12 советов по страхованию киберрисков. Часть 1

12 советов по страхованию киберрисков. Часть 1

Отличная статья по страховкам ИБ. Рекомендована к прочтению.

Поскольку киберстрахование становится все более доступным и популярным, оно, вместе с тем, становится и более сложным и запутанным. Ниже мы предлагаем руководство относительно того, как застраховаться, получить приличное покрытие и избежать ограничений.

Страхование КиберОтветственности, или киберстрахование, поможет защитить вашу организацию от финансовых последствий успешной атаки на систему данных. Такая атака может включать в себя и кражу данных пользователей с серверов. В настоящее время вопросы о том, как получить страховое покрытие, добиться выгодного страхового тарифа, а также гарантировать получение выплаты при наступлении страхового случая, остаются не до конца проясненными. Некоторые могут сомневаться в том, будет ли оплачено требование о возмещении ущерба, учитывая, что политика бывает очень невнятной, когда доходит дело до оплаты покрытия таких событий, как, например, атака на электронную почту.

Вполне возможно, что вся это путаница создает определенных риск для обеих сторон: и для страховщика, и для застрахованного. Хорошая новость в том, что фокусирование внимания на риске является благом для всех, поскольку заставляет организации рассматривать риски в свете использования технологии и наличия партнерский взаимоотношений, повышая тем самым кибербезопасность по всем направлениям.

Базовые требования для страхового покрытия

Тип бизнес деятельности – здравоохранение, розничная торговля или производство – определяет основное различие в том, какой размер покрытия может получить компания. Например, крупные здравоохранительные организации и предприятия розничной торговли будут подвергаться более тщательному изучению и страховаться по более высоким ставкам по сравнению с мелкими производителями, отчасти по причине большего объема данных, требующих защиты. Также принимается во внимание общая стоимость плюс необходимость соответствия определенным правилам конфиденциальности в отношении этих данных.

Деятельность вашей компании действительно имеет значение с точки зрения риска. Страховщики будут внимательно сравнивать то, что делает вас неуязвимым для атак и то, что представляет серьезную опасность для компании. Можно подвести следующий итог: если у вас имеется высокий уровень защиты, то вы, скорее всего, получите необходимое покрытие. Если нет, то – нет. Обратите внимание на следующие базовые требования:

— Процедура реагирования на инциденты и поддержание непрерывности бизнес-планов;
— Понимание и соблюдение промышленных нормативных правил и положений;
— Применение протоколов шифрования;
— Наличие надлежащей защиты информации, политики и процедуры конфиденциальности;
— Регулярное сканирование на наличие уязвимостей (или наличие аналогичной программы);
— Оценка рисков со стороны третьих лиц;
— Наличие должности директора по информационной безопасности, начальника отдела информации или аналогичного специалиста;
— Регулярные бэкапы;
— Политика хранения документов;
— Обучение сотрудников с целью повышения осведомленности в вопросах безопасности.

Вы получаете то, за что платите

Соответствие указанным базовым требованиям совсем не означает, что вы получите более выгодный страховой тариф. В действительности, если ваш бизнес будет признан рискованным, то, скорее всего, вам предложат застраховаться по повышенному тарифу. Однако, страховые ставки подвержены влиянию со стороны рынка больше, чем со стороны рисков. Рынок будет определять ставки. Так, например, спрос, предложение и ценность информации могут породить рост тарифов по всем направлениям.

Как и с любой другой страховкой, вы всегда сможете найти страховщика, который предложит вам желаемое покрытие за меньшие деньги. Прежде, чем заключать договор, удостоверьтесь, что страховая компания имеет достаточный опыт в данной сфере. Самое худшее, что может случиться с организацией – заключение договора со страховщиком, который только сделал свой первый шаг в киберсфере. При необходимости выплачивать серьезные страховые суммы, такие компании могут резко взвинтить тарифы или вообще вылететь со страхового рынка. Вряд ли вам понравится необходимость подыскивать себе нового страховщика по причине банкротства первого.

Страховые компании ищут клиентов с хорошим уровнем безопасности, особенно в рискованных сферах. В конце концов, это вопрос управления рисками. Страховщики проводят соответствующую оценку на всех уровнях управления организацией – от простого сотрудника до руководящего звена. Вопрос не в наличии необходимых технологий. Страховщики хотят видеть, что для управления рисками выделен солидный бюджет, что вы регулярно инвестируете в эту сферу, а также уверенно повышаете уровень безопасности организации.

Развитие корпоративной культуры безопасности

Хотя эта сфера тяжело поддается оценке, вам следует развивать корпоративную культуру безопасности, выходящую за рамки наличия соответствующих технологий и политики. Сообразность базовым требованиям должно стать лишь первым шагом в программе безопасности, предшествующей заключению договора страхования. Страховая политика не сможет решить крупные проблемы в случае их возникновения.

Человеческий фактор представляет собой серьезную угрозу, и организациям необходимо трезво оценивать этот риск. Например, постоянное обучение и повышение квалификации помогает сотрудникам быть более успешным в противостоянии фишинг угрозам.

Компания Ernst & Young советует предпринять следующие шаги, для того, чтобы добиться  разумного размера страховой премии:

—  Сделайте обзор и оценку действующей системы киберзащиты, при необходимости внесите изменения. Для того, чтобы получить соответствующую квалификацию и разумный размер страховой премии, компании должны иметь сильную инфраструктуру IT безопасности.
— Заполняйте заявление на заключение страхового договора подробно и правдиво. В нем будет содержаться длинный список вопросов относительно инфраструктуры  IT безопасности, соответствующих корпоративных процедурах и имевших место случаях утечки информации. Любая неточность или несоответствие действительности может привести к отмене покрытия того или иного требования, а также аннулированию потенциального полиса в целом.

Вывод: вам необходимо сделать свою организацию как можно более привлекательной для того, чтобы получить выгодный тариф и необходимое покрытие.

Выбор правильного страховщика

По мнению специалистов компании Ernst & Young, для организаций очень важно исследовать, оценить и научиться управлять киберрисками прежде, чем заключать договор страхования. Да, вам необходима страховка для того, чтобы эффективно управлять остаточным риском, поскольку невозможно целиком устранить риск утечки информации с помощью соответствующих процессов и технологий. Необходимо принять во внимание следующие факторы:

— Киберстрахование обрело невероятную популярность и доступность. Вы можете застраховаться, выбрав страховую компанию любого размера и занимающую любую долю рынка;
— Полисы, предлагаемые различными компаниями, могут существенно отличаться друг от друга. Положения и условия требуют тщательного анализа, чтобы убедиться, что предлагаемое покрытие действительно соответствует имеющимся у компании рискам.
— Вам необходимо понимать уникальные особенности риска своей компании. Например, организациям, работающим в сфере здравоохранения, необходимо приобретать полис и покрытие, которые соответствуют тем специфическим угрозам, с которыми они сталкиваются. Какие данные вы храните? В чем заключается риск? Каково направление потенциальной атаки? Кто пострадает в результате взлома системы или кражи данных?

Кроме того, вам необходимо провести тщательное исследование относительно страховых брокеров и операторов, которые, как правило, делятся на три основных вида:

— Некоторые операторы выдают полисы киберстрахования с 1998 года и предлагают обладателям страховки услуги по предотвращению убытков, помогая управлять рисками в сфере конфиденциальности и сетевой безопасности.
— Есть операторы, предлагающие киберполис с полным спектром услуг, обеспечивающим покрытие и для непосредственных участников, и для третьих лиц, а также для претензий со стороны киберпрофессионалов, юридических лиц, судебных представителей и экспертов по связям с общественностью;
— Имеются и такие операторы, которые предоставляют владельцам полисов инструменты и ресурсы для незамедлительного реагирование на утечку данных и минимизации ущерба для репутации.

Проводя исследование потенциальных страховых операторов, внимательно изучите историю выплат по страховым претензиям, практические примеры работы компании и другие показатели деятельности.

12 Tips for Securing Cyber Insurance Coverage



Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Антивирус для мозга!

Лечим цифровую неграмотность без побочных эффектов

Активируйте защиту — подпишитесь

Евгений Царев

Персональные данные, Информационная безопасность и ИТ-инновации