По мнению британского журналиста Миши Гленни, на свете есть два типа компаний: те, которые знают, что их взломали, и те, которые об этом не знают. Борцы с киберугрозами предупреждают: ни одна система безопасности не может дать 100%-ной гарантии защиты, поэтому предприятиям необходимо позаботиться о планах реагирования на реализовавшиеся угрозы, подумав в том числе о способах компенсации финансовых потерь. Подспорьем может стать страхование киберрисков. Этой теме была посвящена конференция «Киберриски. Определение. Управление», проведенная в середине февраля страховой компанией AIG и страховым брокером Marsh.
Ссылаясь на статистику, главный специалист Marsh Екатерина Крючкова сообщила, что руководители компаний вносят киберриски в списки стратегических, но лишь четверть из них знают, что делать и куда обращаться в случае их реализации. На страховом рынке источники киберугроз угроз делятся на четыре группы: случайные события (неосторожные действия собственных сотрудников или аутсорсеров, сбои оборудования или ПО); умышленные действия (целенаправленные атаки/кражи); так называемый хактивизм – использование киберресурсов для продвижения неких идей или выражения недовольства; кибертерроризм. Любая компания должна определить для себя наиболее вероятные источники угроз, цели нарушителей, возможный убыток. Порядок определения уровня информационной безопасности компании для нужд страхования по сути не отличается от того, который предусмотрен в рамках выполнения существующих стандартов ИБ, – модель угроз, модель нарушителя, аудит инфраструктуры, план реагирования и пр., но при этом оценивается еще и возможный финансовый ущерб от реализации угроз, а также анализ имеющихся в компании страховых программ. Выделяются четыре категории финансовых потерь, с которыми может столкнуться компания в результате кибератаки: прямой ущерб от потери информации; ущерб от потери прибыли в результате прерывания производственных или бизнес-процессов; расходы на восстановление данных и ПО; расходы на юридические разбирательства в случае претензий со стороны третьих лиц. Некоторые из этих потерь могут покрываться уже существующими страховками, но можно подключиться к программе, которая покроет их все. Как сообщили представители компаний-организаторов, в России программа страхования киберрисков была запущена примерно два года назад, и на сегодня к ней уже прибегли некоторые компании. Правда, страховых случаев, доступных для публичного обсуждения, нет.
Говорить о перспективах рынка страхования киберрисков в России сейчас сложно, особенно с учетом скептического отношения многих людей к страхованию вообще. Тем не менее поводы подумать об этом есть, особенно после знакомства со статистикой. Генеральный директор Group-IB Илья Сачков сообщил, что, по данным компании, за год только русскоговорящие хакеры заработали на своих жертвах 2,5 млрд долл. А «работают» они (вопреки распространенному мнению) в основном на территории РФ. Полученные деньги все активнее вкладываются в подготовку инфраструктуры для проведения атак. С 2013 г. целевые атаки стали преобладать над случайными заражениями. В 2013–2014 гг. жертвами хакеров стали 35 российских банков, а также ряд государственных ресурсов, где неплохо поставлен менеджмент ИБ. По статистике Group IB, восемь из десяти предприятий, подвергшихся целевым атакам, не знают, что их сеть взломана. В 90% случаев у компаний отсутствует адекватный план реагирования на инциденты. Простое удаление обнаруженного вредоносного кода, как правило, не останавливает злоумышленников, и план реагирования на инциденты должен это учитывать.
По мнению Ильи Сачкова, страхование киберрисков изменит ситуацию на рынке ИБ. Как показывает практика, возврат похищенных денежных средств занимает не менее трех-пяти лет. Страхование позволит компаниям чувствовать себя более защищенными.
Как следовало из представленных докладов, роль страховщиков не сводится к выплате денег. Речь идет скорее об организации командной работы: по расследованию инцидентов, взаимодействию с регулятором, с клиентами заказчика и пр. Внутренние ИТ/ИБ-команды заказчика не всегда бывают готовы работать в кризисных условиях, а страховая компания может предоставить консультантов с опытом решения аналогичных проблем.