К кибер-рискам следует относиться так же серьезно, как и к пожару, каждый из которых может нарушить работу бизнеса на длительные периоды времени, пишет Питер Хедберг из Corvus Insurance.

Питер Хедберг

Кто должен присутствовать при покупке киберстрахования?

BNMK0819 через Getty Images

Примечание редактора: ниже представлена ​​гостевая статья Питера Хедберга, вице-президента по киберандеррайтингу Corvus Insurance, дочерней компании The Travelers Companies, Inc.

Традиционно за управление корпоративными программами страхования отвечают сотрудники финансового, кадрового и хозяйственного отделов.

Вопросы по применению для традиционных полисов, таких как коммерческая собственность, здоровье и общая ответственность, довольно просты: Сколько сотрудников числится в платежной ведомости? Сколько транспортных средств в автопарке?

Но когда дело доходит до оценки полисов и подачи заявки на киберстрахование, вопросы и соображения становятся более сложными. Крайне важно, чтобы компании имели нужных людей в комнате при оценке киберстрахования.

Повышение киберрисков требует оценки покрытия

Мы увидели рост частоты и серьезности атак программ-вымогателей, утечек данных и других инцидентов кибербезопасности, что заставляет сосредоточиться на киберстраховании.

Покрытие призвано помочь организации снизить воздействие посредством передачи риска, и оно делает это, помогая покрывать расходы, связанные с восстановлением данных, перерывами в работе и другими потерями после киберинцидента. Оно отличается от страхования общей ответственности, которое обычно исключает киберсобытия.

Проще говоря, к киберрискам следует относиться так же серьезно, как и к пожарам, поскольку каждое из них может нарушить работу бизнеса на длительный период времени.

Согласно отчету Forrester Research за 2023 год, 83% лиц, принимающих решения в области безопасности предприятий, утверждают, что в их компаниях действует некая форма киберстрахования, однако только 26% организаций имеют отдельную киберстраховку.

Одним из объяснений такого низкого уровня использования может быть отсутствие знаний об этих политиках. Распространенные заблуждения включают компании, которые думают, что у них есть достаточная защита через их политику ответственности бизнеса или полисы владельцев бизнеса (BOP), атаки случаются только с крупными компаниями или не понимают истинных затрат на нарушение при взвешивании выгод и затрат.

Вот почему руководители служб информационной безопасности и лица, отвечающие за кибербезопасность, должны взять на себя инициативу при оценке киберстрахования.

Нападение — лучшая защита

Независимо от того, оценивает ли компания киберстрахование впервые или сравнивает полисы при продлении, первым шагом является наличие надежных средств контроля безопасности и плана реагирования на инциденты, который помогает защищаться от атак и нарушений.

Надежные средства контроля не только помогают снизить риск, но и повышают страховую пригодность компаний.

Почти половина организаций с полисом киберстрахования должны были усилить свою позицию безопасности, чтобы соответствовать требованиям страховщика, и 30% компаний внесли изменения, чтобы иметь право на полис, по сравнению с 22% год назад, согласно недавнему отчету Netwrix. Каждый пятый респондент говорит, что он внедрил дополнительные меры безопасности, чтобы снизить стоимость полиса.

Именно поэтому те, кто отвечает за кибербезопасность организации, должны быть впереди и в центре, когда речь идет о киберстраховании.

Как минимум, компаниям необходимо внедрить: 

  • Многофакторную аутентификацию
  • Управление исправлениями
  • Надежную стратегию резервного копирования
  • Обнаружение и реагирование конечных точек
  • Обучение и подготовка в масштабах всей компании

Роль директора по информационной безопасности в оценке киберстрахования

Оценка полиса и поставщика киберстрахования должна осуществляться директором по информационной безопасности или высшим руководителем по безопасности в вашей организации. Директора по информационной безопасности находятся в лучшем положении для:

  • Оцените «что вы получаете», включая услуги с добавленной стоимостью. Например, предоставляет ли ваша политика доступ к консультантам по рискам, которые отмечают слепые зоны кибербезопасности, заблаговременно предоставляют информацию о рисках, анализ и практическую помощь в случае атаки или нарушения?
  • Сравните покрытие для ключевых киберсобытий.
  • Ответьте на вопросы, связанные с существующими средствами контроля безопасности компании и состоянием киберрисков.

В то время как CISO должен руководить оценкой киберстрахования, при необходимости включите экспертов из ИТ, юридических, финансовых и других областей для поддержки:

  • Оценка риска уязвимости третьих сторон и цепочки поставок. Это подходящее время для инвентаризации и проверки контрактов со сторонними поставщиками. Недавние громкие атаки на поставщиков цепочек поставок в различных отраслях (например, программное обеспечение, здравоохранение, автомобилестроение) иллюстрируют необходимость оценки компаниями киберрисков через эти каналы.
  • Потенциальные обязательства, связанные с конфиденциальностью и управлением данными. Оценка и обновление политики — это хорошее время для оценки практик конфиденциальности и управления данными. Есть ли убедительная деловая или нормативно-правовая цель для хранения данных? Если нет, создает ли это правовую ответственность? Надежны и безопасны ли ваши резервные копии данных?

CISO должны использовать оценку и обновление политики как возможность обучения у руководства, чтобы информировать его, почему проактивные меры безопасности требуют надлежащего финансирования для снижения риска и создания лучшей страховой возможности.

Расходы на обеспечение безопасности цифрового периметра могут показаться высокими, но расходы на утечку данных или атаку, вероятно, намного выше. Реальные расходы выходят за рамки растущих платежей за программы-вымогатели и включают в себя возросшие юридические и ИТ-расходы, ускоренный контроль безопасности, репутацию бренда и компании и многое другое.

Проконсультируйтесь со своим брокером и страховщиком по киберстрахованию, чтобы убедиться, что вы понимаете объем покрытия, чтобы избежать пробелов в защите. Компании часто приобретают страховые полисы, которые не покрывают в полной мере их риски кибербезопасности.

Руководитель службы информационной безопасности или руководитель службы безопасности может помочь оценить данные и системы, которые защищает компания, и рекомендовать инвестиции для повышения устойчивости. Они лучше понимают, какие системы, скорее всего, будут атакованы программами-вымогателями, какие системы должны быть защищены и каковы затраты на простой.

Создавайте доверие между своим страховым брокером, страховщиком и вашей компанией. Вместо антагонистических отношений, которые часто рассматриваются как оскорбление позиции компании в области безопасности, ищите возможности для обучения руководства важности киберстрахования и внедрения рекомендуемых стратегий снижения рисков.

Воспользуйтесь дополнительными услугами от вашего страховщика, такими как доступ к команде киберэкспертов для услуг по упреждающему предотвращению рисков и разведке угроз в реальном времени.

Киберстрахование может быть эффективным инструментом для компаний, однако оценка, процесс подачи заявки и управление могут показаться запутанными или сложными. Позвольте директору по информационной безопасности взять на себя инициативу и гарантировать, что ваша политика обеспечивает адекватную защиту от кибератак и надежные средства контроля безопасности для упреждающего снижения рисков и повышения страховой защищенности.