Страховка от хакера

Вы уверены, что ни один сотрудник вашей компании никогда не откроет электронное сообщение, зараженное вирусом? Киберриски – вторая по уровню опасности угроза бизнесу в Европейском регионе в 2017 году. Опережает ее только риск перерыва в деятельности. Таковы данные Allianz Risk Barometer – ежегодного исследования угроз для бизнеса. Для примера можно вспомнить недавнюю ситуацию с RENAULT: в мае 2017 хакерская атака на несколько дней остановила работу пяти европейских заводов автогиганта.

Однако в практике российских компаний забота об информационной безопасности чаще всего сводится к точечным мерам, возложенным на IT-службу (иногда – в лице системного администратора). К нам еще не пришло понимание того, что цифровизация вывела воздействие киберрисков далеко за пределы IT-сферы. И что управление ими должно быть включено в общую стратегию риск-менеджмента.

Риски виртуальные – ущерб реальный

С кибератаками разного масштаба сталкиваются 92% крупных коммерческих компаний, госструктур, предприятий малого и среднего бизнеса в России. По оценкам 2016 года, ущерб экономике страны от киберпреступности превышает 200 млрд рублей в год.

Самая распространенная цель кибермошенников – получить доступ к данным компании путем взлома системы или с помощью вредоносного ПО. По данным Лаборатории Касперского, 42% российских компаний хотя бы один раз за последний год теряли важную информацию из-за взломов или утечек данных. Средний ущерб от таких атак – от 1,6 млн рублей для малого бизнеса до 11 млн для крупных компаний. Помимо прямых финансовых убытков нужно учитывать проблемы для репутации и сопутствующие расходы на PR, расследование и уменьшение вреда.

Важно отметить, что кража и порча данных – к сожалению, далеко не единственный сценарий развития событий. Зачастую кибер-инцидент опасен последствиями физического урона. Вмешательство злоумышленников может вызвать поломку или уничтожение оборудования, остановку систем и устроить полнейший хаос на предприятиях, оснащенных автоматизированными системами управления. Мы живем в эпоху, когда авиационные двигатели и человеческие органы научились делать на 3D-принтерах, полностью управляемых искусственным интеллектом, а, например, с помощью “спуфинга” – отправки ложных данных на датчики, можно нарушить технологический процесс. Подменив показания термостата, можно вызвать перегрев промышленной системы, а перехватив сигнал GPS – увести грузовик с товаром по ложному маршруту. Имея удаленный доступ к управлению оборудованием, злоумышленник прервет любой производственный процесс или вызовет действия, которые приведут к поломке.

Чтобы оценить потенциальный масштаб ущерба, стоит вспомнить легендарный вирус StuxNet, который в 2010 году вывел из строя ядерные объекты Ирана.

Как защитить бизнес от киберугроз

Комплексная и своевременная профилактика всегда была самым действенным инструментом защиты. Что сделать, чтобы снизить вероятность кибератаки и уменьшить потенциальный ущерб:

1. Неизбирательный характер атаки вируса-вымогателя WannaCry показывает, что объектом может стать каждый, независимо от рода деятельности или организации. Поэтому первична работа с сотрудниками, их обучение и повышение уровня сознательности: информирование о новых методах атак, таких как кибервымогательство, предупреждение о необходимости удалять подозрительные письма, следить за надежностью паролей.

2. Необходимо принимать все технические меры защиты информации:

2.1. регулярно обновлять антивирусное ПО;

2.2 вовремя обновлять операционную систему, т.к. новые версии включают защиту от обнаруженных уязвимостей;

2.3 делать копии важных файлов.

Крайне полезно обратиться в специализированные компании, которые найдут уязвимости в ваших системах и посоветуют инструменты и меры повышения защищенности.

Важно знать, что существует прямая связь между скоростью обнаружения и нейтрализации атаки и суммой потерь. Эксперты IBM рассчитали эту зависимость на примере крупных американских компаний. Они выяснили, что если на ликвидацию инцидента затрачено меньше 30 дней, то средние затраты составляют 3,16 млн долларов. Если срок выше – средняя сумма возрастает до 4,35 млн. Поэтому необходимо держать под постоянным контролем данные и системы компании, а на случай обнаружения вмешательства – иметь заранее подготовленный план реагирования.

Нельзя предотвратить – но можно застраховать

13 августа 2016 года группа хакеров ShadowBrokers разместила на криптоаукционе архив с инструментарием хакера. Соль истории в том, что этот архив был похищен у Equation Group – элитного подразделения хакеров Национальной Службы Безопасности США. Это наглядно доказывает, что обеспечить 100% защиту от хакерской атаки не может никто.

На случай, если атаку не удастся предотвратить, важно предусмотреть способы снижения ущерба. Самый простой и эффективный механизм – это страхование.

Страховой рынок быстро реагирует на требования времени. В мировой практике страхование киберрисков уже становится привычным: по оценкам PwC, такие полисы приобрела треть американских компаний. Накапливается и история страховых выплат. Яркий пример – выплата компенсации за хищение данных 70 млн клиентов розничной сети Target в 2013 году. Ее размер составил 44 млн долларов.

В России же говорить о киберстраховании как самостоятельном сегменте пока не приходится. Появляются лишь отдельные продукты, в основном у глобальных страховщиков, и приобретают их чаще российские подразделения зарубежных компаний. Тогда как большинство предпочитает направлять средства на системы информационной защиты, а не на страхование. Упуская из расчета главное: полис вступает в игру, когда система защиты пробита и кибератака уже произошла.

Как работает киберстраховка? В зависимости от структуры программы, в покрытие может входить:

1. страхование ответственности перед третьими лицами за утерю данных;

2. расходы, связанные с кибервымогательством;

3. возмещение убытков компании от перерыва в производственной деятельности;

4. организация и оплата работы IT-экспертов;

5. антикризисные работы на организацию колл-центра, пиар-кампанию.

Для того чтобы полис выполнил свою функцию, необходимо тщательно проанализировать полноту страхового покрытия в момент составления договора. В противном случае есть вероятность, что те или иные события окажутся исключенными из покрытия.

Для того чтобы полис выполнил свою функцию, необходимо тщательно проанализировать полноту страхового покрытия в момент составления договора. В противном случае есть вероятность, что те или иные события окажутся исключенными из покрытия.

На что нужно обратить внимание?

1. В первую очередь, каковы основные активы компании, которые необходимо защитить от кибератак. Это может быть:

• внутренняя информация или данные пользователей;
• операционные процессы, завязанные на IT-инфраструктуре;
• оборудование.

В зависимости от этого – выбирать программу. Например, физический ущерб оборудованию включают в покрытие далеко не все страховщики.

Дополнительно стоит рассмотреть вопрос о том, как будет взаимодействовать киберстрахование с цепочками поставок организации. Покроет ли полис любые убытки, которые могут произойти, потому что у поставщика произошел инцидент?

2. Соответствует ли сам бизнес условиям страхования? При оценке риска страховщик:

• обязательно проведет анализ мер безопасности и политик компании, оценит их достаточность;
• уточнит операционную модель компании, а также информацию о происходивших ранее киберинцидентах;
• запросит финансовые показатели, информацию об объеме хранимых критических данных, местах их хранения и доступах;
• список оборудования (основные позиции), его расположение и интеграцию в информационные сети компании.

Не стоит пугаться объема запрашиваемой информации. Это взаимовыгодное сотрудничество, ведь клиент получит в том числе рекомендации по улучшению систем безопасности и уязвимых местах. Полнота и точность данных крайне важна, чтобы страховщик мог принять решение о предоставлении страхового покрытия и корректно рассчитать тариф. С другой стороны, умышленное умалчивание деталей может привести к отказу в выплате.

3. Ограничивается ли программа только денежной выплатой? Некоторые страховые компании предоставляют также организационную поддержку и инструменты для ликвидации последствий атаки.

4. Наконец, это репутация, знания и финансовое состояние страховщика. Страховщик быстро реагирует и выплачивает убытки по страховым случаям, или он оспаривает все претензии?

Учесть все эти аспекты может быть непросто. Во многих случаях имеет смысл привлечь профессионального брокера, который поможет выявить ключевые области страхового покрытия и подобрать оптимальную страховую программу.

Киберстрахование все еще не получает широкого распространения в практике российского риск-менеджмента. Однако есть вероятность перемен: уже сейчас обсуждается законопроект, который сделает полис информационной безопасности обязательным для российских компаний, относящихся к стратегическим отраслям – от банков до энергетических предприятий. Будет ли он принят, изменится ли ситуация на самом деле – посмотрим. По крайней мере, киберугрозы попали в поле зрения государства и бизнеса, а это уже немало.