Пресса о страховании, страховых компаниях и страховом рынке

SecurityLab, 18 июня 2016 г.

12 советов по страхованию киберрисков.

1049 просмотров

Отличная статья по страховкам ИБ. Рекомендована к прочтению. Евгений ЦАРЕВ

Поскольку киберстрахование становится все более доступным и популярным, оно, вместе с тем, становится и более сложным и запутанным. Ниже мы предлагаем руководство относительно того, как застраховаться, получить приличное покрытие и избежать ограничений.

Страхование КиберОтветственности, или киберстрахование, поможет защитить вашу организацию от финансовых последствий успешной атаки на систему данных. Такая атака может включать в себя и кражу данных пользователей с серверов. В настоящее время вопросы о том, как получить страховое покрытие, добиться выгодного страхового тарифа, а также гарантировать получение выплаты при наступлении страхового случая, остаются не до конца проясненными. Некоторые могут сомневаться в том, будет ли оплачено требование о возмещении ущерба, учитывая, что политика бывает очень невнятной, когда доходит дело до оплаты покрытия таких событий, как, например, атака на электронную почту.

Вполне возможно, что вся это путаница создает определенных риск для обеих сторон: и для страховщика, и для застрахованного. Хорошая новость в том, что фокусирование внимания на риске является благом для всех, поскольку заставляет организации рассматривать риски в свете использования технологии и наличия партнерский взаимоотношений, повышая тем самым кибербезопасность по всем направлениям.

Базовые требования для страхового покрытия

Тип бизнес деятельности – здравоохранение, розничная торговля или производство – определяет основное различие в том, какой размер покрытия может получить компания. Например, крупные здравоохранительные организации и предприятия розничной торговли будут подвергаться более тщательному изучению и страховаться по более высоким ставкам по сравнению с мелкими производителями, отчасти по причине большего объема данных, требующих защиты. Также принимается во внимание общая стоимость плюс необходимость соответствия определенным правилам конфиденциальности в отношении этих данных.

Деятельность вашей компании действительно имеет значение с точки зрения риска. Страховщики будут внимательно сравнивать то, что делает вас неуязвимым для атак и то, что представляет серьезную опасность для компании. Можно подвести следующий итог: если у вас имеется высокий уровень защиты, то вы, скорее всего, получите необходимое покрытие. Если нет, то – нет. Обратите внимание на следующие базовые требования:

— Процедура реагирования на инциденты и поддержание непрерывности бизнес-планов;
— Понимание и соблюдение промышленных нормативных правил и положений;
— Применение протоколов шифрования;
— Наличие надлежащей защиты информации, политики и процедуры конфиденциальности;
— Регулярное сканирование на наличие уязвимостей (или наличие аналогичной программы);
— Оценка рисков со стороны третьих лиц;
— Наличие должности директора по информационной безопасности, начальника отдела информации или аналогичного специалиста;
— Регулярные бэкапы;
— Политика хранения документов;
— Обучение сотрудников с целью повышения осведомленности в вопросах безопасности.

Вы получаете то, за что платите

Соответствие указанным базовым требованиям совсем не означает, что вы получите более выгодный страховой тариф. В действительности, если ваш бизнес будет признан рискованным, то, скорее всего, вам предложат застраховаться по повышенному тарифу. Однако, страховые ставки подвержены влиянию со стороны рынка больше, чем со стороны рисков. Рынок будет определять ставки. Так, например, спрос, предложение и ценность информации могут породить рост тарифов по всем направлениям.

Как и с любой другой страховкой, вы всегда сможете найти страховщика, который предложит вам желаемое покрытие за меньшие деньги. Прежде, чем заключать договор, удостоверьтесь, что страховая компания имеет достаточный опыт в данной сфере. Самое худшее, что может случиться с организацией – заключение договора со страховщиком, который только сделал свой первый шаг в киберсфере. При необходимости выплачивать серьезные страховые суммы, такие компании могут резко взвинтить тарифы или вообще вылететь со страхового рынка. Вряд ли вам понравится необходимость подыскивать себе нового страховщика по причине банкротства первого.

Страховые компании ищут клиентов с хорошим уровнем безопасности, особенно в рискованных сферах. В конце концов, это вопрос управления рисками. Страховщики проводят соответствующую оценку на всех уровнях управления организацией – от простого сотрудника до руководящего звена. Вопрос не в наличии необходимых технологий. Страховщики хотят видеть, что для управления рисками выделен солидный бюджет, что вы регулярно инвестируете в эту сферу, а также уверенно повышаете уровень безопасности организации.

Развитие корпоративной культуры безопасности

Хотя эта сфера тяжело поддается оценке, вам следует развивать корпоративную культуру безопасности, выходящую за рамки наличия соответствующих технологий и политики. Сообразность базовым требованиям должно стать лишь первым шагом в программе безопасности, предшествующей заключению договора страхования. Страховая политика не сможет решить крупные проблемы в случае их возникновения.

Человеческий фактор представляет собой серьезную угрозу, и организациям необходимо трезво оценивать этот риск. Например, постоянное обучение и повышение квалификации помогает сотрудникам быть более успешным в противостоянии фишинг угрозам.

Компания Ernst & Young советует предпринять следующие шаги, для того, чтобы добиться разумного размера страховой премии:

— Сделайте обзор и оценку действующей системы киберзащиты, при необходимости внесите изменения. Для того, чтобы получить соответствующую квалификацию и разумный размер страховой премии, компании должны иметь сильную инфраструктуру IT безопасности.

— Заполняйте заявление на заключение страхового договора подробно и правдиво. В нем будет содержаться длинный список вопросов относительно инфраструктуры IT безопасности, соответствующих корпоративных процедурах и имевших место случаях утечки информации. Любая неточность или несоответствие действительности может привести к отмене покрытия того или иного требования, а также аннулированию потенциального полиса в целом.

Вывод: вам необходимо сделать свою организацию как можно более привлекательной для того, чтобы получить выгодный тариф и необходимое покрытие.

Выбор правильного страховщика

По мнению специалистов компании Ernst & Young, для организаций очень важно исследовать, оценить и научиться управлять киберрисками прежде, чем заключать договор страхования. Да, вам необходима страховка для того, чтобы эффективно управлять остаточным риском, поскольку невозможно целиком устранить риск утечки информации с помощью соответствующих процессов и технологий. Необходимо принять во внимание следующие факторы:

— Киберстрахование обрело невероятную популярность и доступность. Вы можете застраховаться, выбрав страховую компанию любого размера и занимающую любую долю рынка;

— Полисы, предлагаемые различными компаниями, могут существенно отличаться друг от друга. Положения и условия требуют тщательного анализа, чтобы убедиться, что предлагаемое покрытие действительно соответствует имеющимся у компании рискам.

— Вам необходимо понимать уникальные особенности риска своей компании. Например, организациям, работающим в сфере здравоохранения, необходимо приобретать полис и покрытие, которые соответствуют тем специфическим угрозам, с которыми они сталкиваются. Какие данные вы храните? В чем заключается риск? Каково направление потенциальной атаки? Кто пострадает в результате взлома системы или кражи данных?

Кроме того, вам необходимо провести тщательное исследование относительно страховых брокеров и операторов, которые, как правило, делятся на три основных вида:

— Некоторые операторы выдают полисы киберстрахования с 1998 года и предлагают обладателям страховки услуги по предотвращению убытков, помогая управлять рисками в сфере конфиденциальности и сетевой безопасности.

— Есть операторы, предлагающие киберполис с полным спектром услуг, обеспечивающим покрытие и для непосредственных участников, и для третьих лиц, а также для претензий со стороны киберпрофессионалов, юридических лиц, судебных представителей и экспертов по связям с общественностью;

— Имеются и такие операторы, которые предоставляют владельцам полисов инструменты и ресурсы для незамедлительного реагирование на утечку данных и минимизации ущерба для репутации.

Проводя исследование потенциальных страховых операторов, внимательно изучите историю выплат по страховым претензиям, практические примеры работы компании и другие показатели деятельности.

Избегайте ограничений покрытия

Недавно федеральный суд вынес постановление, в котором говорилось, что компания Chubb Ltd. не обязана возмещать расходы ресторанов P.F.Chang, понесенные в результате утечки данных кредитных карт в 2014 году. В связи с этим возникает вопрос, – в каких случаях страховая претензия может быть отклонена?

Это могло быть тем самым случаем, когда клиент (на тот момент времени) решил не покупать то или иное покрытие, а потом сожалел об этом. Приведенная выше ситуация была примером полиса старого образца, в котором не предусматривалась оценка безопасности PCI, в то время как в новом образце она уже учитывалась. Договор страхования был заключен, прежде чем, компания Chubb предложила своим клиентам покрытие оценки PCI. Так что, ситуация могла быть тем самым случаем, когда брокер позже не обратил внимания на внесенные усовершенствования. Определенно, существует множество сценариев развития ситуации, которые вовсе не имеют отношения к недочетам в самом полисе страхования.

Тем не менее, как и во многом другом, «дьявол кроется в мелочах»: нижеперечисленные пункты указывают вам на те сферы, которые необходимо обсудить со страховым брокером или оператором, чтобы удостовериться в том, что полис покрывает все области, представляющие важность для вашей организации.

Ретроактивное покрытие/ Предварительные действия

Предусматривает ли полис ретроактивное покрытие? «Некоторые полисы могут ограничивать покрытие теми случаями, которые имели место быть лишь после определенной даты – как правило, после заключения договора страхования», – говорит Томас Конвей, руководитель компании Ernst & Young LLP. Поскольку нарушения в работе системы в результате атаки могут длиться месяцами, прежде чем будут обнаружены, и поскольку вы не можете изменить дату начала атаки, обеспечение охвата с ретроспективным покрытием поможет ослабить этот общий для многих компаний риск. Не думаю, что вы хотите получить отказ в страховой претензии лишь потому, что первая атака произошла прежде даты вступления в силу страхового полиса. При этом, некоторые операторы фактически уклоняются от предоставления покрытия для компаний с высокими рисками или устанавливают для них существенно завышенный тариф.

Продолжительность утечки данных

Как и в случае уже свершившегося события, утечка данных, которая продолжает происходить на протяжении определенного периода времени, является той сферой, которая нуждается в особом понимании. Некоторые инциденты могут повторяться, вновь, проявляться в разных местах и даже немного отличаться от ранее обнаруженной бреши. Эти «хронические» утечки представляют еще один повод для беспокойства. «Если вы уже пережили утечку информации один раз, то это может повлиять на тарифы, предлагаемые вам страховщиком», – говорит Уильям Диксон, вице-президент компании Stroz Friedberg. «На основе практических примеров можно сказать, что не будет постоянных выплат за продолжающиеся атаки».

Защита / Регулирующие положения

Полисы киберстрахования, как правило, включают в себя регулирующие положения, нацеленные на ограничение покрытия разумных затрат на защиту, с предварительного письменного согласия страховщика. Другими словами, операторы могут стремиться делать собственный отбор фирм, специализирующихся на защите данных. «Для некоторых компаний это может быть проблематично или даже нежелательно. Поэтому предпочтителен тот полис, который оставляет за компаниями право самостоятельно выбирать, с кем сотрудничать в вопросах защиты данных», – говорит Томас Конвей, руководитель компании Ernst & Young LLP.

Ограничения застрахованных лиц («первой стороны»)

Общей проблемой всех организаций является тема ответственности первой стороны – это, как правило, судебные издержки, связанные с иском. Организации должны иметь в виду, что в вопросе нарушения закона о защите прав потребителей могут быть исключения, связанные с отсутствием программы безопасности или недостатками в программном обеспечении, используемом в организации по защите окружающей среды. Эти ограничения могут представлять серьезную проблему во время предъявления страховой претензии.

Действия третьей стороны

«Многие компании пользуются услугами третьих лиц для своей бизнес-деятельности. Например, несколько лет назад сайт Нью-Йорк Таймс подвергся хакерской атаке, но ведь при этом он был размещен на хостинге компании, представляющей собой «третью сторону», – говорит Томас Конвей. Для компаний, которые полагаются на услуги третьих лиц в своей бизнес деятельности, может оказаться важным обеспечить покрытие для претензий, возникших по причине деятельности третьих лиц / поставщиков.

Компроментирование Корпоративной Электронной Переписки

«Киберпреступники обнаружили, что проще заставить вас отдать им деньги, чем совершить кражу», – отмечает Говард Миллер из компании LBW Insurance’s Tech Secure. «Это трюк, осуществляемый лицом, выдающим себя за поставщика, клиента или сотрудника. В результате подобных действий деньги переводятся на счет киберпреступника».

Большинство страховых полисов не распространяет покрытие на этот вид киберпреступлений, потому что получение денег обманным путем не считается кражей. Но и то страховое покрытие, которое предусматривает подобную угрозу, все же не является стандартным и может варьировать в определении понятий, что именно должно быть покрыто, а что нет. Обратите внимание, что ключевое значение имеет тот факт, кто именно попался «на удочку» и перевел деньги мошенникам. Ошибки руководящего звена могут не включаться в покрытие, предусмотренным страховым полисом.

Кроме того, подобные случаи можно рассматривать как уголовное, а не киберпреступление. Таким образом, покрытие для этой угрозы можно приобрести в рамках страхового полиса, предусматривающего покрытие уголовных преступлений (вам нужно настоять на этом). Ситуация становится проблематичной, когда она учитывается сразу в двух страховых полисах. Кто должен отреагировать первым? Что, если удержание по одному полису превышает размер удержания по-другому? Все эти кибервопросы могут запутать ситуацию и создать проблему перекрестного покрытия.

Регулирование штрафов и претензий

Если данные платежной карты украдены в результате утечки базы данных или хакерской атаки на платежный терминал, то за этим могут последовать штрафы. Если нарушена конфиденциальность медицинской информации пациента и соответствующие регулирующие правила, относительно защиты данных в этой сфере, то за этим последуют штрафы. Покроет ли их ваша страховка? Если да, то требуется ли от вас доказать, что утечка произошла, несмотря на все приложенные с вашей стороны усилия? Или, считаются ли штрафы и пени теми обязательствами, которые могут быть исключены из страхового полиса?

По мнению некоторых экспертов, подобные взыскания не включены в большинство страховых полисов. Исключение составляют лишь те случаи, когда застрахованная сторона оплачивает специфическое покрытие. Размер покрытия может значительно варьироваться в зависимости от страхового оператора. В конце концов, важно понимать, что такой возможностью следует воспользоваться и обговорить нюансы во время заключения договора страхования.

Оригинал: 12 Tips for Securing Cyber Insurance Coverage

В материале упоминаются: Компании, организации: Chubb 118

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »