В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах:
- Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за решения и действия, принятые ими в ходе выполнения своих обязанностей. Оно покрывает юридические издержки и убытки, возникающие из-за претензий, связанных с предполагаемыми неправомерными действиями, совершенными ими в рамках их управленческих функций.
- Страхование профессиональной деятельности (Errors & Omissions, E&O). Это вид страхования защищает профессионалов и компании от претензий, связанных с ошибками, упущениями или небрежностью в предоставлении профессиональных услуг. Оно покрывает юридические издержки и убытки, возникающие из-за претензий клиентов и других третьих лиц, связанных с качеством предоставленных услуг.
Согласно отчету «2023 Global Chief Information Security (CISO) Survey” от Heidrick & Struggles, 38% американских CISO не покрыты D&O страховкой своих компаний, а еще 18% не знают, покрыты ли они!
В кейсе с Джо Салливаном, CSO Uber, который скрыл факт несанкционированного доступа к персональным данным и позже это действие провел как участие в Bug Bounty, сработала бы страховка D&O, так как она покрывает в случае с CISO:
- Неправомерные действия, халатность, ошибки в управлении деятельностью по ИБ.
- Претензии акционеров, сотрудников, клиентов и других третьих лиц к CISO.
- Нарушения со стороны CISO корпоративных регламентов и политик.
Эта же страховка помогла бы Тимоти Брауну, CISO SolarWinds, который был обвинен Комиссией по ценным бумагам США за сокрытие от инвесторов факта о низкой защищенности компании, или Амиту Бхардваджу, CISO Lumentum Holdings, которого та же Комиссия обвинила в незаконной торговле акциями перед объявлением о двух сделках по поглощению и слиянию. Иными словами, эта страховка покрывает следующие варианты претензий:
- Иски акционеров за неверное управление или введение в заблуждение (кейс Брауна).
- Претензии работников о дискриминации или неправомерном увольнении.
- Претензии регуляторов о нарушении законодательства (кейс Бхарваджа).
E&O-страхование имеет схожую природу, но есть и отличия. Во-первых, оно распространяется не на директоров, а на профессионалов, работающих в компании (например, не CISO, а ведущих специалистов). Кроме того, это страхование хорошо подойдет для ИБ-компаний, оказывающих услуги своим клиентам. Соответственно эта страховка покрывает ошибки, упущения, халатность в профессиональных услугах и неправильное выполнение своих служебных обязанностей, за которыми последовали иски со стороны клиентов, а не акционеров или государства, как в случае со страхованием D&O. Примерами исков со стороны клиентов могут быть:
- Претензии клиентов о недостаточно качественном выполнении работ или услуг по ИБ.
- Ошибки в расчетах, проектировании, консультациях и других профессиональных ИБ-услугах.
- Претензии за неисполнение контрактных обязательств.
D&O-страхование фокусируется на защите руководителей разного уровня от претензий, связанных с их управленческими решениями и действиями, тогда как E&O-страхование направлено на защиту профессионалов и компаний от претензий, связанных с качеством предоставленных ими услуг.
Обе эти страховки предлагаются и в России, но в условиях отсутствия претензий у нас к руководителям ИБ (исключая кейс с «Сиреной-Трэвел«), это не является достаточно стимулом по активному развитию этого сегмента рынка. В США, по недавно введенным правилам Комиссии по ценным бумагам, именно CISO может понести ответственность за инциденты ИБ и возмещать ущерб и судебные издержки из своего кармана. Без D&O-страховки это будет тяжким бременем для него и его семьи. В России этого нет. А вот как демонстрация приверженности компании защите своих руководителей — это вполне может быть дополнительной причиной выбора компании для высококвалифицированных ИБ-кадров.
В том случае если CISO оказывает консалтинговые услуги другим компаниям (у нас такое бывает нередко), то ему может помочь личная E&O-страховка. Если, конечно, он опасается, что к результатам его работы могут быть претензии, которые закончатся иском со стороны клиента. Хотя я таких случаев у нас в стране не знаю.
В качестве резюме могу отметить, что тема со страхованием ответственности CISO нова даже на Западе, но может быть со временем положительно воспринята и у нас. Тем более, что такой страховой продукт у нас уже есть, только пока он не распространялся на руководителей ИБ, которые, надо признать, и на уровне топ-менеджмента пока не так чтобы активно встречаются.
Заметка Страхование ответственности [от] действий CISO была впервые опубликована на Бизнес без опасности .