Страхование киберрисков — задача государственной важности

Ни у кого уже не осталось сомнений, что мы живем в эпоху кибервойн. Хакеры, которые когда-то проникали в IT-инфраструктуру компаний для обычной кражи денег или информации, сегодня кажутся нам невинными детьми по сравнению с теми, кто своими атаками приводят к полному разрушению информационной структуры и оставляют после себя выжженное поле. Защита информационного пространства является первостепенной задачей и любой организации, особенно если она управляет объектами критической инфраструктуры, и государства в целом.

ДЕЙСТВИТЕЛЬНО НАДЕЖНАЯ ЗАЩИТА

Построение надежной защиты от ки­бер-угроз должно начинаться с по­строения отвечающей современным реалиям системы кибербезопасности. Без этого элемента говорить о защи­те невозможно. К сожалению, до сих пор остаются компании, уделяющие недостаточно внимания кибербезо­пасности, или думающие, что это их не коснется.

Внимание в области кибербезопас­ности определяется не только суммой расходов на эти мероприятия. Мы часто сталкивались с ситуациями, когда в компании с большими затрата­ми на информационную безопасность возникает чувство ложной защищен­ности, а в реальности никто ни разу даже не пытался, например, произве­сти учения по восстановлению дан­ных из бэкапа. Когда же в реальности происходит инцидент, удивлялись, что бэкап оказался либо бесполезен, либо восстановление заняло недели вместо первоначально планируемых несколь­ких часов.

Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть. Злоумышлен­ники не стоят на месте и постоянно развиваются в поисках новых уяз­вимостей. Защиты, которую вообще нельзя преодолеть, на сегодняшний день не существует. Преступники могут месяцами «сидеть» внутри компании, ждать ошибки и воспользоваться пред­ставленным случаем для атаки.

СТРАХОВЩИК КАК СОЮЗНИК

Чем же может помочь страховщик компании и государству для защиты киберрубежей?

Все понимают, что страховщик возмещает убытки, которые понес страхователь, и это не зависит от вида страхования, но давайте по порядку. В недалеком прошлом у страховщиков не было достаточного опыта в оценке подобных рисков, но с ростом коли­чества страхователей и количества страховых случаев компетенции стра­ховщиков выросли.

На первоначальном этапе страховщик помогает оценить уровень информаци­онной зрелости самого страхователя — именно зрелости, а не только защи­щенности. Безусловно, страховщик уточняет, какие средства безопасности используются, оценивает, насколько они соответствуют современным угро­зам; чьи средства безопасности можно принимать, а от каких поставщиков лучше отказаться, используя свой вну­тренний рейтинг, исходя из истории убыточности. Но это не самое главное.

Проблема любой защиты в том, что то, что отвечает хорошему уровню рискозащищенности сегодня, может очень быстро устареть

Принимая какой-либо риск на стра­хование, любой страховщик понимает, что основное — это тяжесть послед­ствий при наступлении страхового слу­чая. Тяжесть в этом виде страхования определяется сложностью и длитель­ностью восстановления после атаки, а это, помимо имеющихся средств безопасности, зависит от установлен­ных процедур самого страхователя. Основной вопрос в таких ситуациях, что и как делать, если произошел стра­ховой случай. И это один из немногих видов страхования, где ответ на вопрос определяет не только стоимость, но и возможность самого страхования.

План аварийного восстановления должен существовать не только на бу­маге, по нему должны проводиться тренировки, он должен постоянно совершенствоваться и отражать реаль­ную картину информационных систем компании. Если этого нет, то стра­ховщик подскажет страхователю, что и как нужно сделать, чтобы повысить уровень информационной зрелости компании. В течение всего периода страхования страховая компания не прекращает контакт со страховате­лем, она предупредит, если появились новые угрозы, а также поделится опытом событий или возможностей, которые позволят улучшить защиту.

При страховании киберрисков вопрос стоит в том, как быстро компания сможет восстановить свою деятельность

При страховании киберрисков во­прос в настоящий момент стоит уже не в плоскости, произойдет или не про­изойдет страховой случай, а в том, как быстро компания сможет восстановить свою деятельность и вернуться к уров­ню до наступления страхового случая.

В большинстве случаев восстанов­ление после кибератаки при наличии страхования происходит быстрее, чем без него: не каждая компания сможет найти свободные денежные средства и необходимых специалистов для лик­видации последствий, для некоторых это может стать смертельным ударом, после которого бизнес закроется.

Страховщики дополнительно, помимо оценки рискозащищенно­сти, оценивают еще и финансовое состояние страхователя. Это помогает понять риск полного прекращения деятельности компании при длитель­ном простое после атаки. Для таких компаний риски убытков от перерыва в производстве оцениваются с осо­бой осторожностью, т.к. вероятность исчерпания всей страховой суммы особенно велика. Страховщик может даже отказаться страховать такой риск, оставив в страховом покрытии только затраты на восстановление информа­ционной системы.

Средний срок восста­новления среднего биз­неса занимает в районе трех недель, где только затраты на специалистов составляют до двухсот миллионов рублей, не говоря уже об убыт­ках от перерыва в ком­мерческой деятельности, которые тоже могут быть покрыты догово­ром страхования.

Принимая какой-либо риск на страхование, любой страховщик пони­мает, что основное — это тяжесть последствий при наступлении стра­хового случая. Тяжесть в этом виде страхования определяется сложно­стью и длительностью восстановления после атаки.

При наступлении стра­хового случая страхов­щик, помимо основного страхового возмещения, может помочь органи­зовать альтернативные линии связи с клиентами, поставщиками и сотруд­никами, оплатить работу специали­стов по расследованию инцидента, нанять переговорщика для общения с кибервымогателями, организовать юридическую защиту от претензий контрагентов, привлечь дополнитель­ный персонал для организации работы вручную, пока информационная систе­ма не восстановлена, и предоставить еще много дополнительных услуг, что было невозможно представить некото­рое время назад.

Недооценивать значимость допол­нительных услуг нельзя. Например, профессиональное общение с вымога­телями позволяет понять, как глубоко мошенники проникли в систему и ка­кие именно данные оказались в руках мошенников. При самостоятельном общении можно стать жертвой ма­нипуляций, т.к. вымогатели обычно преувеличивают свои достижения, и подвергнуться еще большей панике.

В обозримом будущем при уве­личении количества страхователей страховщики создадут собственные инженерные центры, как это сейчас организовано в страховании имуще­ства, специалисты которых будут без привлечения внешних организаций заниматься предстраховой оценкой ри­ска, а также участвовать в ликвидации последствий кибератак.

СЛОЖНОСТИ КИБЕРСТРАХОВАНИЯ

При таких огромных возможно­стях в киберстраховании существуют и определенные проблемы. В первую очередь — это емкость российского рынка. В настоящий момент макси­мальная емкость российского рын­ка оценивается в 3 млрд руб., что недостаточно для покрытия убытков от перерыва в производстве на период восстановления крупных компаний. Маленькая емкость связана с низкой вовлеченностью страховщиков в этот вид страхования (только пять россий­ских страховщиков активно занима­ются страхованием таких рисков), а также небольшим собственным удержанием тех страховщиков, кото­рые этим занимаются. Мы рассчиты­ваем на рост емкости путем активного участия АО РНПК и всего страхового сообщества.

Профессиональное общение с вымогателями позволяет понять, как глубоко мошенники проникли в систему и какие именно данные оказались в их руках

Вторая по значимости пробле­ма — это отсутствие единого меха­низма оценки рискозащищенности. Безусловно, у страховщиков есть механизмы, которые описаны выше, но не существует единой измеримой градации. В этом вопросе необходимо активное подключение компаний, которые непосредственно занимаются кибербезопасностью. В настоящий момент эти организации разрознены, не имеют своего СРО, что усложняет их объединение ради общих целей. Мы рассчитываем, что со време­нем ими будут выработаны единые стандарты, которые позволят страхов­щикам на них опираться, что ляжет в основы оценки риска и определения стоимости полиса.

Третья по важности, но самая мас­совая проблема заключается в том, что владельцы бизнеса думают, что кибератака их не коснется, либо вообще не понимают само наличие такого риска. Порядка 80 % страхо­вателей обратились к страховщику уже после того, как были атакованы. После атаки мгновенно происходит осознание самой угрозы, растет ин­формационная зрелость. Но зачастую этот опыт оказывается очень доро­гим для компании. Своевременное обращение к страховщику позволило бы компании заранее понять суще­ствующие проблемы и уязвимости, что могло бы предотвратить кибера­таку, а в случае успешной кибератаки компания получила бы страховое возмещение. Поэтому популяризацию этого вида страхования мы считаем актуальнейшей задачей всего страхо­вого сообщества.

Особняком стоит дискуссия о ри­сках, связанных с утратой персональ­ных данных. В настоящий момент лицо, чьи данные были утрачены или разглашены, фактически может получить возмещение за этот инци­дент только обратившись в суд. При этом требуется доказать, кто именно разгласил данные (любой человек оставляет свои данные большому количеству юридических лиц), а сама компенсация носит символический характер. Именно это сдерживает фи­зических лиц от массовых обращений в суды. Есть различные инициативы по определению стоимости единицы информации, но они находятся на на­чальных этапах разработки.

Специалисты по информационной безопасности утверждают, что почти все персональные данные, которые физические лица сообщают организа­циям, уже находятся в руках мо­шенников, которые пользуются ими для организации атак, в том числе с использованием механизмов соци­альной инженерии. При этом мошен­ники действуют очень организованно, с распределением ролей: одни дан­ные похищают, вторые их продают, а третьи непосредственно занимаются обманом физических лиц. Поэтому от момента утраты данных до атаки проходит достаточно много времени. Учитывая социальную важность темы, уверен, что вопросы защиты персо­нальных данных будут совершенство­ваться, в том числе с привлечением страховщиков.

Понимая важность страховых ме­ханизмов ликвидации последствий кибератак, в настоящий момент идут законодательные консульта­ции о необходимости обязательного страхования объектов критической информационной инфраструктуры, как это определено в рамках 187-ФЗ «О безопасности критической инфор­мационной инфраструктуры Рос­сийской Федерации». Это сложный вопрос, требующий глубокой прора­ботки и настройки такого механизма, если он будет утвержден. Основная цель — наличие быстрого и относи­тельно дешевого способа ликвидации последствий кибератак, что позволило бы сохранить работо­способность предпри­ятий общественной значимости, а возмож­но — и предотвратить сами кибератаки.

Помимо перечислен­ных проблем, мы стал­киваемся с неожидан­ными трудностями со стороны самого страхователя: специали­сты по информационной безопасности зачастую воспринимают подобное страхова­ние негативно, т.к. они думают, что компания купит полис и сократит их рабочие места. Естественно, что это не так. Кибербезопасность — со­вместная работа страхователя в лице специалистов по информационной безопасности и руководителей ком­пании, разрабатывающих процедуры и мероприятия по организации вос­становления, и страховщика, компен­сирующего ущерб при наступлении страхового случая.