Вы думаете это единственный пример?
В сентябре 2022 года компания Defendify также предложила компенсацию в 1 миллион долларов в случае реализации инцидента ИБ в организации, защищенной ее решением. При этом возмещение покрывает широкий спектр инцидентов — шифровальщика, нарушение законодательных требований, компрометацию электронной почты (BEC) или любые финансовые потери в результате инцидента ИБ. В отличие от страхования киберрисков, предложение Defendify не требует подписания каких-либо договоров, прохождения андеррайтинга, урегулирования претензий и т.п.
Аналогичная история с аутсорсинговым SOC от компании Arctic Wolf, которая дает ровно те же гарантии в 1 миллион долларов, что и Defendify, и ровно для тех же инцидентов, но, судя по упоминанию андеррайтинга все-таки у них речь идет о страховании киберрисков. Полное возмещение в миллион клиент получает, если он ранее инвестировал в полное портфолио ИБ-компании; сумма возмещение падает вдвое, если заказчик воспользовался услугой MDR и одним из продуктов Arctic Wolf по анализу защищенности заказчика или повышения осведомленности его работников.
Как же это контрастирует с некоторыми российскими коммерческими SOCами, которые с пеной у рта доказывают, что никаких гарантий они давать не готовы, так как их работа зависит от множества факторов, а еще «заказчик сам дурак«. При этом этот же SOC не стесняется у себя на главной странице писать про гарантии кибербезопасности и готовность взять на себя ответственность. Но когда дело доходит до выяснения размеров этой ответственности, они начинают вилять и ссылаться на Гражданский кодекс и ограничения суммой контракта.
Одной из первых ИБ-компаний, кто предложил финансовые гарантии в случае инцидента ИБ, была SentinelOne, которая еще в 2016-м году анонсировала финансовую защиту своих заказчиков, пострадавших от шифровальщиков, на сумму также в 1 миллион долларов (на компанию или 1 тысяча долларов на узел)! Да, там тоже есть определенные условия, при которых гарантия начинает работать, но все-таки это лучше, чем засовывание головы в песок, уход от ответственности и нежелание отвечать своими «фаберже» за результат.
На самом деле, еще в 2005-м году компания Citadel Security Software запустила вместе со страховой компанией AIG систему страховая киберрисков, гарантирующую возмещение денежных средств пострадавших заказчиков в размере стоимости восстановления данных или стоимости информации (как они ее считали?), но в пределах стоимости их контракта с Citadel.
Аналогичное CrowdStrike’у предложение сделала своих заказчикам и CrowdStrike в 2018-м году.
Всем нравится круглая сумма в 1 миллион долларов!
Но есть и те, кто пошел дальше, и предложил сумму на порядок превышающую пресловутый миллион. Например, Rubrik отвечает 10 миллионами долларов, гарантируя защиту от шифровальщиков. Сумма зависит от размера защищаемого с помощью решений Rubrik хранилища.
Кстати, у Rubrik одно из самых проработанных соглашений о гарантиях из всех упомянутых ранее и позднее компаний. Все-таки сумма в 10 миллионов обязывает быть более серьезными в таких вопросах.
Не все компании самостоятельно способны запустить такие программы. Поэтому на рынке начинают появляться провайдеры соответствующих финансовых услуг, берущих на себя все непростые вопросы, связанные с гарантиями и ответственностью. Например, в мае этого года венчурный фонд DVx Ventures запустил компанию Cork, которая специально создана для того, чтобы помочь провайдерам услуг ИБ сформировать предложение по финансовым гарантиям для их заказчиков. И первые два контракта уже заключены — с Barracuda Networks и River Run.
Интересно, когда в России появятся такие компании, которые предложат своим заказчикам простые и понятные гарантии за результат ИБ и готовы будут нести существенную финансовую ответственность (не в пределах контракта) за свою деятельность, а не жить по принципу «AS IS»?..
Заметка
10 примеров ИБ-компаний, готовых нести финансовую ответственность за пропуск атак была впервые опубликована на Бизнес без опасности .