За последние годы от хакерских атак пострадали сотни компаний, поэтому бурное развитие киберстрахования в России — это перспектива недалекого будущего
Перерыв в производстве и киберинциденты занимают первые строчки в списке десяти самых главных угроз, которые видит для себя бизнес в 2018 году. Далее следуют стихийные бедствия, изменение рыночной ситуации, поправки в законодательных и нормативных актах и так далее. К такому выводу пришла страховая компания Allianz, опросив 1900 экспертов по риск-менеджменту из 80 стран мира.
За последние пять лет киберинциденты поднялись с 15-й на 2-ю строчку рейтинга. Подобно стихийному бедствию кибератаки могут навредить сотням компаний. Так называемые киберураганы, когда хакеры вмешиваются в деятельность большого количества предприятий, используя их зависимость от общей интернет-инфраструктуры, происходят все чаще.
Риски цифрового будущего
Недавно специалисты Университета Иннополис провели опрос, в ходе которого предложили руководителям и ведущим специалистам по информационной безопасности крупнейших компаний России и местных филиалов международных корпораций оценить степень защищенности своего бизнеса, а также назвать несколько ключевых источников киберугроз.
60% опрошенных сочли уровень безопасности своих компаний недостаточным. 3% респондентов отметили, что столкнулись с сотнями инцидентов в сфере информационной безопасности. 24% опрошенных перенесли до 100 кибератак, 48% компаний столкнулись с единичными попытками нарушить информационную безопасность.
Источниками киберугроз в 66% случаев оказались действующие сотрудники компаний, в 42% — хакеры, в 27% — бывшие сотрудники. Самым распространенным киберпреступлением оказались кража и порча внутренней информации, на втором месте — утрата персональных данных сотрудников и клиентов, на третьем — их компрометация.
По количеству кибератак Россия сегодня находится на четвертом месте, об этом свидетельствуют данные Kaspersky Security Bulletin. На нее приходится 8,98% всех инцидентов информационной безопасности, зафиксированных в мире.
«Лаборатория Касперского» утверждает, что средний ущерб от одного инцидента кибербезопасности для крупных российских компаний составляет 11 млн рублей, а для малого и среднего бизнеса — 1,6 млн рублей.
Центр стратегических и международных исследований совместно с McAfee в 2014 году оценил убыток глобальной экономики от киберпреступности в $445 млрд. К 2020 году этот показатель может достигнуть $3 трлн.
Кибератаки становятся все более изощренными. В 2010 году появилось первое сообщение об успешном взломе хакерами системы безопасности промышленного предприятия. Появление программ-вымогателей WannaCry, Petya и Mirai и масштабная распределенная атака типа «отказ в обслуживании» (DDoS) на интернет-провайдера Dyn, которая в октябре 2016 года привела к сбою в работе Twitter, CNN и Netflix, вписываются в набирающую силу тенденцию к появлению «киберураганов».
Новая страница
В мае 2018 года по всей Европе вступает в силу общий регламент по защите данных (GDPR), направленный на повышение защиты персональных данных. GDPR обещает стать самым значимым событием в области управления киберрисками в этом году.
Российские дочерние структуры европейских компаний уже ведут работу по снижению возможных рисков, связанных с нарушением порядка обработки и трансграничной передачи персональных данных. Ожидается, что проблема в первую очередь затронет онлайн-ретейлеров.
GDPR предусматривает серьезные требования к лицам, осуществляющим обработку персональных данных. Для российского юрлица, действующего на территории Евросоюза, этот регламент означает двойное обременение.
GDPR пересекается по предмету регулирования и может распространяться на персональные данные одних и тех же лиц, что и небезызвестный пакет «антитеррористических» законопроектов, обязывающий операторов связи, работающих на территории России, хранить данные обо всех разговорах и переписке россиян.
Хотя GDPR относится к нормам иностранного права, полностью исключить принудительное взыскание налагаемых в соответствии с ним штрафных санкций с российского лица, в особенности если у него есть активы на территории ЕС, нельзя. Максимальный штраф может достигать $20 млн, или 4% от оборота нарушителя.
В этой связи до принятия разъяснительных и директивных документов к GDPR оптимальным инструментом защиты бизнеса от возможных убытков будет страхование от киберрисков.
Защита от киберугроз
Сегодня рынок предлагает большой выбор страховых покрытий для разных рисков. Можно застраховать ущерб третьих лиц или собственный ущерб из-за перерыва в производстве или деятельности, вызванный недоступностью IT-систем из-за DDoS-атаки. Страхуются также сопутствующие расходы: привлечение форензик-консультантов для расследования киберинцидентов, расходы на проведение внутреннего расследования, организация услуг кол-центра.
Страховщики также предоставляют доступ к услугам, смягчающим негативные последствия инцидента по мере его развития, например, за счет привлечения специалистов по кризисному управлению, специализированных юристов, специалистов IT.
Несмотря на информацию о растущем количестве угроз и киберрисков, в подавляющем большинстве российский бизнес пока неохотно передает свои риски страховщикам, ссылаясь на собственную «надежную систему IT-безопасности». И это неудивительно. Последствия для российских компаний пока не очень внушительны.
Вместе с тем очевидно, что рост автоматизации бизнеса и ужесточение законодательных нормативов ставят бизнес перед необходимостью расширения системы риск-менеджмента, в том числе аудитов кибербезопасности и привлечения страхования киберрисков. Учитывая начавшиеся перемены, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет.