Более половины российских компаний не страхуют риски, связанные с утечками информации, а те, кто приобретает страховку, чаще всего не получают выплаты по ней. Вместе с тем представители бизнеса называют страхование достаточно эффективной мерой управления рисками ИБ и видят необходимость развития этого направления.
К таким выводам пришли специалисты экспертно-аналитического центра (ЭАЦ) ГК InfoWatch в своем исследовании «Последствия утечек информации: страхование и методики». Основу исследования составили результаты опроса представителей российских компаний, который проводила группа ЦИРКОН по заказу ГК InfoWatch. В опросе принимали участие сотрудники средних и крупных промышленных предприятий, компаний из сферы строительства, торговли, ИТ/ИБ, образования, транспорта и других отраслей.
Пробелы в управлении рисками
Страхование рисков утечек информации в российских компаниях развито слабо – 51% предприятий вовсе не застрахованы на случай компрометации данных, свидетельствуют данные опроса. Это может говорить как о недоверии к такому формату защиты от последствий инцидентов ИБ, так и об отсутствии предложений на рынке страхования киберрисков, отмечают эксперты ЭАЦ InfoWatch.
При этом четверть организаций (25%) не получили выплату по страховому случаю, связанном с утечкой конфиденциальных данных, хотя были застрахованы, и лишь 17% компаний получили страховую выплату после инцидента. Примечательно, что среди тех, кто не получил выплату, большая часть (79%) даже не обращалась за ней.
«Результаты опроса свидетельствуют о значительных пробелах в управлении рисками информационной безопасности в российских компаниях. Большинство компаний не имеют страховой защиты на случай утечек информации, что создает для них значительные финансовые и репутационные риски. Из тех, кто застрахован, лишь немногие получили страховую выплату после инцидента. Вероятно, это связано в том числе с нежеланием предавать огласке факт утечки данных – 59% организаций не готовы сообщать о подобных инцидентах даже страховой компании, либо не умеют документировать «цифровой след» киберинцидента», – отмечает главный аналитик-эксперт ЭАЦ InfoWatch Дарья Пырина.
Действенные меры
Участники опроса отметили, что положительно оценивают эффективность страхования от утечек как меры по управлению рисками информационной безопасности – 56% респондентов считают, что такой инструмент полезен. Это может свидетельствовать о том, что организации все чаще рассматривают страхование как важную составляющую своей системы управления рисками и ощущают потребность в развитии этой сферы, ее потенциал.
Самой важной и эффективной мерой противодействия утечкам информации бизнес считает обучение и повышение осведомленности персонала – об этом сообщили 81% опрошенных. Согласно предыдущим исследованиям ЭАЦ InfoWatch, именно действия сотрудников – самая распространенная причина инцидентов, поэтому такой фокус внимания разумен, подчеркивают авторы исследования.
«В рамках опроса респонденты называли и другие меры, которые они считают действенными для предотвращения утечек информации в организации. Чаще всего назывались организационные меры, такие как усиление контроля за сотрудниками, информирование сотрудников об ответственности за утечку, обучение сотрудников цифровой гигиене и более тщательный отбор кадров. Все это говорит о том, что предприятия осознают опасность инсайдеров и необходимость профилактики внутренних нарушений», – резюмирует Дарья Пырина.
Серия отчетов
Аналитический отчет «Последствия утечек информации: страхование и методики» стал четвертым в серии отчетов по результатам исследования на тему оценки ущерба от утечек информации в российских компаниях. Отчет подготовлен на базе исследования группы ЦИРКОН, проведенного по заказу ГК InfoWatch, а также собственных исследований ЭАЦ и опросов Ассоциации по вопросам защиты информации (BISA). Главная цель проекта – определить, насколько объективно бизнес воспринимает проблему с утечками данных и как оценивает ущерб от них.
Первый отчет рассматривал осознание проблемы утечек информации и осведомленности сотрудников о них. Второй отчет «Причины утечек информации, представления о рисках и направлениях угроз» был посвящен исследованию оценок источников компрометации данных. Третий отчет «Оценка ущерба от утечек информации и затрат на ликвидацию последствий» исследовал тему статей расходов и затрат, связанных с инцидентами ИБ.
