Киберриск впервые поднялся на верхнюю строку барометра риска Allianz, поскольку компании сталкиваются с рядом проблем, таких как более крупные и дорогостоящие утечки данных, увеличение количества вымогателей и растущая вероятность судебных разбирательств после события. Перенос политических разногласий в киберпространство также повышает ставку, в то время как даже успешное слияние может привести к неожиданным проблемам.
В 2020 году киберинциденты (39% ответов) считаются наиболее важным бизнес-риском в Барометре рисков Allianz. Сравните это с 2013 годом, когда он занял 15-е место, получив всего 6% ответов, и становится ясно, как быстро растет осведомленность о киберугрозе, что обусловлено растущей зависимостью компаний от своих данных и ИТ-систем.
Киберриски продолжают развиваться. Значительное увеличение числа инцидентов с вымогателями влияет на увеличение частоты потерь для компаний. В целом, кибератаки становятся все более изощренными и целенаправленными, поскольку преступники стремятся получить более высокую награду за вымогательство, которая зачастую превышает несколько миллионов долларов.
«Затраты на киберинцидент растут повсеместно, продукт растущей сложности, более строгого регулирования и разрушительных последствий для бизнеса из-за потери данных или критических систем», - говорит Марек Станиславский, заместитель глобального руководителя Cyber в AGCS.
«В частности, стоимость больших утечек данных продолжает расти, так как защита данных и регулирование конфиденциальности расширяются по своему охвату бизнеса и географическому охвату, а судебный процесс по групповым искам также начинает влиять на стоимость решения проблемы взлома. В то же время, когда инцидент приводит к значительному прерыванию бизнеса, потери, как правило, высоки».
Каковы основные причины киберинцидентов?
«Все больше и больше событий, от оставления ноутбука с конфиденциальными данными в поезде до потери списка клиентов, могут представлять собой утечку данных», - говорит Марек Станиславский, заместитель глобального руководителя Cyber в AGCS.
«По оценкам, от 50% до 90% нарушений вызываются или связаны с сотрудниками, будь то простая ошибка или жертва фишинга или социальной инженерии.
Хорошо обученные и бдительные сотрудники могут стать частью команды по кибербезопасности компании и помочь сформировать более жесткий периметр вокруг активов компании».
Источник: Allianz Global Corporate & Specialty. Цифры представляют процент ответов всех участников, которые ответили (1 071). Цифры не суммируются до 100%, так как можно выбрать до трех рисков.
Тренд: данные взламывают больше, и стоит это дороже
По мере того как компании собирают и используют все большие объемы персональных данных, утечки данных становятся все более масштабными и дорогостоящими. В частности, так называемые мега-утечки данных (с участием более миллиона записей) являются более частыми и дорогостоящими. В июле 2019 года Capital One обнаружил, что он пострадал от одного из крупнейших взломов в банковском секторе, затронувшего около 100 миллионов клиентов. Тем не менее, это нарушение ни в коем случае не является крупнейшим за последние годы.
Сообщалось, что в нарушении данных в гостиничной группе Marriott в 2018 году и агентстве кредитных рейтингов Equifax в 2017 году были задействованы персональные данные более 300 миллионов и 140 миллионов клиентов соответственно. Обе компании столкнулись с многочисленными судебными исками и нормативными действиями в нескольких юрисдикциях - британский регулятор защиты данных намерен оштрафовать Marriott на £ 100 млн ($ 130 млн) за нарушение, в числе самых ранних и самых крупных штрафов в соответствии с новыми законами ЕС о конфиденциальности на сегодняшний день.
В том же месяце, в июле 2019 года British Airways была оштрафована на 183 млн фунтов стерлингов ($240 млн) за нарушение данных, затронувшее 500 000 клиентов в 2018 году.
Правила Общего регламента защиты данных (GDPR), вступившие в силу в Европе в 2018 году, могут привести к дополнительным штрафам в 2020 году. Европейский совет по защите данных (EDPB) опубликовал предварительный отчет, в котором говорится, что из 206 326 случаев, зарегистрированных в рамках GDPR в 31 стране за первые девять месяцев действия правил национальные агентства по защите данных разрешили только около 50% из них. Как показано выше, поскольку регулирующие органы работали над этим отставанием, было зафиксировано больше штрафов и в большем размере.
По данным Института Понемона, меганарушение в настоящее время обходится в среднем в $42 млн, что на 8% больше, чем в 2018 году. Для нарушений, превышающих 50 млн записей, стоимость оценивается в $388 млн (на 11% выше), чем в 2018 году).
Тенденция: вымогательство становится причиной растущих потерь
По данным правоохранительных органов ЕС, Европола, вымогатели являются наиболее заметной угрозой роста киберпреступности. Уже высокие частоты инцидентов становятся все более разрушительными, они все чаще нацелены на крупные компании с изощренными атаками и высокими требованиями вымогателей. «Пять лет назад типичный спрос на вымогателей составлял десятки тысяч долларов. Теперь они могут требовать миллионы », - говорит Станиславский.
Последствия атаки могут быть очень серьезными, особенно для организаций, которые полагаются на данные для предоставления продуктов и услуг. Требования о вымогательстве - это только одна часть картины. Прерывание бизнеса приносит самые серьезные потери от атак вымогателей, а в некоторых случаях вымогатели - это дымовая завеса для реальной цели, такой как кража личных данных.
Промышленные и производственные фирмы становятся все более уязвимыми, но потери, как правило, самые высокие для юридических фирм, консультантов и архитекторов, для которых ИТ-системы и данные являются их жизненной силой.
В последние годы такие инциденты, как использование вредоносного ПО Ryuk , стали ключевым фактором для претензий в отношении киберстрахования. Вирус, названный в честь вымышленного персонажа, о нем впервые сообщили в августе 2018 года, был ответственен за многочисленные атаки на крупные компании, больницы и местные органы власти во всем мире.
Тренд: атаки BEC приводят к мошенничеству на миллиарды долларов
Атаки на деловую электронную почту (BEC) или спуфинг растут по частоте. По данным ФБР в США, инциденты с BEC привели к мировым убыткам, по крайней мере, в $26 млрд с 2016 года.
Такие атаки обычно включают в себя социальную инженерию и фишинговые электронные письма, чтобы обмануть сотрудников или высшее руководство в раскрытии учетных данных или совершении транзакций на счета мошенников.
Тренд: перспективы судебного разбирательства растут
Многие крупные утечки данных сегодня вызывают нормативные действия, но они также могут инициировать судебные разбирательства со стороны затронутых потребителей, деловых партнеров и инвесторов. Когда они это сделают, судебные расходы могут существенно увеличить стоимость убытков.
Судебные разбирательства по нарушению данных в США являются развивающейся ситуацией. Ряд крупных нарушений вызвал групповые иски со стороны потребителей или инвесторов - в июле 2019 года Equifax достигла урегулирования в размере $700 млн за мега-нарушение 2017 года. Суды США борются с вопросами «правового статуса», имеют ли истцы право подавать в суд, но, как правило, тенденция складывается в пользу истцов. Правовые и нормативные изменения могут также способствовать компенсации за нарушения данных. Например, Калифорнийский закон о защите прав потребителей предоставляет механизм, позволяющий потребителям предъявлять иски компаниям, и, в первую очередь, в США, устанавливает установленный законом ущерб в случае утечки данных.
За пределами США ряд стран расширил права на групповые иски. Например, в Европе GDPR облегчает жертвам нарушения данных или конфиденциальности обращение за правовой помощью. Кроме того, юридические фирмы- истцы и спонсоры судебных разбирательств активно ищут возможности подать коллективные иски за утечку данных в Европе и в других странах. Например, групповой иск против British Airways после того, как в 2018 году было обнаружено нарушение данных, было решено в судах Великобритании. Потребительские группы также пытаются проверить GDPR и оспорить интерпретацию нового закона некоторыми организациями.
Тренд: слияния и поглощения могут вызвать проблемы с киберрисками
Кибернетические риски стали горячей темой при слияниях и поглощениях (M & A) после ряда крупных утечек данных. Например, нарушение Marriott в 2018 году было связано со слиянием в 2014 году с Starwood, гостиничной группы, которую она приобрела в 2016 году. Даже самые защищенные компании будут подвержены риску, если приобретут компанию со слабой кибербезопасностью или существующими уязвимостями. Приобретающая фирма может нести ответственность за любой ущерб от инцидентов, которые предшествовали слиянию.
В конечном счете, учет потенциальных киберуязвимостей и других уязвимостей должен стать приоритетом для бизнеса во время слияний и поглощений, поскольку многие компании не проводят должной осмотрительности в этой области. В то же время, как только сделка была завершена, многие компании не могут достаточно быстро устранить недостатки в приобретенных системах.
Тенденция: политические факторы играют роль в киберпространстве
Участие национальных государств в кибератаках увеличивает риск для компаний, которые подвергаются краже интеллектуальной собственности или группам, которым намереваются нанести репутационный или физический ущерб. Например, растущая напряженность на Ближнем Востоке привела к тому, что международные перевозки стали объектом атак в Персидском заливе, в то время как нефтегазовые объекты пострадали от кибератак и вымогателей.
Сложные методы атак и вредоносные программы могут также распространяться в среде киберпреступников, в то время как участие государства увеличивает финансирование хакеров. Даже там, где компании не подвергаются прямому нападению, кибератаки при поддержке государства могут нанести сопутствующий ущерб. В 2017 году вредоносная атака NotPetya была в основном нацелена на Украину, но быстро распространилась по всему миру.
Каков наилучший подход к управлению киберрисками и повышению устойчивости?
«Покупка киберстрахования должна быть одним из последних пунктов в плане компании по повышению ее киберустойчивости», - говорит Марек Станиславский, заместитель глобального руководителя Cyber в AGCS.
«Страхование играет жизненно важную роль, помогая компаниям восстанавливаться, если все остальные меры недостаточны, но они не должны заменять стратегическое управление рисками. Инвестиции в повышение осведомленности сотрудников, а также обновление и постоянный мониторинг систем, безусловно, должны быть на вершине списка задач любой компании».
Источник: Allianz Global Corporate & Specialty. Цифры представляют процент ответов всех участников, которые ответили (1 071). Цифры не суммируют до 100%, так как можно выбрать до трех рисков.
Снижение риска
Подготовка и обучение являются наиболее эффективными формами смягчения последствий и могут значительно снизить вероятность или последствия киберсобытия. Многие инциденты являются результатом человеческой ошибки, которую можно смягчить путем обучения, особенно в таких областях, как фишинг и компрометация деловой электронной почты, которые являются одними из наиболее распространенных форм кибератак.
Обучение может также помочь смягчить атаки вымогателей, хотя поддержание безопасных резервных копий может также ограничить ущерб от таких инцидентов. Устойчивость бизнеса и планирование непрерывности бизнеса также являются ключом к снижению воздействия кибер-инцидента, хотя планы реагирования необходимо тестировать, практиковать и регулярно пересматривать.
Подготовлено порталом Allinsurance.kz