Какими убытками оборачиваются инциденты кибербезопасности
У одной зарубежной медицинской организации хакеры украли диагнозы и персональные данные 850 тыс. пациентов. Компания столкнулась с многочисленными исками от клиентов.
Кибератака на информационные системы крупного российского производственного предприятия парализовала его работу. Сбой стоил бизнесу десятки миллионов рублей.
Зарубежная телемаркетинговая компания не смогла оправиться после атаки вируса-вымогателя и была вынуждена прекратить деятельность спустя 61 год существования на рынке.
Эти примеры показывают, что с последствиями киберинцидентов справится не каждый бизнес. Далеко не всегда удается:
При этом самих киберугроз так много, что защититься на 100% практически невозможно. Чтобы взломать компанию, даже необязательно быть опытным злоумышленником — достаточно арендовать инструменты на теневых ресурсах. Тогда фактором киберриска может стать, например, недобросовестный конкурент. Иногда многомиллионные потери случаются по вине всего одного сотрудника, который откроет электронное письмо с вредоносным содержимым.
Расширяющийся ландшафт киберугроз и рост убытков от кибератак привели к появлению услуг по страхованию киберрисков.
Помогает ли страхование киберрисков сохранить деньги
В западных странах суммы выкупа, который преступники требуют за расшифровку данных, приближаются к 9 млн долларов. В России аппетиты преступников скромнее — от нескольких сотен тысяч до десятков миллионов рублей.
Если эти убытки покрыты страховкой, пострадавшей компании проще обеспечить непрерывность бизнес-процессов после атаки и найти ресурсы на восстановление работоспособности. Например, в сумму возмещения можно включить оплату специалистов по расследованию инцидента, расходы на судебные тяжбы с третьими лицами, штрафы и компенсации по искам.
Покрыть страховкой можно самые разные кейсы, например:
Идеальный случай для страхования — инцидент с четко фиксированной суммой убытка. Например, компания заключила договор оказания услуг, в нем прописаны санкции за определенные события, а размер штрафа составляет некий процент от суммы договора. В этом случае риск выплаты штрафа можно застраховать, у него есть понятный размер, и компания застрахует не абстрактные киберриски, а конкретные санкции.
Еще один пример неожиданного события, которое может угрожать бизнесу, — уход западных вендоров с российского рынка в 2022 году. Компании столкнулись с заморозкой оплаченных лицензий, необходимостью нанимать или переобучать сотрудников, издержками из-за взрывного роста цен на IT-продукты. Если включить эти риски в страховку (к примеру, добавить в договор пункт «Вынужденная смена компонентов IT-инфраструктуры в связи с невозможностью продлить лицензию»), компании будет проще адаптироваться к переменам.
Какова ситуация со страхованием киберрисков в России
Для отечественного рынка страхование киберрисков — относительно новое, но активно развивающееся направление. По данным экспертов, за 2021 год спрос на услуги киберстрахования вырос в среднем на 60%. К 2025 году объем этого сегмента достигнет 8–10 млрд ₽, притом что в 2021 году он составлял 1 млрд. Для сравнения, мировому рынку киберстрахования к 2025 году прогнозируют рост до 22,1 млрд долл. (около 1,5 трлн ₽).
В 2021 году в нашей стране появился и стандарт по киберстрахованию — ГОСТ Р 59516-2021. Он представляет собой адаптированный международный стандарт «ISO/IEC 27102:2019 — Страхование киберрисков».
Как сформировать полную картину киберрисков
Важно следить, чтобы границы страхового покрытия по вашему договору соответствовали реальным последствиям инцидентов. Тогда вы не будете переплачивать за полис и сможете возместить ущерб при наступлении того или иного события безопасности. Мы рекомендуем провести анализ воздействия негативных событий на бизнес (business impact analysis, BIA) — он поможет убедиться, что условия страховки покроют все риски и возможные последствия.
По результатам анализа компания сможет оценить события с наиболее тяжелыми последствиями для бизнес-процессов. Эти данные помогут ответить на два ключевых вопроса:
Кроме того, компания сможет:
Как выбрать выгодную страховую программу
Рассмотрим, как это работает, на примере вымышленной компании, которая предоставляет облачные услуги корпоративным клиентам.
У компании два основных сервиса с разными SLA*:
Сервис «Доступ» по условиям соглашения может быть недоступен 0,25% времени, что за год составляет чуть меньше одного дня. За более длительный простой компания выплачивает клиенту компенсацию 4% от суммы договора за каждые 0,25 п. п. сверх предельных 0,25%.
В случае «Архива» компания гарантирует клиентам сохранность данных и в случае утери выплачивает 2% от суммы договора за каждый 1% скомпрометированной информации (например, при утере 10% данных компенсация составит 20% от суммы договора).
*SLA (service level agreement) — соглашение об уровне сервиса в IT-сфере или регламенте обслуживания, которое провайдер обязуется предоставить заказчику.
По результатам BIA, а также на основании SLA для сервисов «Архив» и «Доступ» определены максимально допустимые показатели доступности данных — recovery point objective (RPO) и recovery time objective (RTO):
Recovery point objective (RPO) — допустимые потери данных, или необходимая частота резервного копирования данных для их сохранения
BIA показал, что:
С этими данными несложно подсчитать ущерб, который понесет подрядчик в случае сбоев:
Посчитав размер компенсации по каждому договору и сложив эти цифры по всем клиентам, компания получит общую сумму возможного ущерба.
BIA также показал, что потеря данных из «Архива» существенно повлияет на непрерывность бизнеса, потому что в результате упадет доверие к сервису. В случае «Доступа» утеря данных на бизнес почти не повлияет, так как в сервисе применяется сквозное (end-to-end) шифрование, что не позволит третьим лицам скомпрометировать данные.
На рынке киберстрахования компания увидела следующие тарифы при страховании на 1 год:
В сервисе «Архив» максимально допустимая периодичность резервного копирования составляет 1 день. В то же время по SLA этот сервис может оставаться недоступным до 10 дней, поэтому отказ в обслуживании для него можно считать незначительной угрозой. Следовательно, тариф 3 не подходит: он не включает риск несанкционированного изменения данных, а вся страховка уходит на защиту от DDoS.
Сервис «Доступ» может быть отключен максимум на 1 день, поэтому в его случае DDoS-атаку точно нужно включить в страховку. При этом резервное копирование в нем можно проводить раз в год: риск изменения данных для «Доступа» не столь существенен. Таким образом, для этого сервиса оптимально выбрать тариф 3.
В итоге благодаря BIA компания может принять взвешенное решение: застраховать «Архив» по тарифу 1, а «Доступ» — по тарифу 3 или же приобрести единую страховку по тарифу 2.
Выбор конкретного тарифа и целесообразность страхования зависят от размеров ущерба, который нужно рассчитать заранее. Страховка должна покрывать ущерб и стоить дешевле, чем внедрение средств защиты и мер снижения риска.
Введем дополнительные условия: предположим, в ходе BIA компания выяснила, что атака на «Архив» не скажется на «Доступе», так как сервисы находятся в разных сегментах сети. В этом случае для снижения киберрисков можно рассмотреть следующие меры:
Поясним
Для «Архива» снизить риск поможет регулярное резервное копирование всех серверов, чтобы при необходимости можно было восстановить утерянные данные. Для сервиса «Доступ» фактором сокращения риска будет подключение услуги по защите от DDoS-атак. Иными словами, для «Архива» критично именно сохранить данные, а для «Доступа» — поддерживать работоспособность.
Учитывая стоимость репликации данных для «Архива», бороться с риском такими методами неэффективно — лучше застраховать его по тарифу 1.
Если компания решит использовать сервис для защиты «Доступа» от DDoS-атак, страховаться по тарифу 3 станет невыгодно из-за сравнительно больших взносов.
Резюмируем
В нашем примере компания предоставляет две услуги, которые кардинально отличаются друг от друга с точки зрения киберрисков. В реальности у бизнеса гораздо больше процессов, систем и IT-активов. В таких условиях не получится интуитивно оценить, как инциденты отразятся на бизнесе. Поэтому так важно провести BIA, чтобы убедиться, что страховка покроет все ключевые инциденты, и определить, какие киберриски эффективнее застраховать, а какие — снизить.
Вне зависимости от того, решит компания страховать свои киберриски или нет, важно укреплять общую киберзащиту и работать над киберзрелостью компании. Это поможет снизить риски, а если в будущем организация задумается о страховке, договор обойдется ей гораздо дешевле.