Киберстрахование — это база, которую уже нельзя игнорировать, даже в малом бизнесе

Киберстрахование — это база, которую уже нельзя игнорировать, даже в малом бизнесе

Киберпреступления в 2024-м — проблема уже не только для корпораций. Хакеры зарабатывают на компаниях любого размера — выманивают логины и пароли у сотрудников, шифруют данные и перегружают сервера. Чтобы создать свой отдел кибербезопасности, нужна экспертиза, десятки или даже сотни миллионов в год — часто у малого и среднего бизнеса таких ресурсов просто нет.

Мы бы не писали эту статью, если бы не имели альтернативного решения. Давайте разбираться, с чего начать выстраивать киберзащиту бизнесу и при чём тут страхование.

В этой статье зададим несколько базовых вопросов про информационную безопасность (ИБ) экспертам по киберстрахованию — выясним, что это такое, кому и когда нужно, сколько стоит. Материал будет особенно полезен собственникам бизнеса и руководителям нетехнических отделов.

Киберстрахование — это база, которую уже нельзя игнорировать, даже в малом бизнесе

Киберстрахование — революция в страховом мире

Киберстрахование — это услуга, которая позволяет бизнесу компенсировать убытки, связанные с кибератаками. Например, если застрахованную компанию взломают, зашифруют данные или украдут клиентскую базу, расходы по восстановлению возместит страховая компания, а не сам бизнес.

Можно провести аналогию с автомобильными страховками: Каско — добровольное страхование, которое защищает интересы владельца авто. В случае ДТП страховая возместит ущерб, и водителю не придётся платить за ремонт автомобиля из своего кармана. То же самое и полис киберстрахования — это база безопасности для компании, добровольный и посильный первый шаг к гарантированной защищённости от критических киберугроз.

Застраховаться сразу от всех угроз нельзя, поэтому существует понятие «недопустимое событие». Если продолжать аналогию с автомобилями: раз киберстрахование — это каско, то ДТП или угон — это недопустимое событие.

Недопустимое событие — это последствие кибератаки, которое приведёт к существенным потерям или закрытию бизнеса. Например, для сети продуктовых магазинов недопустимым событием может стать остановка складской системы — тогда будет невозможно загрузить машины и развести товары по точкам.

Благодаря проекту Сайберуса «Киберстрахование», некоторые страховые компании начали понимать, от чего на самом деле нужно страховать бизнес, как оценивать риски, и готовы давать выгодные условия. Передовые страховщики предлагают покрытие последствий недопустимых событий — это новая услуга, которая помогла перевернуть мир страховки.

Скорее всего, киберпреступник пытается взломать ваш бизнес прямо сейчас

Официальной статистики по кибератакам нет: пострадавшие компании редко заявляют об этом публично, потому что это репутационный риск. Есть информация по утечкам персональных данных и опыт экспертов ИБ — по этим источникам можно сказать, что от кибератак страдают до 40% представителей малого и среднего бизнеса. А после 2022 года количество кибератак кратно растёт.

За последние 10 лет <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fwww.tadviser.ru%2Findex.php%2F%25D0%25A1%25D1%2582%25D0%25B0%25D1%2582%25D1%258C%25D1%258F%3A%25D0%25A7%25D0%25B8%25D1%2581%25D0%25BB%25D0%25BE_%25D0%25BA%25D0%25B8%25D0%25B1%25D0%25B5%25D1%2580%25D0%25BF%25D1%2580%25D0%25B5%25D1%2581%25D1%2582%25D1%2583%25D0%25BF%25D0%25BB%25D0%25B5%25D0%25BD%25D0%25B8%25D0%25B9_%25D0%25B2_%25D0%25A0%25D0%25BE%25D1%2581%25D1%2581%25D0%25B8%25D0%25B8%23.D0.A7.D0.B8.D1.81.D0.BB.D0.BE_.D0.98.D0.A2-.D0.BF.D1.80.D0.B5.D1.81.D1.82.D1.83.D0.BF.D0.BB.D0.B5.D0.BD.D0.B8.D0.B9_.D0.B2_.D0.A0.D0.BE.D1.81.D1.81.D0.B8.D0.B8_.D1.81_2014_.D0.B3.D0.BE.D0.B4.D0.B0_.D0.B2.D1.8B.D1.80.D0.BE.D1.81.D0.BB.D0.BE_.D0.B2_50_.D1.80.D0.B0.D0.B7_.D0.B4.D0.BE_510_.D1.82.D1.8B.D1.81&postId=1717505" rel="nofollow noreferrer noopener" target="_blank">количество киберпреступлений</a> выросло в 50 раз
За последние 10 лет количество киберпреступлений выросло в 50 раз

Атакам подвергаются даже те, кто тратит на ИБ большие деньги. Из последних громких случаев: СДЭК, ВГТРК, сайты судов и другие сервисы ГАС «Правосудие».

Крупные компании взламываются профессиональными командами, а вот малый и средний бизнес атакуют обычные вымогатели. Киберпреступники просто находят контакты случайных компаний и идут по списку. В малом и среднем бизнесе может не быть ресурсов на отдел кибербезопасности, и поэтому они — простая и желанная цель для злоумышленников.

Взлом малого и среднего бизнеса — это массовая история уже сегодня. Такая же частая, как обзвон бабушек мошенниками.

Кибератака для небольшой компании гораздо болезненнее, чем для крупной. Вторым легче восстановиться, у них больше ресурсов, а вот малые предприятия могут спустить на выкуп буквально все деньги. При этом эксперты отмечают: большинство представителей малого и среднего бизнеса либо не задумываются об ИБ, либо надеются, что проблема их не коснётся.

Вот как вас будут взламывать

Сегодня всё ещё работают базовые способы взлома, часто слабое звено — это человеческий фактор. Обычно вымогатели атакуют средний и малый бизнес такими инструментами:

Вирус-шифровальщик. Злоумышленники отправляют по сотрудникам письмо, которое содержит вирус. Если кто-то его откроет, алгоритм шифрует все данные — то есть бизнес теряет к ним доступ, — и дальше вымогатель обещает за выкуп выслать ключ-дешифровщик. Практика показывает: даже если компании платят, ключ могут не прислать.

Фишинг. Письмо, которое ведёт на мошеннический сайт, где просят поделиться чувствительными данными — например, оставить свой логин и пароль или данные карты. Сайт может выглядеть как привычный CRM-сервис.

Социальная инженерия. Это письма или личное общение злоумышленника с сотрудниками компании с целью выманить данные. Или, например, телефонные звонки и сообщения якобы от членов семьи или сотрудников госорганов.

DDoS (Distributed Denial-of-Service attack). Это когда хакер одновременно отправляет миллионы запросов на ваш сервер или в базу данных. Система попытается обработать такой поток, но из-за масштаба не справится и откажет в обслуживании вообще всем запросам — в том числе и легитимным. Например, сайт компании перестанет работать — сервер будет думать, что его пытаются открыть сразу несколько миллионов пользователей.

Так выглядит схема DDoS-атаки
Так выглядит схема DDoS-атаки

Взлом директора, владельца компании. От его имени хакеры отправляют сотрудникам распоряжения. Например, в бухгалтерию: оплатить счёт.

Кибератака на производственное оборудование. Это особенно опасный вариант. Станок, который подвергся атаке, может выйти из строя и принести убыток компании или даже покалечить сотрудников.

Такими схемами взламывают даже профессионалов в сфере информационной безопасности:


👉 Innostage — провайдер ИБ-систем. Сработала старая добрая социальная инженерия → «Как выявить и блокировать фишинг»


👉 Олли ИТ — поставщик ИТ-оборудования и ПО. Всё началось с классического фишингового письма → «Как мы защищались от шифровальщика и сколько это стоило»

Первые шаги в ИБ без вложений

Обезопасить свою компанию от киберугроз не так сложно и дорого, как может казаться со стороны. Эксперты сформулировали несколько шагов, с которых можно начать:

Определить недопустимое событие. Соберите руководителей всех отделов и обсудите, какие ситуации будут критичны именно для вашей компании. Например, потеря базы данных клиентов.

Если пока сложно сформулировать недопустимые события, начните рассуждать с вопроса: «а что будет, если завтра в компании перестанут работать все компьютеры?».

Защищаться от всех возможных киберугроз — нецелесообразно на первом этапе, поэтому важно выбрать ключевые недопустимые события.

Принять меры. Продумайте, как предотвратить наступление недопустимых событий. Самое простое — начать регулярно делать резервную копию данных на внешний жёсткий диск. Тогда, например, вирус-шифровальщик не сможет парализовать работу компании: достаточно будет восстановить резервную копию.

Застраховаться. Полис киберстрахования — это палочка-выручалочка для тех бизнесов, у которых нет или пока нет бюджетов на ИБ. Так, в случае инцидента компания не понесёт двойные убытки — от взлома и за восстановление, — а получит компенсацию от страховой.

Для компаний, которые уже построили систему ИБ и имеют постоянные бюджеты, полис будет дополнительным инструментом. Он поможет минимизировать последствия хакерской атаки, компенсировав остаточные риски.

Написать политику кибербезопасности. Дальше можно создать документ, в котором вы опишите политику компании по ИБ. Для этого уже стоит обратиться к профессионалам, если своего штатного ИБ-специалиста нет.

Компания может опираться на этот документ, чтобы составить план закупок — выбрать, какое оборудование и ПО нужно для защиты или предотвращения недопустимых событий. Также, чтобы учесть человеческий фактор — нанять специалистов по ИБ, проводить регулярные обучения рядовых сотрудников.

Быть киберзащищённым выгодно

В индустрии пока нет устоявшихся тарифов: страховые компании принимают решения индивидуально по каждому бизнесу. В среднем стоимость полиса в год обойдётся небольшой компании с околонулевой киберзащищённостью от 1 до 8% от суммы страховки.

Например, если сумма покрытия в случае взлома — 10 млн ₽, полис может стоить от 100 000 ₽ до 800 000 ₽ в год
Например, если сумма покрытия в случае взлома — 10 млн ₽, полис может стоить от 100 000 ₽ до 800 000 ₽ в год

Чем лучше компания защищена от киберугроз, тем дешевле ей обойдётся полис, и тем больше может быть сумма покрытия.

Чек-лист: как снизить риски бизнеса от кибератак

Кибератаки — это реальность российского бизнеса в 2024 году. Никакой бизнес не скрыт от хакеров — ломают даже компании из сферы кибербезопасности.

✅ Шаг 1: определите недопустимые события для вашего бизнеса и сделайте всё, чтобы обезопасить себя от последствий.

✅ Шаг 2: оформите полис киберстрахования — защитите свою компанию от будущих финансовых и репутационных потерь.

✅ Шаг 3: напишите политику ИБ — подумайте о регулярном обучении сотрудников азам кибербезопасности, установите антивирус, в идеале наймите специалиста по ИБ в штат.

В блоге «Кибер без мифов» эксперты проектов «Киберстрахование» и «Кибериспытания» рассказывают, как информационная безопасность может стать частью бизнеса и помочь расти без лишних рисков.


сайт Киберстрахования

сайт Кибериспытаний

44
22
Начать дискуссию