Испанская ассоциация управления рисками Agers опубликовала руководство, призванное помочь компаниям и риск-менеджерам подготовиться к кибератакам, которые, по ее словам, в какой-то момент неизбежно поразят все фирмы.
Цель ассоциации — помочь риск-менеджерам справиться с развитием киберрисков, которые резко возросли за последнее десятилетие.
Справочник предназначен для профессионалов, которые не являются экспертами в области киберрисков, но которым необходимо достаточно хорошо разбираться в предмете, чтобы работать в тандеме с отделами ИТ-безопасности своих компаний и все более специализированными страховыми компаниями.
«Во время моей первой встречи по обсуждению полиса киберстрахования восемь или девять лет назад я не могла понять суть договора, хотя мы заранее тщательно подготовились», — сказала Белен Медина, руководитель отдела контроля, рисков и страхования транспортной концессионной группы Globalvia во время недавней презентации справочника в Мадриде. «Даже после восьми лет работы с полисами киберстрахования я все еще не могу чувствовать себя на 100% комфортно».
Это сложная тема, потому что киберугрозы не перестают развиваться. Одним из примеров является программа-вымогатель. Риск беспокоил компании в течение нескольких лет, но теперь он вышел за рамки простого вымогательства и теперь включает в себя двойное или даже тройное вымогательство, отметил Карлос Родригес, региональный руководитель киберпродуктов для APAC и Европы в AXA XL.
Кроме того, риск-менеджеры сообщают, что их главные сотрудники по информационной безопасности (CISO) предупреждали об изощренном мошенничестве с вредоносным ПО, создаваемом генеративными инструментами искусственного интеллекта, такими как ChatGPT.
По словам Родригеса, даже самые простые виды вредоносных программ стали более распространенными, поскольку готовые к использованию вирусные пакеты доступны для покупки в Интернете, что открывает рынок для обычных мошенников, не имеющих знаний в области программирования.
«И есть такие темы, как квантовые вычисления, которые могут быть полностью разрушительными», — сказал он. «Это меняет парадигму. Все наше доверие к сетям основано на шифровании. Если эта технология сможет взломать шифрование, мы больше не будем в безопасности при общении».
Помимо этого, существует регуляторный аспект киберриска. Регулирование конфиденциальности данных, такое как Европейский GDPR, и стандарты кибербезопасности, такие как обновленная Директива ЕС о безопасности сетей и информационных систем (NIS2), распространяются по всему миру.
Национальный институт стандартов и технологий США (NIST) также обновляет свою платформу кибербезопасности (CSF).
Если компании хотят перенести киберриски на страховой рынок, теперь они должны соответствовать все более высоким пороговым требованиям со стороны андеррайтеров, чтобы обеспечить возможность покупки киберстрахования.
Справочник, опубликованный Agers, проливает свет на некоторые из этих пороговых значений и на то, что компании должны делать, чтобы их соблюдать.
Например, покупатели киберстрахования должны четко идентифицировать свои критически важные активы, которые могут быть затронуты кибератакой. Административные учетные записи должны быть разделены, а диапазон привилегированного доступа администраторов должен быть максимально ограничен.
В руководстве говорится, что необходимо регулярно делать резервные копии системы и хранить их в автономном режиме с надежной защитой, в то время как структуры ИТ-безопасности должны часто тестироваться, а пакеты безопасности должны обновляться, когда это возможно.
Еще одна красная линия, проведенная страховым рынком, — это обучение персонала киберрискам. Обучение должно включать моделирование реальных кибератак и фокусироваться на том, как сотрудники должны реагировать на такие события.
«Осознание имеет существенное значение. Персонал — самое слабое звено», — отметил Родригес.
Он подчеркнул, что ужесточение практики андеррайтинга, похоже, оказывает положительное влияние на рынок киберстрахования. Объем киберпретензий снизился в 2021 году, и первоначальные цифры также указывают на более высокие показатели в прошлом году.
Но Родригес сказал, что многие риски ответственности, связанные с киберпокрытием, имеют длинный хвост и могут проявиться в балансах страховщиков в будущем.
Хотя рынок киберстрахования немного смягчился после недавних обновлений, покрытие остается дорогим, и страховщики требуют от покупателей больше информации и более высоких франшиз.
Таким образом, в справочнике Agers делается упор на то, что компании делают свою домашнюю работу, прежде чем переносить свои риски на страховой рынок.
Справочник разделен на пять областей, на которых должны сосредоточиться менеджеры по управлению рисками: идентификация рисков, защита, обнаружение, реагирование и восстановление. Но составители справочника предупреждают, что даже до того, как начнется эта работа, риск-менеджеры должны хорошо знать характеристики и риски своих компаний.
Это также помогает риск-менеджерам ориентироваться в море аббревиатур, таких как OT, SCADA, DPC, PLC, SDLC и других, используемых директорами по информационной безопасности и андеррайтерами.
Справочник является пятым томом из серии, опубликованной Agers по киберрискам. Другие названия включают такие темы, как картирование и передача киберрисков.
Подготовлено порталом Allinsurance.kz