Исторически покупателями киберпокрытия были крупные организации в таких отраслях, как здравоохранение, финансы и розничная торговля. Имеет смысл, верно? Они хранят много ценных личных и финансовых данных, и кража этих данных может нанести ущерб бизнесу, тогда им придется тратить миллионы.
Но в 2019 году малые и средние предприятия (МСП) в различных отраслях все чаще начинают задумываться о киберстраховании , пытаясь понять: «Может ли это быть для меня?» Ответ: «Да, может».
Представьте себе: сотрудник МСП получает электронное письмо от владельца или генерального директора с просьбой срочно выполнить задание. Он требует, чтобы они обменивались конфиденциальной информацией по электронной почте, например пароли или банковские данные, или запрашивает электронную передачу файлов как можно скорее. В спешке, чтобы скорее выполнить поручение шефа, и с отсутствием понимания того, как определить угрозы, этот сотрудник может непреднамеренно подвергнуть этот бизнес кибератаке , что приведет к потерям, которые не покрывает традиционный полис страхования имущества.
Отчасти благодаря росту числа компрометаций электронной почты в бизнесе, вымогательствам и угрозам вредоносного ПО в прошлом году, а также широкому освещению в СМИ дорогостоящих событий, таких как Wanna-Cry и NotPetya, количество клиентов киберстрахования растет. Они признают необходимость покрытия для оказания помощи в случае атаки, а также наличия ресурсов для предотвращения атак до их совершения.
Несмотря на то, что рынок является конкурентным, а продажи для киберстрахования увеличиваются, страховщики отмечают, что все-таки еще недостаточно клиентов принимают покрытие, особенно когда ни одна организация не застрахована от киберсобытий.
Меган Ханнес, глава подразделения киберпродуктов в специализированном страховщике Hiscox, говорит, что в отчете о кибернетической готовности компаний за 2019 год было обнаружено, что 53% предприятий США сообщили о кибератаке в предыдущие 12 месяцев (по сравнению с 38% в предыдущем году), причем 45% из них- это компании, пережившие три или более атаки в прошлом году. «Несмотря на эти тревожные тенденции, 27% фирм не планируют покупать киберстрахование», - объясняет Ханнес.
Эта статистика особенно важна, учитывая высокую стоимость, которая сопровождает кибератаку . Согласно отчету McAfee об экономическом воздействии киберпреступности за 2018 год, глобальные затраты на «выяснение отношений» с киберпреступниками оцениваются в размере от 445 до 600 миллиардов долларов. Тем не менее, как отмечает Эрик Чернак, президент направления киберрисков в Hanover: «Менее 20% всех предприятий покупают киберстрахование», согласно отчету Keefe Bruyette & Woods Inc., опубликованному в 2018 году.
«По сравнению с прошлым годом покупателей стало больше, чем было раньше, и это тенденция развивается в правильном направлении», - говорит Тим Фрэнсис, ведущий специалист по корпоративным киберрискам в Travellers. «Но по-прежнему существует очень большая доля компаний, которые не покупают киберстрахование по той или иной причине».
Одна из причин, как правило, заключается в недостаточной осведомленности и образованности, а другая - в том, что скользкий менталитет, который всегда опасно распространяется, заключается в простой фразе «со мной это никогда не случится». По словам Фрэнсиса, ошибка, которую многие компании продолжают делать, - это «думать о страховом покрытии больше с точки зрения покрытия компонента защиты от нарушения данных, а не о средстве, с помощью которого может произойти вымогательство и прерыванием бизнеса, которые не всегда связаны с компрометацией данных».
Рост кибервымогательства
Несмотря на то, что утечки данных являются дорогостоящими и опасными, они не являются самой большой киберугрозой, которая находится в поле зрения страховщиков в 2019 году. Только в первой половине этого года наблюдался рост частоты и тяжести атак, которые в некотором смысле всегда существовали в пространстве, но в настоящее время набирают популярность среди киберпреступников за бесхитростность и простоту развертывания.
Фрэнсис отмечает, что Travelers обнаруживает увеличение во всех отраслевых сегментах числа кибервымогателей, изощренности вредоносных программ и претензий за компрометацию деловой электронной почты, а также расходов, связанных с этими претензиями.
Ханнес говорит, что в прошлом году Hiscox «наблюдал увеличение частоты и тяжести риска из-за атак кибервымогателей». Атаки привели к прерываниям бизнеса для неподготовленных организаций, которые «испытывают трудности в эффективном возвращении к обычным бизнес-операциям». Страховщики реагируют на востребованность покрытия соответственно.
Фрэнсис отмечает, что «наблюдается тенденция к увеличению лимитов и увеличению охвата по таким рискам, как компрометация социальной инженерии, перерыв в работе бизнеса и сбой системы, непредвиденное прерывание работы и дополнительные покрытия».
Чернак добавляет: «Прерывание бизнеса, случайное прерывание бизнеса и ущерб репутации - все это покрытия, которые становятся все более заметными и важными».
Вымогатели и вредоносные программы не обязательно являются новыми угрозами, но «их применение в целевых атаках и повсеместный ущерб, который они могут нанести в компьютерной системе, по-прежнему остается основным риском», - говорит Джейсон Глазго, вице-президент по киберрискам в США, Allied World.
«Примерно два года назад вредоносное ПО отправлялось вслепую, чтобы заманить в ловушку как можно больше ничего не подозревающих компаний. Теперь усилия вымогателей нацелены на развертывание других типов атак, как на конкретных жертв вымогательства, так и на данные и системы платежей», - отмечает он. «Развитие методологии атак вызывает тревогу. Степень ущерба, который может вызвать заражение вымогателями в пределах одной компании, определенно находится в верхней части списка того, за чем страховщики внимательно следят».
Мошеннический перевод средств с помощью компрометации деловой электронной почты и тактики социальной инженерии являются существенной областью разоблачения, по словам Джоша Ладо, руководителя по техническим исследованиям и разработкам в Aspen. Осведомленность о широкомасштабных, драматических последствиях таких атак, как, например, NotPetya, повлияла на криминальные элементы, которые «стремятся получить большее финансовое вознаграждение за счет более высоких требований о выкупе», объясняет он.
«Рынок действительно перешел к тому, чтобы убедиться, что мы покрываем многие из этих рисков, которые были всегда, но стали более заметными в настоящее время из-за простоты использования кибервымогательства или фишинг-мошенничества, которое может быть довольно выгодно для преступника», - говорит Боб Вайс, лидер группы киберрисков в США компании Beazley.
Постепенный рост
По словам Глазго, возможности роста для страховщиков открыты для малых и средних предприятий во всех отраслях. «Многие из этих компаний приобретают киберполис из-за договорных требований, но все они могут воспользоваться услугами по управлению рисками, опытом и финансовой поддержкой, которую может предоставить сильный страховщик киберрисков».
По словам Вайса, отраслевой сегмент, в котором произошел заметный скачок в области внедрения киберстрахования, - это производители и оптовики. Рост числа вымогателей и вредоносных программ сделал цепочки поставок более уязвимыми для прерывания бизнеса и случайного прерывания работы.
«Подрядчик или производитель может быть целью, потому что конечными объектами являются предприятия, с которыми они ведут бизнес», - говорит Чернак. «Они могут иметь доступ к системам или другой критически важной информации, которую преступники будут использовать в своих попытках получить доступ к своей конечной цели».
Например, если компании, на которых производитель полагается «с точки зрения хостинга, обработки кредитных карт или обслуживания E & S», могут быть скомпрометированы, то такие производители подвергаются убыткам из-за прерывания бизнеса, которые не покрываются традиционным полисом в отношении имущества, объясняет Вайс.
«Это действительно подвергло киберриску многих производителей и оптовиков - компаний, которые действительно не имели большого количества данных, кроме данных своих сотрудников», - продолжает он. «Они хотят купить страхование, покрывающее прерывание бизнеса и кибервымогательство. Как только это стало стандартным предложением на рынке страхования, пришло намного больше покупателей».
«Производители, дистрибьюторы и подрядчики все больше полагаются на компьютерные системы для управления своего бизнеса», - объясняет Чернак. «Любой сбой системы, включая атаки с использованием вымогателей, может привести к значительным потерям доходов бизнеса».
Согласно отчету о состоянии кибербезопасности малого бизнеса в Америке, составленному Советом бюро по улучшению деловой практики в 2017 году, 65% предприятий стали бы убыточными менее, чем за один финансовый квартал, если бы они, потеряли доступ к необходимым данным.
«Мы уделяем значительное внимание угрозам, связанным с цепочкой поставок», - говорит Ханнес. Согласно отчету Hiscox, 56% фирм сталкивались с проблемами, связанными с киберрисками в их цепочке поставок, только в прошлом году, и только 7% повысили оценку угроз в цепочке поставок в результате инцидентов, связанных с кибербезопасностью . «Предприятия так же подвержены рискам, как и их цепочка поставок, и киберинцидент с третьей стороной может привести к значительным финансовым проблемам».
Но другие компании не сразу осознают потенциал атаки, будь то персонально нацеленная или случайная атака, часто совершая ошибку, не признавая ценности киберстрахования и ожидая, что другие общие полисы покроют предполагаемые убытки.
«Некоторые клиенты считают, что они защищены от киберпреступлений, таких как ложные заявления или компрометация деловой электронной почты на основе контрактов с поставщиками», - говорит Чернак. Это может создать ложное чувство безопасности, так как многие контракты не обеспечивают адекватную защиту.
«Предприятия продолжают полагаться на другие страховые программы для бизнеса, такие, как страхование имущества, D & O и профессиональная ответственность, чтобы реагировать (или частично отвечать) после киберсобытия и, следовательно, не чувствуют дополнительной позитивной защиты, предоставляемой специализированной программой киберстрахования», - объясняет Чернак.
«Киберриски представляют реальную угрозу для предприятий всех типов, и страховщики продолжают реагировать, предлагая покрытия, которые помогают защитить их от этих рисков», - говорит Чернак.
Подумай еще раз
Мы все можем договориться об одном: ни один бизнес не застрахован от киберугроз, независимо от отрасли или размера. Как отмечает Чернак, пока организация использует компьютер в любой части своих бизнес-процессов, она подвергаются риску какого-либо киберсобытия.
«Предприятия, которые считают себя свободными от риска, наиболее подвержены риску», - добавляет Глазго.
Управление рисками и их предотвращение являются ключевыми факторами снижения киберрисков, и многие страховщики предоставляют ресурсы и программы, которые помогают клиентам обучать сотрудников распознаванию атаки до того, как она произойдет. Но организации должны быть последовательными в своих целях и признавать, что кибербезопасность должна восприниматься всерьез.
«Кажется, во многих организациях все еще наблюдается недостаток институциональной поддержки вокруг кибербезопасности», - отмечает Ладо. «Это можно охарактеризовать такими вещами, как «директор по информационной безопасности, похороненный в организационной структуре», без прямой поддержки совета директоров или высшего исполнительного руководства и бюджета, который мало чем отличается от ИТ.
«Как андеррайтер, я видел лучшие организации, которые рассматривают кибербезопасность через призму конкурентного преимущества. В этих организациях существует постоянное инвестирование в кибербезовпасность и активное участие на всех уровнях управления», - говорит Ладо.
«Вообще говоря, те компании, которые не корректируют свои системы настолько часто, насколько это возможно, всегда более уязвимы», - объясняет Фрэнсис. «Кроме того, те, кто не обучает сотрудников тому, как выявлять и снижать вероятность открытия электронного письма, которое может иметь вредоносное ПО, повышают свою уязвимость».
«Компании всех размеров и во всех отраслях должны работать со своим брокером, чтобы понять риски, с которыми они сталкиваются, и то, как их лучше всего к ним подготовиться», - говорит Глазго.
Давай получим это
Глазго добавляет, что компании готовятся к киберрискам, с которыми они сталкиваются. «Понимание угроз и обучение сотрудников, а также наличие часто проверяемых планов реагирования на инциденты на уровне руководителей могут помочь предотвратить многие киберсобытия, а также значительно снизить ущерб, который они могут причинить».
Борьба с киберрисками имеет множество заинтересованных сторон, поэтому ряд организаций собрались вместе, чтобы предоставить агентам и клиентам надлежащие ресурсы, чтобы помочь снизить риски.
«Страховщики сотрудничают с различными компаниями, связанными с InsurTech, чтобы лучше помогать в оценке, предотвращении, смягчении и управлении угрозами, связанными с киберрисками», - говорит Чернак. «Агенты могут использовать отношения InsurTech и страховщиков для обучения своих клиентов и оказания им помощи в разработке планов для оценки, предотвращения и реагирования на кибератаки».
Подготовлено порталом Allinsurance.kz по статье Обри Джин