Данные, пожалуй, один из самых ценных активов любой организации. Информация о клиентах, личные данные сотрудников и конфиденциальная бизнес-аналитика представляют собой сложную задачу, поскольку данные, проходящие через современные предприятия, представляют собой как значительные возможности, так и серьёзные риски. 

Компании сталкиваются с непростой задачей: инвестировать в меры по обеспечению соответствия требованиям для защиты конфиденциальной информации, одновременно готовясь к реальной возможности нарушения этих мер. Понимание истинных затрат, связанных как с соблюдением требований, так и с утечками данных, стало важнейшим условием долгосрочного успеха и устойчивости любой организации.

Читать

Мы написали несколько статей и ресурсов о сертификации StateRAMP для поставщиков облачных услуг (CSP). Однако в этом процессе задействовано несколько сторон. Одной из самых важных является государственный орган, ищущий надежного партнера CSP.  Здесь мы обсудим некоторые шаги высокого уровня, которые должен предпринять государственный орган для принятия требований StateRAMP. Это включает необходимые контакты, инфраструктуру и документы, необходимые для соответствия StateRAMP.

Читать

Страхование киберрисков: смелый и неопределенный новый мир для страховщиков и страхователей

Несмотря на растущую интенсивность и частоту кибератак, менее 1/3 предприятий США приобрели полисы киберстрахования. Недавний отчет Deloitte дает представление о том, почему организации решают отказаться от киберстрахования, а также почему многие страховщики не решаются предлагать такое покрытие в крупных масштабах.

Согласно недавнему отчету Deloitte, Разоблачение киберстрахования, Полисы киберстрахования составили всего от 1.5 до 3 миллиардов долларов из общей суммы в 505.8 миллиардов долларов в доходах от страховых премий, полученных американскими операторами в 2015 году. Кроме того, только около 29% организаций вообще приобрели полис по состоянию на октябрь 2016 года. Только 40% компаний из списка Fortune 500 имеют страховое покрытие. Даже компании, у которых есть полисы, могут иметь «скудное» покрытие, которое оставит их ни с чем, если они когда-нибудь подадут иск; просто спросите сеть ресторанов быстрого питания PF Chang's, который узнал на собственном горьком опыте, что его полис киберстрахования не покрыл миллионы долларов обязательств перед эмитентами кредитных карт в результате взлома POS-терминала.

Почему киберстрахование такое неоднородное? Легко указать пальцем на страховщиков, страхователей или и на тех, и на других. В конце концов, страховые компании не зарабатывают деньги на выплате претензий; они зарабатывают деньги на сборе премий и выплате претензий лишь изредка. Когда страхователь подает иск, будь то ремонт крыши или атака вируса-вымогателя, страховщик будет искать все причины выплачивать. В то же время, как государственный, так и частный сектор виновны в том, что не относятся к кибербезопасности серьёзно; Yahoo в Major League Baseball в Секретная служба СШАорганизации продолжают подвергаться взлому, однако продолжают вести себя так, как будто крупная кибератака с ними никогда не произойдет.

Хотя эти вопросы обоснованы, ситуация с киберстрахованием не так проста. Отчет Deloitte выявил многочисленные препятствия на пути как страховых компаний, желающих продавать полисы, так и организаций, желающих их покупать. В частности, страховщики сталкиваются с проблемами:

• Отсутствие исторических данных, что затрудняет или делает невозможным построение надежных прогностических моделей.
• Динамичный характер кибербезопасности, где буквально ежедневно возникают совершенно новые угрозы.
• Вероятность «катастрофического накопления» исков, если общенациональная или всемирная кибератака одновременно затронет сотни или тысячи заявителей; например, если кибертеррористы нанесут удар по национальной энергосистеме или будет отключен крупный веб-хостинг.
• «Туннельное зрение» заставляет страховщиков в первую очередь сосредотачиваться на политиках, защищающих страхователей от кражи персональных данных (PII); не все организации обрабатывают PII, а ландшафт угроз включает DDoS-атаки, программы-вымогатели и другие атаки, которые могут нанести ущерб организации, но не подразумевают компрометацию PII.

С другой стороны, страхователи сталкиваются с:

• Недостаточное понимание своих киберрисков или вариантов страхования; подобно ситуации с медицинским страхованием, многие организации считают, что им «не нужна» киберстраховка или требуются только базовые полисы.
• Ошибочно полагать, что они уже застрахованы, поскольку другой страховой полис, например, страхование общей ответственности или страхование от перерывов в производстве, в некоторой степени покрывает киберриски.
• Невозможность эффективно сравнивать полисы из-за отсутствия стандартизации — еще одна проблема, которая наблюдается на рынке индивидуального медицинского страхования; покупатели не могут сравнивать «яблоки с яблоками».
• Правовая среда столь же динамична, как и окружающая среда угроз; бывает сложно определить, что покрывается страховым полисом, а что нет, и страхователи опасаются, что им придется вступать в судебные тяжбы со страховыми компаниями.

Киберстрахование не является заменой проактивной кибербезопасности

Организации, желающие приобрести полисы киберстрахования, не могут действовать в одиночку. Им необходимо обратиться за помощью к специалистам по кибербезопасности не только для анализа потенциальных полисов, но и для оценки среды рисков и определения необходимого типа покрытия. Поскольку среда киберрисков постоянно развивается и меняется, киберстрахование следует пересматривать ежегодно; полис, приобретенный организацией два года назад, может больше не отвечать ее потребностям.

Так же, как страхование жилья не является оправданием не запирать двери или оставлять без присмотра готовящуюся на плите еду, даже надёжный полис киберстрахования не заменит превентивные меры кибербезопасности. В страховых полисах всегда будут исключения, особенно в случаях халатности страхователя, выплаты по страховым случаям никогда не будут мгновенными, а страховые полисы не смогут компенсировать ущерб, нанесённый репутации организации.

Эксперты по кибербезопасности Lazarus Alliance обладают глубокими знаниями в этой области, постоянно отслеживают новейшие угрозы информационной безопасности и стремятся защитить организации любого размера от нарушений безопасности. Наши комплексные услуги по оценке рисков и программное обеспечение Continuum GRC RegTech помогут защитить вашу организацию от утечек данных, атак программ-вымогателей и других киберугроз.

Lazarus Alliance — это проактивная кибербезопасность®. Позвоните по номеру 1-888-896-7580, чтобы обсудить потребности вашей организации в области кибербезопасности и узнать, как мы можем помочь ей соблюдать правила кибербезопасности, обеспечивать соответствие требованиям и защищать ваши системы.