Глобальная страховая компания AXA объявила в мае, что прекратит писать во Франции страхование от киберрисков, которое возмещает клиентам платежи преступникам-вымогателям. Полисы киберстрахования уже давно покрывают эти затраты на выкуп, и многие ожидают, что другие страховые компании последуют их примеру.
Информация для всех
Хотя эта новость важна для бизнеса, поскольку компании ценят полисы и понимают свои общие риски, это также важная новость для мира киберзлоумышленников. Хотя намерение страховщика может заключаться в том, чтобы уменьшить стимулы для проведения атаки с использованием программ-вымогателей, уменьшив вероятность уплаты выкупа, результат, вероятно, будет более сложным.
Когда злоумышленники видят, что компании не будут иметь гарантии страхового покрытия, они, вероятно, сделают экономическую оценку того, сколько фирма была бы готова заплатить без страховой защиты. Поскольку это может привести к уменьшению суммы выкупа, можно предположить, что частота таких атак, вероятно, возрастет, поскольку глобальная сеть опытных киберпреступников продолжает развивать свою тактику.
Охота по «крупную рыбу»
Хакеры-вымогатели часто нацелены на крупные учреждения, такие как больничные системы, государственные учреждения и компании из списка Fortune 500, которые с большей вероятностью будут иметь поддержку в виде страхового полиса для покрытия требований о выкупе.
Действительно, представитель банды вымогателей REvil говорит, что страхование - «одно из самых вкусных блюд». Фактически, REvil пытается «сначала взломать страховщиков, чтобы получить оттуда их клиентскую базу и работать целенаправленно. И после того, как вы просмотрите список, обратитесь к самому страховщику», - говорится в статье в специализированном публикации The Record.
Риск угрозы растет
Сегодня программы-вымогатели стали одной из самых серьезных операционных угроз как для государственного, так и для частного секторов. Целевая группа Института по безопасности и технологии противодействия вымогателям сообщает, что фирмы останавливают бизнес в среднем на 21 день из-за атак вымогателей, и в среднем бизнесу требуется 287 дней, чтобы полностью оправиться от нападения. В 2020 году жертвами программ-вымогателей стали около 2400 правительственных учреждений, медицинских учреждений и школ США.
Поскольку AXA и, возможно, другие страховые компании не будут возобновлять покрытие по киберстрахованию, когда их клиенты платят выкуп, стратегические расчеты для злоумышленников и жертв изменятся. Если смотреть с экономической точки зрения, фирмы должны принимать решения, исходя из понимания того, что их данные не могут быть восстановлены, и они могут не покрыть свои убытки. Таким образом, если фирмы платят выкуп, они несут груз полной стоимости самого платежа без гарантии того, что их системы и данные будут полностью восстановлены. Такой подход может уменьшить любой репутационный ущерб.
В качестве альтернативы, если фирмы отказываются платить выкуп, они рискуют потерять бизнес, хотя это можно исправить за счет страхования. Решение AXA упрощает расчет как для компании, так и для злоумышленника: является ли потеря бизнеса даже со страховкой дороже, чем платеж?
Поскольку страховые компании покрывают расходы на атаки программ-вымогателей, фирмы получают стимул покупать эту защиту и, в случае взлома, платить выкуп. Также широко распространено мнение, что злоумышленники-вымогатели восстанавливают данные при уплате выкупа, потому что, если они не восстановят данные, фирмы не будут платить им. Однако это не всегда так.
Киберпреступники обманывают дважды
Согласно недавнему опросу, проведенному компанией Sophos, занимающейся кибербезопасностью, «в среднем организации, заплатившие выкуп, вернули только 65% зашифрованных файлов, в результате чего более трети их данных остались недоступными. 29% респондентов сообщили, что было восстановлено 50% или менее заблокированных файлов, и только 8% вернули все свои данные».
Поскольку страховые компании не платят выкуп, компаниям придется принять несколько интересных решений. Во-первых, должны ли они вообще производить платежи преступникам? Существует высокая вероятность того, что они получат обратно чуть более половины своих данных, но им также придется платить за них из своего кармана, потому что страховщик больше не будет покрывать такие расходы.
Затем возникает вопрос, будет ли их страховщик в полном объеме покрывать расходы по восстановлению бизнеса. Покроет ли их страховка расходы, связанные с прекращением деятельности, реабилитацией и восстановлением? Может ли выплата выкупа из кармана фирмы привести к тому, что страховые компании не оплатят расходы по восстановлению после атаки? Ответы на эти вопросы сильно повлияют на решение фирм о том, платить ли выкуп.
Злоумышленники также уделяют пристальное внимание таким вопросам. Поскольку фирмы не могут позволить себе большие суммы выкупа в отсутствие страховой компании, предоставляющей средства, можно ожидать, что злоумышленники снизят размер требования выкупа.
Однако злоумышленники захотят заработать как минимум столько же денег, сколько у них было раньше, поэтому они, вероятно, увеличат количество атак. Этот шаг позволит злоумышленнику установить цену выкупа чуть ниже общей стоимости страхового полиса. Кроме того, поскольку страховые компании не обеспечивают покрытие выкупа, ожидается, что количество атак будет увеличиваться, и, если потребуется больше целей, банды вымогателей, вероятно, станут более неизбирательными. Поиски информации о том, какие компании имеют покрытие, больше не будет стоить затраченных усилий. Это может подвергнуть более мелкие фирмы более высокому риску, чем раньше.
Вечный вопрос: платить или не платить?
В связи с распространением программ-вымогателей, которое уже довольно давно свирепствует, и невозможностью передать риск через страхование, компаниям придется изменить способ управления киберрисками, в частности, за счет использования средств контроля.
Компании, вероятно, обратятся к тому, чтобы вкладывать больше денег в средства контроля кибербезопасности. Проблема снижения риска возникает не из-за отсутствия стратегии, а из-за определения соответствующей суммы риска, которую каждая компания готова принять, и того, какие средства контроля представляют собой лучшее экономическое обоснование для снижения риска.
Чтобы точно ответить на эти вопросы, необходимо проанализировать риск таким образом, чтобы компании могли изучить соответствующие меры контроля и методы снижения риска. Компаниям необходимо понимать, какое влияние на бизнес оказывают их решения о рисках, чтобы тестировать и проводить бизнес-стратегии по снижению рисков с целью повысить вероятность защиты активов фирмы.
Рисунок 1. Причинно-следственная модель программ-вымогателей
Источник: Milliman
Наиболее эффективный способ количественной оценки киберриска и понимания последствий стратегии снижения или передачи риска - это структурировать анализ таким образом, чтобы руководство могло видеть последствия и компромиссы между решениями. Причинно-следственные модели - это проверенный способ учитывать решения как компании, так и злоумышленника, а также детализировать влияние их индивидуальных и, что более важно, их совместных решений.
В этом простом примере программы-вымогателя на рисунке 1 причинная модель может учитывать различные решения, принимаемые злоумышленником, страховщиком и целевой фирмой. Высшее руководство может видеть, как выплата выкупа повлияет на общую стоимость взлома, независимо от того, получит ли фирма свои данные от злоумышленника обратно или нет, и предъявит ли претензию по своему полису киберстрахования.
Благодаря этому типу моделирования фирмы могут принимать более обоснованные решения о рисках на основе своих аппетитов к киберрискам, средств контроля кибербезопасности и вариантов передачи рисков.
Подготовлено порталом Allinsurance.kz