Страхование киберрисков — сегодня и завтра. Объективные основания для роста, безусловно, есть

BIS Journal №4(47)2022

6 декабря, 2022

Страхование киберрисков — сегодня и завтра. Объективные основания для роста, безусловно, есть

В 2021 году спрос крупного бизнеса на страхование киберрисков в России вырос на 60%. По данным компании «АльфаСтрахование», это связано с учащением резонансных случаев атак вирусов-вымогателей в России и мире, а также возросшими требованиями крупных компаний к своим поставщикам по защите конфиденциальной информации.

При этом сам рынок довольно небольшой: сегодня страхует киберриски всего 6% компаний. В первую очередь это организации финансового сектора, компании, занимающиеся электронной коммерцией и оказывающие ИТ-услуги, а также крупные промышленные предприятия, активно автоматизирующие свои бизнес-процессы.

Из безусловно положительных сигналов можно отметить следующее. Во-первых, 2/3 купивших полис организаций считают, что это способствовало повышению их привлекательности для клиентов, партнёров и сотрудников. Во-вторых, среди пострадавших от кибератак 9% жалеют, что у них не была оформлена киберстраховка, благодаря которой они могли бы гораздо быстрее восстановиться. В-третьих, 21% организаций планируют воспользоваться услугой: по их мнению, наличие страховки поможет быстрее восстановиться после реализованной атаки и сделает компанию более защищённой (как правило, об этом говорят крупные компании и организации, обладающие значительными бюджетами и распределённой ИТ-инфраструктурой).

Тем не менее большинство респондентов пока не планируют страховать киберриски. Стоимость страхования определяется многофакторной моделью и сильно варьируется взависимости от отрасли. В среднем суммы выплат находятся в диапазоне от 1 млн до 700 млн рублей, при этом, по некоторым данным, полис может увеличить бюджет расходов на ИБ на 10–20%. Для 33% опрошенных это либо слишком дорого, либо неочевидно с точки зрения финансовой целесообразности.

 

Профиль страхователя

Малый и средний бизнес к страхованию киберрисков пока что просто не готов организационно. Стоимость полиса зависит от результатов аудита информационных систем, однако, во-первых, такой аудит сам по себе удовольствие недешёвое, а во-вторых, при выявленных уязвимостях и рисках расходы на страхование часто оказываются сопоставимыми с выстраиванием эффективной ИБ.

Крупным компаниям страховщики часто не готовы предлагать достаточные ёмкости (страховые суммы), поскольку те не разрешают провести аудит по причине высокого уровня конфиденциальности. При этом они в принципе готовы рассматривать страхование киберрисков, если для них будет очевиден смысл подобной страховки.

И те, и другие правы. Вложения в обеспечение информационной безопасности и расходы на страхование должны быть просчитаны и гармонизированы. Иначе финансовый смысл этого инструмента управления риском не будет оправдан. Вопрос в том, как это сделать.

 

Степень вины

Ещё один существенный вопрос — насколько сложно будет получить выплаты при наступлении страхового случая (нарушение работы информационных систем клиента в результате DDoS-атак, взлома сайта компании, взлома инфраструктуры, почты, бизнес-приложений), когда неочевидно, на чьей стороне вина за допущение инцидента. Наличие правил, зафиксированных во внутренней нормативной документации и подтверждённых вправо устанавливающих документах работодателя и работника, может минимизировать эту неопределённость, но на практике ответственность работников за киберинциденты встречается в России крайне редко.

Аналогию можно поискать в страховании киберрисков физических лиц (в части ущерба, возникшего вследствие операций по переводу денежных средств без согласия клиента кредитной организации). Поданным кредитных организаций, агрегируемым и регулярно публикуемым Банком России, порядка 60% таких случаев происходит в результате использования злоумышленниками приёмов социальной инженерии. Формально клиенты добровольно передают конфиденциальную информацию или самостоятельно переводят денежные средства, что даёт банкам законные основания не возмещать ущерб. Однако регулятор планирует сформировать новые правовые подходы к снижению ответственности потребителей финансовых услуги развитию страхования их рисков и потерь. Иными словами, Банк России заговорил о балансе ответственности клиента, банка и страховой компании, в том числе в части соразмерности покрытия риску.

 

По подсчётам страховщиков, убыточность страхового полиса, покрывающего риски социальной инженерии, может быть в 8–10 раз выше, чем без них. Поскольку стоимость риска может быть статистически размыта на большом страховом портфеле, страховка, включающая защиту от социальной инженерии, будет на 25–30% дороже. Разумеется, для корпоративных клиентов цифры будут другие, но возможный порядок разницы очевиден.

 

Перспективы

Число и интенсивность кибератак в краткосрочной перспективе не снизятся. Из в лучшем случае полукриминальной активности хактивизм перешёл в статус крестового похода за справедливостью и праведным отмщением. О прогосударственных акторах СМИ не только пишут, но уже и цитируют их представителей, что, без сомнения, легализует эту часть жизни в массовом сознании. В России на фоне роста интереса к ИТ-профессиям это будет способствовать росту популяции «белых хакеров», что, в свою очередь, неизбежно спровоцирует наращивание сил «противника».

В этой связи, возвращаясь к причинам низкого спроса, можно предположить, что объективные основания для его роста, безусловно, есть. А вот конкретика будет определяться либо разработанными Банком России для финансовой отрасли и впоследствии адаптированными другими отраслями подходами, либо способностью компаний найти тот самый баланс расходов на ИБ и на страховку рисков, не закрываемых штатными средствами защиты информации.

Как вариант, решением может быть модель конструктора, когда компания сможет самостоятельно выбирать наиболее актуальные для себя риски, а также объём страхового покрытия. Для малого и микробизнеса можно зафиксировать предустановленный максимальный объём страхового покрытия, для крупного бизнеса — проводить индивидуальный андеррайтинг.

 

В основе любой системы анализа и управления киберриском лежит соотнесение реализованных инцидентов с моделью угроз и взвешивание их по степени опасности для непрерывности производственных и бизнес-процессов, соответствия требованиям законодательства и регуляторов, финансовой безопасности организации, прав и интересов её клиентов и сотрудников и так далее. Концепция управления риском включает как его предотвращение и парирование, так и «принятие риска», когда предотвращение инцидента обходится компании дороже, чем ликвидация его последствий.

Например, многим знаком непростой выбор между внедрением сложных СЗИ и уплатой штрафа. И хотя закон не имеет обратной силы и штрафовать за то, что до его принятия нарушением не являлось, никто не будет, незакрытая «дыра в безопасности» может стать основанием для принятия мер реагирования по итогам проверки, проведённой по новым правилам. Поэтому, даже принимая такой риск, компаниям, с учётом разработки и вероятного усиления отраслевых требований по информационной безопасности, есть смысл как минимум сохранять события и телеметрию, анализ которых может выявить уязвимости и принять меры по их устранению спустя 1–2 года после инцидента, который было решено проигнорировать. Существующие SIEM-системы позволяют это делать благодаря функции архивирования и кластеризации хранилищ.

Другой пример — риск социальной инженерии. Человеческий фактор — сущность вообще трудно предсказуемая. Точнее, методики есть (например, HRA — Human Reliability Assessment), но для построения прогноза нужно такое количество факторов, сбор которых сопоставим со стоимостью социального исследования методом прямого наблюдения. Гораздо проще составить алгоритм внедрения мер безопасности по принципу «светофора» и последовательно применять его по мере возникновения угроз соответствующего уровня (разумеется, с определённым запасом). И здесь тоже крайне важна правильная настройка в SIEM работы с активами, в частности, мониторинг изменения их свойств при наступлении определённых условий и сведение статистики: 1, 2, 3 однотипных инцидента в неделю —зелёный уровень, 4–7 — оранжевый, 8 и более — красный.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.02.2023
UBS: ChatGPT — самое быстрорастущее приложение в истории
03.02.2023
Компания «Информационные системы»: новые возможности дистанционного обслуживания на Форуме iFin-2023
03.02.2023
МТС Банк реализовал сервис денежных переводов в Турцию
03.02.2023
Россияне стали чаще жаловаться регулятору на банки. И меньше — на МФО
03.02.2023
«Мы давно развиваем бизнес в Турции». «Яндекс» идёт на юг
03.02.2023
«Альфа-Банк» презентовал платформу для работы с ЦФА
03.02.2023
Весна близко. Банки смогут заморозить и дропперов, и клиентов
02.02.2023
Практики ИБ и кибербезопасности адаптируются под меняющийся ИТ-ландшафт
02.02.2023
«Удачный» слив: поставлен рекорд по утечкам баз данных отечественных компаний
02.02.2023
«Разрушить технологическую монополию ряда западных стран в финансовой сфере — дело непростое»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных