Полис от хакера. Компаниям придется массово страховать кибер-риски
За последние пять лет кибер-инциденты поднялись с 15-й на 2-ю строчку рейтинга. Подобно стихийному бедствию кибер-атаки могут навредить сотням компаний. Так называемые «кибер-ураганы», когда хакеры вмешиваются в деятельность большого количества предприятий, используя их зависимость от общей интернет-инфраструктуры, происходят все чаще. Риски цифрового будущего Недавно специалисты университета Иннополис провели опрос, в ходе которого предложили руководителям и ведущим специалистам по информационной безопасности крупнейших компаний России и местных филиалов международных корпораций оценить степень защищенности своего бизнеса, а также назвать несколько ключевых источников киберугроз. 60% опрошенных сочли уровень безопасности своих компаний недостаточным. 3% респондентов отметили, что столкнулись с сотнями инцидентов в сфере информационной безопасности. 24% опрошенных перенесли до 100 кибератак, 48% компаний столкнулись с единичными попытками нарушить информационную безопасность. Источниками киберугроз в 66% случаев оказались действующие сотрудники компаний, в 42% — хакеры, в 27% — бывшие сотрудники. Самым распространенным киберпреступлением оказалась кража и порча внутренней информации, на втором месте — утрата персональных данных сотрудников и клиентов, на третьем — их компрометация. По количеству кибератак Россия сегодня находится на четвертом месте — об этом свидетельствуют данные Kaspersky Security Bulletin. На нее приходится 8,98% всех инцидентов информационной безопасности, зафиксированных в мире. «Лаборатория Касперского» утверждает, что средний ущерб от одного инцидента кибербезопасности для крупных российских компаний составляет 11 млн рублей, а для малого и среднего бизнеса — 1,6 млн рублей. Центр стратегических и международных исследований совместно с McAfee в 2014 году оценил убыток глобальной экономики от кибер-преступности в $445 млрд. К 2020 году этот показатель может достигнуть $3 трлн. Кибер-атаки становятся все более изощренными. В 2010 году появилось первое сообщение об успешном взломе хакерами системы безопасности промышленного предприятия. Появление программ-вымогателей WannaCry, Petya и Mirai и масштабная распределенная атака типа «отказ в обслуживании» (DDoS) на интернет-провайдера Dyn, которая в октябре 2016 года привела к сбою в работе Twitter, CNN и Netflix, вписываются в набирающую силу тенденцию к появлению «кибер-ураганов». Новая страница В мае 2018 года по всей Европе вступает в силу общий регламент по защите данных (GDPR), направленный на повышение защиты персональных данных. GDPR обещает стать самым значимым событием в области управления кибер-рисками в этом году. Российские дочерние структуры европейских компаний уже ведут работу по снижению возможных рисков, связанных с нарушением порядка обработки и трансграничной передачи персональных данных. Ожидается, что проблема в первую очередь затронет онлайн-ретейлеров. GDPR предусматривает серьезные требования к лицам, осуществляющим обработку персональных данных. Для российского юрлица, действующего на территории Евросоюза, этот регламент означает двойное обременение. GDPR пересекается по предмету регулирования и может распространяться на персональные данные одних и тех же лиц, что и небезызвестный пакет «антитеррористических» законопроектов, обязывающий операторов связи, работающих на территории России, хранить данные обо всех разговорах и переписке россиян. Хотя GDPR относится к нормам иностранного права, полностью исключить принудительное взыскание налагаемых в соответствии с ним штрафных санкций с российского лица, в особенности, если у него есть активы на территории ЕС, нельзя. Максимальный штраф может достигать $20 млн, или 4% от оборота нарушителя. В этой связи до принятия разъяснительных и директивных документов к GDPR оптимальным инструментом защиты бизнеса от возможных убытков будет страхование от кибер-рисков. Защита от киберугроз Сегодня рынок предлагает большой выбор страховых покрытий для разных рисков. Можно застраховать ущерб третьих лиц или собственный ущерб из-за перерыва в производстве или деятельности, вызванный недоступностью IT-систем из-за DDoS атаки. Страхуются также сопутствующие расходы — привлечение форензик-консультантов для расследования кибер-инцидентов, расходы на проведение внутреннего расследования, организация услуг колл-центра. Страховщики также предоставляют доступ к услугам, смягчающим негативные последствия инцидента по мере его развития, например, за счет привлечения специалистов по кризисному управлению, специализированных юристов, специалистов IT. Несмотря на информацию о растущем количестве угроз и кибер-рисков, в подавляющем большинстве российский бизнес пока неохотно передает свои риски страховщикам, ссылаясь на собственную «надежную систему IT-безопасности». И это не удивительно. Последствия для российских компаний пока не очень внушительны. Вместе с тем, очевидно, что рост автоматизации бизнеса и ужесточение законодательных нормативов ставят бизнес перед необходимостью расширения системы риск-менеджмента, в том числе аудитов кибер-безопасности и привлечения страхования кибер-рисков. Учитывая начавшиеся перемены, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет. Forbes