Hitech logo

Тренды, Мнения

Страхование информационных рисков

TODO:
Катя Литвинова24 ноября 2023 г., 11:24

Количество хакерских атак в области кибербезопасности в нашей стране продолжает расти. Согласно недавнему исследованию, за четыре месяца 2023 года, с июля по октябрь, было зарегистрировано более 17 тысяч кибератак — почти такое же количество было выявлено за первые шесть месяцев этого года. Какие киберриски существуют сегодня, и какие из них наиболее опасные? Как страхование может помочь защититься от них? Мы попросили рассказать об этом Артема Избаенкова, директора по кибербезопасности EdgеЦентра.

00
Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Перспективы в страховании

«Если ИИ — это мозг робота, то RPA — его руки». Что умеют программные роботы

Страхование от киберрисков считается перспективным направлением, поскольку угрозы кибербезопасности становятся только серьезнее. Это происходит из-за увеличения зависимости бизнеса от информационных технологий и цифровых данных. Благодаря этому направлению в страховании компании могут защитить себя от потерь, связанных с кибератаками, нарушением данных, утечкой информации и другими рисками информационной безопасности.

«Факт утечки информации несет за собой репутационные риски для оператора и владельцев этих данных, а также ответственность, закрепленную законодательством. Я считаю, что при развитии направления страхования киберрисков законодательство будет ужесточать наказания. В мире сейчас эта практика набирает обороты, потому что средств защиты информации много и их активно используют, следовательно о своей безопасности заботиться будут сами организации и, если по результатам аудита информационные инфраструктуры признаются защищенными, то для страховых компаний риски минимизированы. Получается зависимость: защищенная информационная система равно прибыль страховых компаний», — считает Игорь Бирюков, руководитель Киберхаба «Сколково».

Траты малых и средних бизнесов на защиту информационной безопасности могут сильно варьироваться в зависимости от ряда факторов, включая размер компании и отрасль, в которой она работает, географическое положение и т. д. В 2023 году стоимость обеспечения информационной безопасности составляла от 50 000 рублей до нескольких миллионов рублей в год для малых и средних предприятий.

Новые угрозы

Понимание того, какие типы угроз распространены сегодня, поможет компаниям вовремя предотвратить потенциальные проблемы в информационной безопасности компаний. Киберриски различаются в зависимости от отрасли, в которой она работает, и конкретных обстоятельств.

Они подразделяются на следующие группы:

  • кибератаки — попытки получить несанкционированный доступ к компьютерным системам и украсть, изменить или уничтожить данные. Это могут быть вредоносные программы, DDoS-атаки, фишинг;
  • утечки данных и нарушения конфиденциальности. Это сбой безопасности, при котором защищенные и закрытые данные копируются, передаются, просматриваются, крадутся или используются лицом, не имеющим на это права;
  • внутренние угрозы. Могут быть обусловлены действиями недобросовестных сотрудников;
  • кибервымогательства. Это преступления, при которых злоумышленники крадут личные или финансовые данные и угрожают причинить ущерб, если не выполнить их требование о выкупе;
  • нарушения цепочки поставщиков. Кибератака происходит через сервис и программу, которые компанией успешно использовались, но внезапно стали вредоносными. Так происходит компрометация поставщиков и подрядчиков;
  • нарушения в облачных вычислениях. Хранилища облачных данных не всегда достаточно защищены, поэтому на них часто направлена преступная активность;
  • недостатки в кибербезопасности интернета вещей (IoT). Это онлайн-угрозы устройств и сетей, к которым пользователи подключаются без установки дополнительной защиты;
  • социальная инженерия. Это различного рода манипуляция сотрудниками для получения доступа к данным или системам. Например, рассылка электронных писем с опасными ссылками, выуживание информации под видом сотрудника или коллеги, вирусные флешки и прочие хитрости.

    • Статистика по киберрискам постоянно меняется и зависит от разных источников. В 2023 году прослеживается пара тенденций. Первая — растет число хакеров-шифровальщикой, которые атакуют преимущественно малый и средний бизнес. «Коммерсант» пишет, что в 2023 году их стало в пять раз больше. Вторая — количество случаев утечки данных и нарушений конфиденциальности также продолжает расти, затрагивая миллионы человек и компаний.

    Опции на страх и риск

    Количество уникальных угроз нарушения политик ИБ постоянно растет. Увеличивается и число заражений вредоносным ПО среди государственных и частных компаний. Никто не может на 100% гарантировать защиту от кибератак ни для одной компании, но ответственность за эти опасности можно возложить на страховщика. Поэтому интерес к услугам киберстрахования со стороны бизнеса усиливается.

    Страхование киберугроз — это сравнительно новое направление не только для России, но и для всего мира. ​​Возможность предотвращения страховых событий и минимизации ущерба играет важную роль в области страхования от киберрисков.

    Подобные сервисы и услуги помогают компаниям улучшить свою кибербезопасность, предотвращая потенциальные атаки и нарушения данных, а также быстро реагировать на инциденты, чтобы уменьшить ущерб. Например, в Великобритании эта сервисная составляющая уже развита — местный страховой гигант Chubb, оказывающий услуги по личному киберстрахованию, проводит мониторинг рисков и минимизирует их, а также направляет предупреждения о возможном нарушении целостности данных. Подобные практики могут быть внедрены и в других странах, включая Россию.

    Рынок уже реагирует на новые вызовы и угрозы. У нас в стране практика предоставления услуг по снижению хакерских атак в рамках страхования от киберрисков развивается, но пока находится на стадии становления. Многие страховые компании начинают предлагать бизнесу дополнительные сервисы, такие как мониторинг кибербезопасности, консультации по укреплению защиты и реагированию на инциденты. Это помогает страхователям улучшить свою кибербезопасность и сделать свои бизнес-процессы более надежными.

    Алина Малышева, руководитель управления страхования финансовых рисков «АльфаСтрахование», рассказывает, что их компания впервые запустила свой продукт по страхованию киберрисков для бизнеса еще в 2018 году. Он ориентирован в первую очередь на средние и крупные компании. Страхованием возмещаются убытки в результате, как внешних воздействий на информационную систему компании — таргетированных атак или распространения вредоносного программного обеспечения, так и сбоев в работе оборудования и неосторожных или преднамеренных действий работников.

    У клиента есть возможность собрать нужный ему набор рисков, возмещаемых убытков и расходов. В этот список могут быть включены расходы на расследование инцидентов, восстановление информационных систем, возмещение потери прибыли и постоянных расходов в случае простоя, возмещение вреда потерпевшим третьим лицам, юридические расходы. Не исключено, что введение оборотных штрафов за утечку персональных данных станет стимулом к появлению нового фокуса внимания в киберстраховании.

    До сегодняшнего дня большинство российских клиентов были заинтересованы в возмещении убытков компании из-за потери и восстановления данных, а также потенциальным простоем бизнеса. С появлением оборотных штрафов может вырасти актуальность юридических расходов на их оспаривание.

    Игорь Бирюков считает, что для развития рынка страхования в этом направлении, нужны специализированные органы, которые будут проводить аудит и быть стандартизированы по определенной методике. Следующим шагом должно стать создание системы аккредитации аудиторов, как организации так и экспертов, сертифицирование систем защиты информации, которые будут допустимы для соответствия техническим условиям для эффективной защиты информации.

    Потребуется какое-то время, чтобы интерес к киберстрахованию со стороны компаний стал более предметным и осознанным. Отрасль информационных технологий сейчас развивается очень быстро, есть вероятность, что ИБ-страхование в ближайшие пять-семь лет плотно войдет в нашу жизнь и станет нормой делового оборота компаний.