, желающих играть на нем было мало. Но в 2020 году все изменилось.

Из-за пандемии мировой интерес к таким страховкам возрос на порядки (если говорить о России, то рост спроса здесь скромнее, но это все равно увеличение в разы).

В маркетинг тоже вложились все, в итоге у потенциальных клиентов возник переизбыток информации при дефиците знаний. Давайте восполним пробелы. Во-первых, страховые риски — это внезапные и непредвиденные события. Во-вторых, перечень информационных рисков (или киберрисков), пригодных для реального страхования, не такой большой, как принято считать.

Киберриски, которые реально можно застраховать:

1. Целенаправленная (таргетированная) компьютерная атака
2. Внедрение вредоносных компьютерных программ (вирусов), разработанных третьими лицами
3. Внезапные и непредвиденные технические сбои в работе ПО и/или «железа»
4. Непреднамеренные ошибки персонала, которые привели к таким сбоям

Последствия, которые тоже страхуются:

1. Утрата электронных данных и/или ПО
2. Хищение интеллектуальной собственности в электронной форме
3. Неправомерное использование вычислительных ресурсов третьими лицами (спам-рассылки, участие в botnet-сети от вашего имени, майнинг и др.)
4. Перерывы в коммерческой (производственной) деятельности из-за сбоев информационной системы или недоступности электронных данных
5. Кибервымогательство
6. Хищение денег/ценных бумаг в электронной форме со счетов третьими лицами
7. Претензии третьих лиц (нарушение конфиденциальности, разглашение персональных данных и т. д.) Сюда же входит ответственность за ущерб их жизни и здоровью
8. Гибель или повреждение компьютерного, производственного оборудования, а также готовой продукции, в результате реализации любого из застрахованных рисков.

Список с подробностями есть у нас на сайте.

Как видите, перечень достаточно конкретный. Страхование киберрисков — это такой набор монощитов, которые точечно устанавливаются в самые нагруженные и уязвимые места ИТ-систем, чтобы компенсировать убытки, которые возникнут в случае ЧП на конкретном участке виртуального пространства.

И речи о комплексной защите ИТ-систем от всех рисков (по аналогии со страхованием имущества) здесь не идет. «Страховка от всего» в приложении к киберрискам будет сверхдорогой и бесполезной, гораздо эффективнее страховать угрозы точечно и верно оценивать суммы возможного ущерба.

Если не понимать этой сути управления информационными рисками, создается ложное впечатление, что a) страховка состоит из одних исключений, b) реальной защиты нет, с) тратить деньги на страхование киберрисков можно разве что в имиджевых целях.

На практике страхование информационных рисков успешно работает, и не только в банковском секторе и ИТ, но и в промышленном производстве. Не стоит забывать, что современные конвейерные линии роботизированы, а шельфовые вышки давно качают нефть «через интернет». E-commerce, консалтинг, ритейл и другие отрасли в эту систему тоже активно включаются.

Страховки киберрисков существуют давно, но после пандемии серьезно обновились. Теперь клиентами по таким договорам становятся не только банки и отраслевые гиганты, но и средний бизнес в разных отраслях.

Полис обеспечивает защиту рисков, связанных с повреждением или утратой информационных данных, ПО, «железа», вынужденными простоями, а также компенсирует ущерб третьим лицам. Если произошла хакерская атака или персональные данные клиентов утекли в сеть из-за невнимательности сотрудника, страховая компания компенсирует потери.

Киберриски страхуются точечно и системно. Условия рассчитываются индивидуально, тарифы и лимиты зависят от конкретной ИТ-инфраструктуры и уровня конфиденциальности данных. Страхование «от всего» и полисы «в один клик» здесь не применимы.

Кстати, часто для входящего аудита ИТ-объектов мы привлекаем сторонних экспертов — специалистов в конкретной нише. Вместе с нашими аналитиками они не только выносят вердикт и считают тариф, но и дают советы: что и как переделать/улучшить, чтобы повысить уровень защиты и платить за страховку меньше.