Гонка кибервооружений: что страхует бизнес в эпоху технологий
Сбои и простои производства вследствие кибератак становятся главной угрозой для бизнеса. По оценкам PwC, треть американских компаний уже застраховали киберриски, к 2020 году объем рынка в США достигнет $7,5 млрд. Но в РФ угрозу пока осознают только банки.
Компании все чаще сталкиваются в своей деятельности с хакерскими атаками. По данным международной компании Group-IB, общий ущерб от кибератак на российскую финансовую сферу в 2016–2018 годах составил $166 млн. Многие атаки остались незаметными для систем безопасности и персонала, а многие замалчиваются.
Давление на корпоративные ИТ-системы будет расти. Согласно данным проекта «Маркетплейс» Центробанка РФ, 56% финансовых организаций включили цифровую трансформацию в стратегию своего бизнеса, 82% ожидают увеличения числа партнерств с финтех-компаниями в ближайшие три—пять лет.
С распространением цифровых услуг ответственность бизнеса за хранение, обработку и использование персональных данных существенно возросла. Ошибки в работе с большими объемами персональных данных оборачиваются для компаний огромными штрафами, расходами на восстановление и защиту деловой репутации.
Остановка производства — главная угроза кибератак
Многие ошибочно полагают, что страхование киберрисков — это только защита данных от утраты. На самом деле наиболее существенные потери в ходе кибератак компании несут по причине сбоев в бизнес-процессах и простоя производства. Согласно данным страховой компании Allianz, перерыв в производстве (включая разрыв цепочки поставок) шестой год подряд остается самым значимым риском по всему миру и впервые признан причиной экономического ущерба для компаний после киберинцидентов.
- В результате атаки вируса-вымогателя NotPetya датская логистическая компания Maersk и американская компания FedEx, предоставляющая почтовые, курьерские и другие услуги логистики по всему миру, понесли убытки в $300 млн, а производитель потребительских товаров Reckitt Benckiser — в $130 млн.
- В июле 2018 года ИТ-система судоходной компании COSCO оказалась отключена в США.
- В августе в результате атаки WannaCry больше чем на день встало производство ключевого поставщика Apple — производителя полупроводников Taiwan Semiconductor Manufacturing Company (TSMC).
- В сентябре атакам вирусов-вымогателей подверглись серверы и административные системы портов Барселоны и Сан-Диего.
Компании могут застраховаться от последствий кибератак. При оценке стоимости киберрисков страховщики учитывают много факторов. Услуга в целом не стандартизирована, сильно варьируется от страны к стране и зависит от законодательной среды.
Как страховщики оценивают стоимость киберрисков
Сперва страховая компания изучает базовые данные:
- cпецифику компании,
- то, какие данные она хранит,
- какие системы безопасности использует при хранении и передаче данных,
- как обслуживает бизнес-процессы.
В большинстве случае этого достаточно, чтобы дать предварительную оценку стоимости полиса.
У крупного бизнеса и в секторах с высокой чувствительностью к риску, страховая может дополнительно попросить заключение аудитора по информационной безопасности. Такой отчет компании обычно готовят для собственных нужд или составляют по запросу страховщика с помощью независимого эксперта. Отчет полезен и самому клиенту, поскольку содержит индикацию уязвимостей и рекомендации по их устранению. В нашей практике были случаи, когда даже лидеры отрасли использовали антивирус и firewall лишь на каждом третьем ПК, недооценивая степень риска.
На базе отчета страховая компания принимает решение, брать ли риск на страхование в принципе, а если брать, то какова его стоимость. Превентивные меры, используемые компанией, напрямую повлияют на стоимость страхования.
Многие российские компании предпочитают страховому полису инвестиции в ИТ-системы для повышения безопасности. Важно понимать, что достаточность системы безопасности можно определить только посредством аудита, который нужно проводить регулярно. Любые превентивные меры снижают вероятность взлома, но не борются с его последствиями. Этот функционал выполняет страховой продукт.
Какие компании страхуют киберриски
В России о комплексном страховании киберрисков первыми задумались крупные финансовые институты. И это неудивительно, ведь именно в финансовой сфере участились случаи вывода активов, электронные и компьютерные преступления.
В 2017 году компания «Страховой брокер Сбербанка» (на 100% принадлежит Сбербанку) объявила о старте продаж продукта страхования от киберугроз.
В 2018 году банк провел с крупными российскими страховщиками консультации о собственной защите от киберрисков. Переговоры со страховщиками вела Московская биржа. Неизвестно, чем они закончились. Однако представители Московской биржи отмечали, что «вопрос страхования от киберрисков актуален для всех крупных финансовых организаций».
В нефинансовой сфере активный интерес к страхованию киберрисков начал появляться совсем недавно. Здесь опасения крупных компаний преимущественно связаны с приостановкой основной деятельности в случае выхода из строя ИТ-системы.
Оценочно в России на сегодня заключено всего около 20 договоров страхования. Суммы страхового покрытия составляют до 7 млрд руб. Большинство из этих договоров оформлены с предприятиями с иностранным участием. В основном это финансовые организации, технологические компании и те, кто обрабатывает большие объемы персональных данных.
Какие киберриски чаще всего страхуют компании
В случае с кибератаками чаще всего страхуются риски, связанные с:
- защитой компании в суде,
- восстановлением репутации,
- восстановлением утраченных данных,
- ущербом, причиненным третьими лицами,
- потерями в результате перерывов в производстве.
Среди киберрисков, которые клиенты пока недооценивают, — выход из строя оборудования в результате хакерских атак, организация взрывов, пожаров, ложного срабатывания сигнализаций в результате взлома и нарушения систем безопасности через внешний доступ.
Рынок страхования киберрисков мог бы расти и быстрее — потенциальный спрос на такие услуги достаточно велик. По оценкам PwC, одна треть американских компаний уже оформила страховки от киберрисков, к 2020 году этот рынок достигнет $7,5 млрд.
В России за последние два-три года число запросов на страховые услуги, связанные с кибербезопасностью, возросло примерно на треть.
Сдерживающими фактороми для развития страхования киберрисков являются неготовность компаний допускать страховщиков к оценке своей ИТ-инфраструктуры, позиция управляющего состава компаний, руководствующегося краткосрочными финансовыми целями, а также недостаточная емкость российского рынка страхования от киберрисков.
Источник: http://www.asn-news.ru