В 2020 году риски информационной безопасности вышли на первое место среди других корпоративных рисков, отодвинув на второй план прерывание бизнеса, изменения в законодательстве и природные катастрофы. Росту критичности киберрисков способствовала пандемия, которая сделала цифровые коммуникации основным каналом взаимодействия общества и бизнеса. В итоге компании начали искать дополнительные возможности по обеспечению безопасности своих цифровых рубежей. Киберстрахование в России, находившееся до 2020 года в основном в тени, стало вызывать все больший интерес. По данным Страхового Дома ВСК, в четвертом квартале 2020 года число запросов по данному виду страхования увеличилось в три раза по сравнению с первым кварталом. В ближайшие годы эксперты ожидают прорыв в этом направлении, и к 2025 году российский рынок должен достигнуть отметки в 8 млрд рублей.
Что такое киберстрахование, какую двойную защиту бизнеса предлагает его модифицированная версия – сервисно-страховой продукт – редакции CISO CLUB рассказали Оксана Васильева, руководитель сервис-провайдера Angara Professional Assistance, и Артем Ступенко, вице-президент по работе с приоритетными отраслями – IT и Телекоммуникации Страхового Дома ВСК.
Что такое киберстрахование и зачем оно нужно?
Артем Ступенко: Говоря простым языком, киберстрахование – это некое КАСКО и ОСАГО, только для бизнеса. Когда вы покупаете соответствующий полис для своего автомобиля, вы уверены, что в случае аварии ущерб будет возмещен – денежно или путем оказания сервиса. То же самое с бизнесом. Приобретая услугу по киберстрахованию, компания получает компенсацию при возникновении ущерба, к которому может привести инцидент ИБ. С учетом высокой вероятности финансовых потерь из-за кибератаки, например вируса-шифровальшика, страхование киберрисков – это отличный способ прикрыть тыл с точки зрения информационной безопасности.
Данное направление широко распространено на Западе, а вот в России к нему только начинают присматриваться, поэтому мы вместе с Angara Professional Assistance сыграли на опережение, запустив совместный сервисно-страховой продукт.
В чем отличие российского рынка страхования киберрисков от западного?
Оксана Васильева: Дело в том, что западный рынок начал формироваться на семь лет раньше российского – в 2010 году. За это время он достиг зрелости и баланса между спросом и предложением. По оценке различных экспертов, мировой рынок киберстрахования стабильно растет и к 2022 году должен достигнуть отметки в 15 млрд долл. США, а к 2025 году – 20 млрд долл. США.
Артем Ступенко: В США, к слову, рынок киберстрахования достигает объема более 2 млрд долл. США.
Оксана Васильева: В нашей стране киберстрахование присутствует с 2017 года. И первые запуски были не совсем удачными. Первопроходцами стали западные компании, которые пошли по простому пути и перевели свои правила страхования с английского на русский язык. Естественно такой подход в нашей стране не сработал, поскольку мало кто учитывал разницу в нормативно-правовой базе, практике арбитражных судов, обычаях делового оборота и реалиях ведения бизнеса в России.
Сейчас, спустя три года, можно сказать, что мы в начале большого пути. И 2020 год стал в определенном смысле прорывом – бизнес стал массово задумываться о киберрисках, искать доступные и простые способы их нейтрализации. В то время как страховые и ИБ-компании стали совместно работать над выводом качественных продуктов.
Артем Ступенко: Увеличение интереса среди отечественных компаний прослеживается на нашей работе: по итогу четвертого квартала 2020 года мы получили в три раза больше запросов по киберстрахованию, чем в первом квартале того же года. Поэтому мы настроены оптимистично и ожидаем роста рынка к 2025 году до 8 млрд руб.
Чем вызван рост интереса российского бизнеса к киберстрахованию?
Оксана Васильева: Рост данного рынка подогревают всем известные вирусы-шифровальщики (Wannacry, Petya и т.д.), а также новые типы уязвимостей, которые не только шифруют данные, но и используют компьютеры пользователей для кражи информации (инфостиллеры, ботнеты и т.п.). Средства защиты не всегда справляются с инструментами киберзлоумышленников, и пострадавшая компания сталкивается с результатами атаки – зашифрованными или скомпрометированными данными, требованием выкупа, недовольством пострадавших клиентов.
Ситуация, связанная с пандемией, также вызвала дополнительный интерес к киберстрахованию, поскольку бизнес столкнулся с новыми рисками в связи с переводом сотрудников на удаленную работу.
Рост числа атак, доступность инструментов злоумышленников, переход на цифровые каналы взаимодействия сделали все организации равными перед ИБ-угрозой. И если раньше компании, особенно сегмента СМБ, в вопросах ИБ могли положиться на «русское авось», то теперь дешевле предотвратить или застраховать риски, чем ликвидировать их последствия.
Осенью 2020 года Angara Professional Assistance совместно со Страховым Домом ВСК запустила сервисно-страховой продукт. Почему вы решили вывести на рынок новый сервис?
Оксана Васильева: Существовавшие на российском рынке немногочисленные продукты киберстрахования были построены по классической модели и предполагали много итераций и усилий как со стороны страхователя, так и со стороны страховщика. Полис всегда был очень персонализирован, поскольку многое зависело от того, кто и что страхует. Этим объяснялась достаточно высокая стоимость и трудоемкость, поэтому подобные услуги могли себе позволить только крупные корпорации.
Angara Professional Assistance и ВСК решили сделать это направление доступным малому и среднему бизнесу, который точно так же страдает от кибератак, но в отличие от крупного бизнеса не обладает достаточными бюджетами на ИТ и ИБ. Компании этого сегмента не могут себе позволить enterprise-решения, но также хотят «закрыть» ИБ-риски.
Артем Ступенко: В данном случае мы разработали не просто страховой продукт, а продукт на базе сервисно-страховой модели, который позволяет решить вопросы ИБ, возникающие у компаний в данном сегменте. Услуга собрана из трех частей: программная часть на базе решения «Лаборатории Касперского» KEDR (защита конечных точек), мониторинг инцидентов ИБ на базе Центра киберустойчивости ACRC (SOC сервис-провайдера Angara Professional Assistance) и собственно страховая часть (денежная компенсация ущерба в случае кибератаки). Таким образом бизнес получает не просто полис с серыми пятнами, а законченное решение в области информационной безопасности, подкрепленное финансовой гарантией. Это позволяет сконцентрироваться на повышении эффективности, а не на разбирательствах при наступлении киберинцидента.
Расскажите подробнее, как работает продукт?
Оксана Васильева: Программная часть состоит из решения KEDR «Лаборатории Касперского» и стека собственной разработки группы компаний Angara, используемой в Центре киберустойчивости ACRC при выявлении инцидентов ИБ. KEDR позволяет выявлять угрозы, которые не видит классический антивирус, блокировать зараженные рабочие станции пользователей, тем самым предотвращая распространение угрозы. Решение анализирует поведение ПО, в том числе, легитимного, на конечных рабочих станциях, а также телеметрию, которую также собирает с рабочих станций пользователя.
Мониторинг всех показателей системы страхователя, выявление и реагирование на инциденты информационной безопасности обеспечивают аналитики-эксперты Angara Professional Assistance в удаленном формате на базе собственного Центра киберустойчивости ACRC. Важно отметить, что вся поступающая информация обрабатывается не только на базе правил, предоставляемых производителем решения, но и с помощью инструментов Центра киберуйстойчивости ACRC и проверяется вручную аналитиками.
Если программно-сервисная часть защиты допускает киберинцидент, который приводит к ущербу, то наступает страховой случай и клиент получает финансовую компенсацию.
Что может быть застраховано?
Артем Ступенко: В части страхового покрытия наш продукт является очень гибким, мы всегда исходим от задач клиента, но если заострять внимание на основных моментах, то в первую очередь застрахованы могут быть четыре категории.
Первая – это имущество страхователя, куда входят информационные, финансовые, компьютерные (серверы, компьютеры, сетевое оборудование и т.п.) активы и иное имущество (например, управляемое посредством ИТ-систем оборудование).
Вторая категория – это гражданская ответственность страхователя, которая наступает в случае причинения вреда третьим лицам, например, вследствие хищения денежных средств со счетов клиента страхователя, причинения ему морального вреда или вреда его имуществу.
Также может быть застрахован перерыв в хозяйственной деятельности страхователя и связанные с ним затраты на зарплату, налоги, аренду помещений и оборудования, амортизационные отчисления, проценты по кредитам и т.д.
Четвертая категория – это расходы на расследование самого инцидента ИБ, включая оплату услуг экспертов, сервисных центров по установлению причин страхового события, юридические и судебные расходы.
Как рассчитывается и выплачивается страховое покрытие?
Артем Ступенко: На стоимость в первую очередь влияет количество рабочих станций, которые мы защищаем в рамках договора. А сама страховая премия отражает полную стоимость комплексного продукта и включает стоимость всех его компонентов.
Урегулирование страховых случаев в первую очередь базируется на собранных данных, диагностической информации, логах, скриншотах, которые могут быть получены из защищенных систем страхователя. В случае необходимости к урегулированию страховых случаев привлекается независимая экспертная организация.
Размер страховой выплаты зависит от того, что застраховано. Например, финансовые активы возмещаются в размере денежных сумм, которые были неправомерно списаны злоумышленниками. Это риски, которые носят общий характер.
А есть специальное покрытие для конкретных отраслей, например, медучреждениям мы готовы компенсировать стоимость пострадавшего медицинского оборудования, которые интегрированы с компьютерными и информационными системами страхователя.
А для предприятий складской логистики мы возмещаем стоимость товаров, которые пострадали в результате киберинцидента на складе, например вследствие несоблюдения температурного режима хранения.
На кого направлен Ваш продукт?
Артем Ступенко: В первую очередь продукт направлен на малый и средний бизнес. У нас есть несколько стандартных наполнений, учитывающих специфику отраслей, в которых работают наши клиенты, а также индивидуальные предложения. В целом наш совместный продукт нацелен на компании, которые:
- хотят быть уверенными, что у них не произойдет инцидентов, которые могут повлиять негативно на развитие их бизнеса;
- не имеют в штате необходимого количества специалистов по ИБ и не готовы вкладываться в инфраструктуру;
- готовы использовать сервисы для оптимизации расходов на обеспечение ИБ;
- уже пострадали и понимают, что это важно;
- хотят эффективно использовать современные решения ИБ и за счет этого повысить уровень собственной безопасности;
- в случае киберинцидента хотят быть уверены в том, что их потери будут возмещены.
Киберстрахование снижает расходы на ИБ?
Оксана Васильева: Сервисная модель прекрасна тем, что позволяет разделять тяжеловесные по ресурсам решения между множеством потребителей и таким образом экономить бюджетные средства на обеспечение ИБ. За небольшую сумму компании получают быстрый старт, который выводит компанию на другую ступень безопасности. При этом страховая часть защитит от непредвиденных расходов в случае успешной кибератаки.
Артем Ступенко: Кроме того, наше решение не требует проведения предстрахового осмотра компьютерных и информационных систем страхователя (аудита) с целью определения рискозащищенности. Средняя стоимость аудита часто сравнима со стоимостью нашего продукта. Только в одном случае страхователь узнает, что у него не так, а во втором – получает законченное решение, которое отвечает текущим задачам бизнеса по минимизации киберрисков. Всегда можно посчитать ROI в таких проектах, которое в нашем случае будет показывать максимально взаимовыгодное сотрудничество для всех.
Оксана Васильева: Наша задача – упростить задачи бизнеса, высвободить время менеджмента и финансовые ресурсы компании для решения стратегически важных задач. Поэтому совершенно точно в разрезе нашего продукта киберстрахование снижает расходы на ИБ.
При выборе страховой компании и страхового продукта на что нужно обращать внимание в первую очередь?
Артем Ступенко: В этом вопросе нет какого-то одного первоочередного факта, выбор страховщика зависит от ряда критериев, которые позволяют собрать общую картину.
Важно понимать, сколько лет на рынке присутствует компания, какие у нее рейтинги, какой лимит покрытия, подходит ли клиенту уровень предоставляемого сервиса, насколько страховщик диджетелизирован и как он вовлекает клиента в свои сервисы. Необходимо обращать внимание на наполнение самого продукта: может ли он быть универсальным, учитывает ли он и страховщик специфику финансово-хозяйственной деятельности своего клиента.
Если говорить о нашем продукте, то в принципе на рынке РФ данный вид страхования представлен недавно и у малого количества игроков. Это говорит о формировании нового интересного рынка. Мы выходим в некий голубой океан, в котором есть несколько яхт и один крупный эсминец, состоящий из трех частей: ПО, сервис и страхование. Помимо кардинально другого вида и подхода в страховании, мы даем клиенту не просто договор, мы изначально выстраиваем надежную защиту информационных активов.
Актуально ли киберстрахование для физического лица?
Артем Ступенко: Медийные личности, в том числе блогеры, могут подвергаться вымогательству. В компьютерных играх происходят взломы аккаунтов. Им, как и представителям бизнеса, необходим инструмент по защите. Также не стоит забывать, что большинство артистов не ведут свои социальные сети, за них это делают маркетинговые агентства, которые уже сейчас могут начать пользоваться нашим решением и тем самым обезопасить не только себя, но и своих клиентов.
Оксана Васильева: Один из самых распространенных типов ущерба, который может понести физическое лицо – это кража денежных средств. В эпоху развития интернета, мобильного банкинга, использования средств бесконтактной оплаты у злоумышленников все больше способов кражи денежных средств. Страхования такого рода рисков было бы очень актуально, однако техническая реализация защиты в этом случае нарушает приватность. Если общество когда-то созреет до такого уровня контроля, необходимого в целях защиты, и технические средства анализа и защиты станут настолько универсальны, что не будут зависеть от платформы, на которой их разворачивают, возможно тогда можно будет говорить о сервисно-страховом продукте с покрытием этих рисков.
Какие рекомендации вы бы дали бизнесу в связи с растущей киберугрозой?
Оксана Васильева: Прошлый год показал, насколько непредсказуемо может развиваться ситуация, поэтому главная рекомендация – действовать проактивно и уже сегодня задумываться о том, как вы будете справляться с ИБ-рисками завтра. Тенденция последних лет демонстрирует рост доступности инструментов, позволяющих проводить атаки на любые организации. При этом общий ущерб от потери данных за последние несколько лет значительно вырос: с 600 тыс. долл. в 2015 г. до 1,2 млн долл. в 2020 г., говорит нам аналитика «Лаборатории Касперского».
Артем Ступенко: Сейчас рыночная ситуация требует от всех участников новых решений в области сервиса и продуктов. Компании активно адаптируются к диджитал-пространству, многие из них не могут уделить достаточное внимание кибербезопасности. В этом случае в качестве выигрышного решения – с точки зрения затраченных ресурсов и полученного эффекта – я рекомендую рассмотреть возможность страхования ИБ-рисков. Ведь на следующей неделе может появиться новый вирус, который научится обходить все известные нам решения. Не зря компания Allianz еще в начале 2020 года поставила киберинциденты на первое место среди мировых корпоративных рисков.
ЧИТАТЬ ВСЕ НОВОСТИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ