Ассоциация Insurance Europe конструктивно отреагировала на дискуссионный документ Европейского управления по страхованию и профессиональным пенсиям (EIOPA) о методологиях кибер стресс-тестирования для страховщиков.
Любое стресс-тестирование должно иметь четкие цели, соответствующие временные рамки и быть соразмерным поставленным задачам, считает ассоциация и в это связи предоставила свои критические замечания относительно предложенного документа.
Ассоциация отмечает, что не существует универсального подхода к стресс-тестированию риска киберустойчивости и риска киберандеррайтинга. На групповом и индивидуальном уровнях существуют разные воздействия, и пригодность стресс-тестов определяется такими факторами, как размер, тип страховых продуктов, структура процессов и систем, среди прочих факторов.
Ассоциация отмечает, что любые стресс-тесты должны иметь четкие цели, соответствующие временные рамки и быть соразмерными поставленным задачам.
Конкретные комментарии относительно предлагаемой релевантности факторов потерь, которые должны быть оценены в результате стресс-теста заключаются в следующем:
Что касается программ-вымогателей, прямые потери невелики, если системы восстанавливаются достаточно быстро. Однако на практике, как правило, существуют конкурирующие факторы, такие как степень шифрования и качество резервных копий. Поэтому оценка средней потери правдоподобна.
Отказ в обслуживании является важным сценарием, но, как правило, не считается значительным. Для большинства страховых компаний и поставщиков пенсионных услуг отключение должно быть длительным, чтобы оказать значительный эффект. «Простые» атаки типа «отказ в обслуживании» можно довольно быстро смягчить. Кроме того, отказ в обслуживании редко затрагивает все сервисы (которые обычно не находятся в одном месте из-за использования сервисов SaaS) и в большинстве случаев происходит на относительно короткое время. Страховые компании кажутся менее затронутыми этими проблемами.
В случае утечки данных влияние на «восстановление» не должно быть «умеренным»: оно должно быть «низким», если только сценарий не касается как «кражи данных, так и удаления копии, хранящейся у предприятия». Восстановление данных действительно не влияет на восстановление деятельности компании, поскольку компания будет стремиться исправить рассматриваемый недостаток, а не восстанавливать версию, которая, вероятно, имеет такой же недостаток или является устаревшей.
Нет никакой связи между доступностью и криптоджекингом.
Для простоя платежной инфраструктуры эффективность стресс-теста будет низким, за исключением случаев, когда недоступность затрагивает системы, поддерживающие налоговые декларации, и если суммы оцениваются как «умеренные».
Сценарии «ЦОД/Инфраструктура» обычно являются следствием не кибератаки, а скорее последствия события (например, стихийного бедствия), влияющего на ИТ-инфраструктуру. Это скорее сценарий, связанный с техническим стрессом. В тех случаях, когда в результате кибератаки возникает сценарий «ЦОД/Киберинфраструктура», это может иметь большое значение, если инфраструктура является общей для группы, и держатели полисов несут дополнительные расходы на проверку данных и систем, чтобы убедиться, что они не испорчены. Следовательно, если сценарий «Центр обработки данных/Инфраструктура» вообще должен быть реализован, при разработке этого сценария необходимо учитывать природу возникновения рисков.
Что касается отключения электроэнергии, то оно должно быть низким, чтобы прямые потери соответствовали другим сценариям. Однако можно отметить, что из всех предложенных сценариев можно утверждать, что отключение электроэнергии не включено, поскольку оно в основном вызвано внешними факторами и не зависит от зрелости компании в ее способности справляться с киберрисками. Таким образом, уместность наличия этого сценария в рамках кибер-стресс-теста ставится под сомнение.
Что касается дизайна киберстресс-тестов, следует отметить, что рынок созревает и остается узкоспециализированным. Поэтому любые европейские стресс-тесты пройдут в критический момент и окажут влияние на развитие рынка, а также на нормативные и отраслевые соображения и подходы.
К публикации результатов кибер стресс-тестирования следует подходить с особой осторожностью. В этом контексте отрасль хотела бы подтвердить свою позицию о том, что публикация результатов не является ни необходимой, ни уместной для любого стресс-тестирования.
Insurance Europe — Европейская федерация страхования и перестрахования. Через свои 36 организаций-членов — национальные страховые ассоциации — она представляет все виды и размеры страховых и перестраховочных организаций, на долю которых приходится около 95% общего европейского дохода от страховых премий.
Подготовлено порталом Allinsurance.kz