53% российских предпринимателей сообщили, что столкнулись с проблемами в области информационной безопасности в своих компаниях – сбоями в работе оборудования, вирусами, мошенническими схемами. Таковы результаты опроса Аналитического центра НАФИ.
Действительно, в 2022 году установлены все мыслимые и немыслимые рекорды киберпреступности:
- рекордная сумма требуемого выкупа за восстановление доступа — 1 млрд руб;
- рекордная длительность атаки — 29 дней (раньше она исчислялась в минутах и часах);
- рекордное количество утечек персональных данных клиентов — данные 75% жителей России оказались в открытом доступе.
2023 год принял эстафету: в январе была зафиксирована рекордная по скорости DDoS-атака в России — 1,3 Тб/с (ранее стандартная атака была скоростью меньше 1 Тб/с).
Не близоруко ли на фоне растущего во всех сферах уровня киберпреступности считать, что ваша компания вне опасности? И главное, можно ли принять превентивные меры?
В корпоративном секторе киберриски прочно укрепились в одном ряду с финансовыми, юридическими, производственными и логистическими, превосходя их по уровню токсичности для бизнеса. Опасность заключается в том, что мотивом киберпреступников становится не только экономический, но и репутационный ущерб. Число атак по идеологическим, политическим мотивам особенно выросло после событий февраля 2022, и прошлый год стал по-настоящему напряженным.
Как действуют злоумышленники? Сценарии просты. Например, фишинговые письма-рассылки на актуальные темы, такие как пандемия, удаленная работа, антироссийские санкции, которые приглушают осторожность многих сотрудников компаний. Да как тут заподозрить неладное, если письма рассылались от имени журналистов РБК, от имени Российского союза промышленников и предпринимателей, от Контур.Диадок и 1С-Битрикс? Получателям таких писем было достаточно перейти по ссылке или загрузить файлы, которые были вредоносными, чтобы взломать корпоративные сети на OC Windows или OC Linux. Все это реальные кейсы прошлого года от группы хакеров OldGremlin. В списке их жертв оказались банки, компании из сфер промышленности, страхования и логистики, ритейлеры, девелоперы, компании-разработчики ПО и даже оружейный завод — очевидно, компании с надежной системой информбезопасности.
По оценкам экспертов Group-IB, средняя сумма требуемого выкупа OldGremlin составляет около 100 млн рублей, однако в прошлом году группа установила новый рекорд — за восстановление доступа они запросили у компании миллиард!
Согласно прогнозу DDoS-Guard на 2023, уже к концу первого полугодия число атак вырастет на 300% относительно показателя конца 2022. Эксперты единогласны в том, что за счет развития технологий атаки станут более сложными, длительными, а в фокус попадут web-приложения.
С каким угрозами может столкнуться ваша компания:
- целенаправленные хакерские атаки;
- ошибки и умысел (бездействие) сотрудников компании, приводящие к кибератаке;
- технический сбой на производстве, в корпоративной компьютерной сети или на сайте;
- D-Dos атаки (атака типа «отказ в обслуживании»);
- вредоносное ПО/вирусы/черви/фишинг/стилеры.
Услуги по обеспечению информационной безопасности сейчас востребованы не только компаниями из госсектора. Предприятиям, использующим в своей работе автоматизированные цифровые системы контроля и управления производством, финансами, сбытом, необходим целый комплекс мер, способных защитить от непредвиденных атак, в том числе:
- сканеры уязвимостей;
- ПО раннего выявления и предотвращения целевых атак;
- платформы для защиты от киберугроз;
- анализаторы защищенности;
- страхование.
Страхование от киберрисков или киберстрахование не убережет от инцидента, но поможет возместить убытки при наступлении страхового случая.
Ваш страховой полис информационной безопасности может покрыть:
- ущерб от перерыва в деятельности из-за кибератаки (вошел в перечень самых распространённых страховых случаев 2022 года);
- расходы на восстановление системы;
- расходы на восстановление и дешифровку данных, включая стоимость необходимого программного обеспечения;
- расходы по минимизации последствий и расследованию причин киберпреступления;
- затраты на уведомление клиентов и партнеров об инциденте;
- расходы на восстановление репутации.
Важно застраховать отдельно и гражданскую ответственность за ущерб, который страхователь может причинить третьим лицам — потребителям своих услуг. Это особенно актуально, например, для операторов связи, консультантов и программистов, регистраторов доменных имен и других участников рынка информационных технологий.
Сколько стоит киберстрахование?
Страховые суммы для каждого страхователя рассчитываются индивидуально для каждого страхователя, при этом в стоимости полиса учитывается:
- стоимость информационных ресурсов;
- надежность средств защиты информации;
- статистика атак по отрасли;
- размер предполагаемых убытков от остановки деятельности в результате преступления.
Факт страхового случая устанавливает специализированная IT-компания по информационной защите и безопасности, сотрудничающая со страховщиком.
Киберстрахование: с чего начать?
Работа экспертов страхового брокера АСТ всегда начинается с риск-аудита и включает несколько этапов:
1. Выбор совместно с клиентом экспертной организации для проведения аудита информационной безопасности (из числа аккредитованных организаций);
2. Проведение с экспертной организацией оценки рисков и цифровых активов;
3. Принятие по результатам предстраховой экспертизы ряда дополнительных мер, снижающих риск возникновения ущерба (иначе страховая компания может не подписать договор);
4. Определение критические для компании рисков;
5. Проведение тендера среди страховых компаний;
6. Определение размера страхового покрытия и страховых взносов;
7. Заключение договора на комплексную услугу киберстрахования с выбранным страховщиком;
8. Сопровождение на протяжении всего действия страхового договора, консультации и урегулирование при наступлении страхового случая, помощь в пролонгации.
Важно знать, что если в вашей компании система защиты ещё не создана или не соответствует требованиям законодательства РФ по безопасности, то необходимым этапом перед заключением договора страхования станет организация надлежащей системы защиты либо размещение информационной системы у сервис-провайдера с заключением договора на хранение конфиденциальной информации.
Будущее киберстрахования за коллаборацией страховщиков с компаниями, обеспечивающими информационную безопасность. Сегодня страхование от информационных рисков – это страховой полис с покрытием, а в будущем – целый комплекс услуг по предотвращению страховых случаев, по снижению риска и минимизации ущерба, и даже по ликвидации последствий. Если говорить о международной практике, то по этому пути уже пошел страховой гигант Chubb, думаю в России это тоже вопрос пары лет.
По данным крупнейшей международной перестраховочной компании Swiss Re AG, в 2021 году страховщики по всему миру собрали $10 млрд в виде премий по киберстрахованию. По оценкам, к 2025 году эта цифра превысит $23 млрд. В России объем российского рынка киберстрахования эксперты оценивают в $6-7млн.
Киберстрахование в России
Несмотря на очевидную востребованность киберстрахования, существует целый ряд причин, сдерживающих как страховщиков (а киберстрахование предлагают не все участники рынка), так и самих страхователей.
Во-первых, диагностика рисков информационной безопасности связана с доступом к чувствительной бизнес-информации, компании боятся утечек.
Во-вторых, статистика по киберинцедентам и выплатам не публикуется, бизнес видит в этом непрозрачность, не хватает показательных кейсов (хотя, окажись любое предприятие на месте компании, в которой произошел подобный страховой случай, оно будет ратовать за неразглашение информации).
В-третьих, до сих пор существует сложность в определении термина «страховой случай» применительно к кибепринцидентам. Киберриски связаны с другими операционными рисками, например, действиями своих же сотрудников.
В-четвертых, непонимание ценообразования, лимитированность страхуемых рисков – все это заставляет компании откладывать в неприоритетный «ящик» страхование.
Однако потребность и запрос у бизнеса на это есть. Особенно у реальных владельцев и акционеров, которые понимают, что даже один киберинцидент способен поставить под угрозу существование компании.
В декабре 2022 года Президент Владимир Путин года дал поручение Правительству РФ до июля 2023 рассмотреть вопрос об установлении оборотных штрафов в отношении компаний, допускающих утечку персональных данных (ПД), а также усилить ответственность за их незаконный оборот. Прогнозируем, что эти факты посодействуют тому, что спрос на полисы страхования информационных рисков вырастет.