Страхование киберрисков: смелый и неопределенный новый мир для страховщиков и страхователей

Несмотря на растущую интенсивность и частоту кибератак, менее 1/3 предприятий США приобрели полисы киберстрахования. Недавний отчет Deloitte дает представление о том, почему организации решают отказаться от киберстрахования, а также почему многие страховщики не решаются предлагать такое покрытие в крупных масштабах.

Согласно недавнему отчету Deloitte, Разоблачение киберстрахования, Полисы киберстрахования составили всего от 1.5 до 3 миллиардов долларов из общей суммы в 505.8 миллиардов долларов в доходах от страховых премий, полученных американскими операторами в 2015 году. Кроме того, только около 29% организаций вообще приобрели полис по состоянию на октябрь 2016 года. Только 40% компаний из списка Fortune 500 имеют страховое покрытие. Даже компании, у которых есть полисы, могут иметь «скудное» покрытие, которое оставит их ни с чем, если они когда-нибудь подадут иск; просто спросите сеть ресторанов быстрого питания PF Chang's, который узнал на собственном горьком опыте, что его полис киберстрахования не покрыл миллионы долларов обязательств перед эмитентами кредитных карт в результате взлома POS-терминала.

Почему киберстрахование такое неоднородное? Легко указать пальцем на страховщиков, страхователей или и на тех, и на других. В конце концов, страховые компании не зарабатывают деньги на выплате претензий; они зарабатывают деньги на сборе премий и выплате претензий лишь изредка. Когда страхователь подает иск, будь то ремонт крыши или атака вируса-вымогателя, страховщик будет искать все причины выплачивать. В то же время, как государственный, так и частный сектор виновны в том, что не относятся к кибербезопасности серьёзно; Yahoo в Major League Baseball в Секретная служба СШАорганизации продолжают подвергаться взлому, однако продолжают вести себя так, как будто крупная кибератака с ними никогда не произойдет.

Хотя эти вопросы обоснованы, ситуация с киберстрахованием не так проста. Отчет Deloitte выявил многочисленные препятствия на пути как страховых компаний, желающих продавать полисы, так и организаций, желающих их покупать. В частности, страховщики сталкиваются с проблемами:

• Отсутствие исторических данных, что затрудняет или делает невозможным построение надежных прогностических моделей.
• Динамичный характер кибербезопасности, где буквально ежедневно возникают совершенно новые угрозы.
• Вероятность «катастрофического накопления» исков, если общенациональная или всемирная кибератака одновременно затронет сотни или тысячи заявителей; например, если кибертеррористы нанесут удар по национальной энергосистеме или будет отключен крупный веб-хостинг.
• «Туннельное зрение» заставляет страховщиков в первую очередь сосредотачиваться на политиках, защищающих страхователей от кражи персональных данных (PII); не все организации обрабатывают PII, а ландшафт угроз включает DDoS-атаки, программы-вымогатели и другие атаки, которые могут нанести ущерб организации, но не подразумевают компрометацию PII.

С другой стороны, страхователи сталкиваются с:

• Недостаточное понимание своих киберрисков или вариантов страхования; подобно ситуации с медицинским страхованием, многие организации считают, что им «не нужна» киберстраховка или требуются только базовые полисы.
• Ошибочно полагать, что они уже застрахованы, поскольку другой страховой полис, например, страхование общей ответственности или страхование от перерывов в производстве, в некоторой степени покрывает киберриски.
• Невозможность эффективно сравнивать полисы из-за отсутствия стандартизации — еще одна проблема, которая наблюдается на рынке индивидуального медицинского страхования; покупатели не могут сравнивать «яблоки с яблоками».
• Правовая среда столь же динамична, как и окружающая среда угроз; бывает сложно определить, что покрывается страховым полисом, а что нет, и страхователи опасаются, что им придется вступать в судебные тяжбы со страховыми компаниями.

Киберстрахование не является заменой проактивной кибербезопасности

Организации, желающие приобрести полисы киберстрахования, не могут действовать в одиночку. Им необходимо обратиться за помощью к специалистам по кибербезопасности не только для анализа потенциальных полисов, но и для оценки среды рисков и определения необходимого типа покрытия. Поскольку среда киберрисков постоянно развивается и меняется, киберстрахование следует пересматривать ежегодно; полис, приобретенный организацией два года назад, может больше не отвечать ее потребностям.

Так же, как страхование жилья не является оправданием не запирать двери или оставлять без присмотра готовящуюся на плите еду, даже надёжный полис киберстрахования не заменит превентивные меры кибербезопасности. В страховых полисах всегда будут исключения, особенно в случаях халатности страхователя, выплаты по страховым случаям никогда не будут мгновенными, а страховые полисы не смогут компенсировать ущерб, нанесённый репутации организации.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.

Правила кибербезопасности финансовых учреждений штата Нью-Йорк могут стать моделью для других штатов

Первая фаза правил кибербезопасности штата Нью-Йорк, которая распространяется на страховые компании, банки и другие финансовые учреждения, работающие на территории штата, вступила в силу 1 марта.

Хотя страховая и финансовая отрасли уже строго регулируются, законодательство Нью-Йорка стало первым на уровне штата, устанавливающим конкретные требования к кибербезопасности. Несмотря на некоторое дублирование существующих правил и стандартов, требования, предусмотренные законодательством Нью-Йорка, весьма конкретны. Однако в этих требованиях нет ничего революционного; они представляют собой разумные, проактивные методы обеспечения кибербезопасности, которых все организации должны придерживаться. В связи с этим, а также учитывая международный охват финансовых и страховых организаций, на которые распространяется это законодательство, ожидается, что оно станет образцом для других штатов.

Требования Правил кибербезопасности штата Нью-Йорк

Новый закон состоит из 14 страниц и содержит 23 раздела; Вы можете скачать копию в формате PDF здесь. Помимо прочего, организации должны:

• Разработать и внедрить программу кибербезопасности на основе комплексной оценки рисков. Среди прочих требований программа должна включать план организации по обнаружению и реагированию на «события кибербезопасности», «восстановлению после событий кибербезопасности и восстановлению нормальной работы и услуг», а также «выполнению применимых обязательств по предоставлению нормативной отчетности». Программа кибербезопасности также должна устанавливать безопасные процедуры разработки приложений, разработанных собственными силами.
• Внедрите и поддерживайте письменную политику кибербезопасности. Политика должна основываться на оценке рисков и включать «политики и процедуры по защите информационных систем [организации] и непубличной информации, хранящейся в этих информационных системах».
• Разработайте и поддерживайте письменный план реагирования на инциденты кибербезопасности.
• Обеспечить всем сотрудникам регулярное обучение по вопросам кибербезопасности.
• Назначьте директора по информационной безопасности (CISO). Организация может нанять собственного директора по информационной безопасности (CISO) или воспользоваться услугами стороннего поставщика услуг для выполнения этой функции.
• Проводите тестирование на проникновение, оценку уязвимости и периодические оценки рисков.
• Ведение аудиторских журналов.
• Установите соответствующие права доступа пользователей системы.
• Нанимать «квалифицированный персонал по кибербезопасности» для выполнения функций, связанных с кибербезопасностью. Сторонний персонал может быть заменен внутренними сотрудниками. Важно отметить, что закон требует, чтобы этот персонал проходил постоянное обучение, чтобы они оставались в курсе своей деятельности.
• Разработать отдельную политику кибербезопасности для сторонних поставщиков услуг.
• Используйте многофакторную аутентификацию и шифрование данных.

Закон также содержит требования к отчетности, уведомлению и конфиденциальности, а также определенные исключения для организаций с численностью сотрудников менее 10 человек, валовым годовым доходом менее 5 миллионов долларов и активами менее 10 миллионов долларов.

Нехватка навыков может затруднить соблюдение требований

У большинства банков, других финансовых организаций и страховых агентств штата Нью-Йорк есть шесть месяцев с 1 марта, чтобы внедрить первую фазу закона, включая политику кибербезопасности, программу обучения сотрудников и программу реагирования на инциденты. Несмотря на исключения из закона для небольших компаний, многие финансовые и страховые организации обеспокоены своей способностью соблюдать новый закон. Существует значительный пробел в навыках кибербезопасности, что уже подняло зарплаты до небес – при условии, что организация вообще сможет найти квалифицированный талант. Теперь, когда ожидается, что многонациональные финансовые компании Уолл-стрит начнут активно набирать аналитиков и инженеров по безопасности, кадровый резерв сократится еще больше, а затраты на рабочую силу вырастут еще выше.

Новый закон довольно сложен, а штрафы за несоблюдение очень высоки. Сейчас, как никогда, фирмы, затронутые законом Нью-Йорка, должны (1) использовать Программное обеспечение RegTech, такое как IT Audit Machine (ITAM) от Continuum GRC автоматизировать свои функции управления, риска и соответствия требованиям и (2) передать свою кибербезопасность на аутсорсинг квалифицированному стороннему поставщику, такому как Lazarus Alliance.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech обеспечат соответствие вашей организации новым требованиям законодательства штата Нью-Йорк о кибербезопасности и защитят вас от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать требования кибербезопасности штата Нью-Йорк, обеспечивать соответствие требованиям и защищать ваши системы.