Страхование киберрисков. Как извлечь пользу и выбрать подходящие условия
- Киберстрахование — относительно новый инструмент на отечественном рынке. Тем, кто держит курс на активное цифровое развитие, стоит к нему присмотреться.
- Определить критические риски, которые необходимо страховать, поможет анализ воздействия на бизнес (business impact analysis, BIA). Этот метод также позволяет подобрать оптимальный тариф страхования.
- Особенно актуально страхование киберрисков для компаний среднего размера и крупных корпораций, которые аккумулируют большой объем значимой информации. Также присмотреться к этим услугам стоит технологическим компаниям‑стартапам, стремящимся сохранить свои разработки и не потерять деньги.
У одной зарубежной медицинской организации хакеры украли диагнозы и персональные данные 850 тыс. пациентов. Компания столкнулась с многочисленными исками от клиентов.
Кибератака на информационные системы крупного российского производственного предприятия парализовала его работу. Сбой стоил бизнесу десятки миллионов рублей.
Зарубежная телемаркетинговая компания не смогла оправиться после атаки шифровальщика и была вынуждена прекратить деятельность спустя 61 год существования на рынке.
Эти примеры показывают, что с последствиями киберинцидентов справится не каждый бизнес. Далеко не всегда удается:
- найти виновного и привлечь его к ответственности,
- возместить реальный ущерб и размер упущенной выгоды,
- вернуть лояльность аудитории и остановить отток клиентов.
При этом самих киберугроз так много, что защититься на 100% практически невозможно. Чтобы взломать компанию, даже необязательно быть опытным злоумышленником — достаточно арендовать инструменты на теневых ресурсах. Тогда фактором киберриска может стать, например, недобросовестный конкурент. Иногда многомиллионные потери случаются по вине всего одного сотрудника, который открыл электронное письмо с вредоносным содержимым.
Расширяющийся ландшафт киберугроз и рост убытков от кибератак привели к появлению услуг по страхованию киберрисков.
В западных странах суммы выкупа, который преступники требуют за расшифровку данных, приближаются к 9 млн долл.
Если эти убытки покрыты страховкой, пострадавшей компании проще найти ресурсы, чтобы восстановиться после атаки. Например, в сумму возмещения можно включить оплату специалистов по расследованию инцидента, расходы на судебные тяжбы с третьими лицами, штрафы и компенсации по искам.
Покрыть страховкой можно самые разные кейсы, например:
- компания утратила данные или файлы программного обеспечения;
- похищена интеллектуальная собственность;
- от лица организации прошли спам‑рассылки;
- корпоративные цифровые ресурсы были неправомерно использованы, например для майнинга криптовалюты;
- со счета компании украдены деньги или акции;
- повреждено или полностью утрачено застрахованное имущество;
- произошел перерыв в производстве;
- нанесен вред деловой репутации компании.
Идеальный случай для страхования — инцидент с четко фиксированной суммой убытка. Например, компания заключила договор оказания услуг, в нем прописаны санкции за определенные события, а размер штрафа составляет некий процент от суммы договора. В этом случае риск выплаты штрафа можно застраховать, у него есть понятный размер, и компания застрахует не абстрактные киберриски, а конкретные санкции.
Еще один пример неожиданного события, которое может угрожать бизнесу, — уход западных вендоров с российского рынка в 2022 г. Компании столкнулись с заморозкой оплаченных лицензий, необходимостью нанимать или переобучать сотрудников, издержками из‑за взрывного роста цен на IT‑продукты. Если включить эти риски в страховку (к примеру, добавить в договор пункт «Вынужденная смена компонентов IT‑инфраструктуры в связи с невозможностью продлить лицензию»), компании будет проще адаптироваться к переменам.
Для отечественного рынка страхование киберрисков — относительно новое, но активно развивающееся направление. По данным экспертов, за 2021 г. спрос на услуги киберстрахования вырос в среднем на 60%
В 2021 г. в нашей стране появился стандарт по киберстрахованию — ГОСТ Р 59516‑2021. Он представляет собой адаптированный международный стандарт ISO/IEC 27102:2019
Важно следить, чтобы границы страхового покрытия по вашему договору соответствовали реальным последствиям инцидентов. Тогда вы не будете переплачивать за полис и сможете возместить ущерб при наступлении того или иного события безопасности. Мы рекомендуем провести анализ воздействия на бизнес (business impact analysis, BIA) — он поможет убедиться, что условия страховки покроют все риски и возможные последствия.
По результатам анализа компания сможет оценить события с наиболее тяжелыми последствиями для бизнес‑процессов. Эти данные помогут ответить на два ключевых вопроса:
- Какие меры предпринять для повышения защищенности и митигации рисков?
- Насколько целесообразно страховаться от таких ситуаций, учитывая критичность последствий и связанный ущерб?
Кроме того, компания сможет:
- определить потенциальный ущерб и рассчитать на его основе эффективную границу стоимости страховки;
- убедиться, что страховая выплата действительно компенсирует ущерб бизнесу или другой стороне;
- подготовить перечень конкретных последствий, сценариев и инцидентов, от которых можно застраховаться;
- сопоставить последствия и стоимость мер безопасности, чтобы обоснованно решить, будет ли эффективнее застраховать киберриск или уменьшить его вероятность.
Рассмотрим, как это работает, на примере вымышленной компании, которая предоставляет облачные услуги корпоративным клиентам.
У компании два основных сервиса с разными SLA
По результатам BIA, а также на основании SLA для сервисов «Архив» и «Доступ» определены максимально допустимые показатели доступности данных — RPO
| «Архив» | «Доступ» | |
|---|---|---|
| RPO | <1 дня |
365 дней |
| RTO | 10 дней |
<1 дня |
Отчет по итогам BIA также включает в себя оценку результативности процессов и план восстановления после сбоев (disaster recovery plan, DRP). На основе этих данных компания в примере определила время восстановления «Доступа» и среднее количество заявок для «Архива»:
С этими данными несложно подсчитать ущерб, который понесет подрядчик в случае сбоев:
| 100/50 | — перерасчет в % потери каждого из 50 ГБ данных |
| 20 | — среднее число заявок в день |
| 1 | — RPO |
| 0,4 | — объем заявки в ГБ |
| 2 | — компенсация потери данных в % за каждый ГБ |
| 2 | — ожидаемое время восстановления в днях |
| 1 | — RTO |
| 4 | — компенсация времени простоя в % за каждый день |
Посчитав размер компенсации по каждому договору и сложив эти цифры по всем клиентам, компания получит общую сумму возможного ущерба.
BIA также показал, насколько критична потеря данных для каждого из сервисов:
| Тариф 1 | Тариф 2 | Тариф 3 | |
|---|---|---|---|
| Страховые взносы | 500 тыс. ₽ | 1 млн ₽ | 500 тыс. ₽ |
| Покрытие |
|||
| Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков | До 4 млн ₽ | До 6 млн ₽ | — |
| Утечка данных | До 4 млн ₽ | До 6 млн ₽ | — |
| Отказ в обслуживании, включая DDoS‑атаки | — | До 6 млн ₽ | До 10 млн ₽ |
| Тариф 1 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 4 млн ₽
|
|
Утечка данных
До 4 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
—
|
| Тариф 2 |
|---|
|
Страховые взносы
1 млн ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 6 млн ₽
|
|
Утечка данных
До 6 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 6 млн ₽
|
| Тариф 3 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
—
|
|
Утечка данных
—
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 10 млн ₽
|
В сервисе «Архив» максимально допустимая периодичность резервного копирования составляет 1 день. В то же время по SLA этот сервис может оставаться недоступным до 10 дней, поэтому отказ в обслуживании для него можно считать незначительной угрозой. Следовательно, тариф 3 не подходит: он не включает риск несанкционированного изменения данных, а вся страховка уходит на защиту от DDoS.
| Тариф 1 | Тариф 2 | Тариф 3 | ||
|---|---|---|---|---|
| Страховые взносы | 500 тыс. ₽ | 1 млн ₽ | 500 тыс. ₽ | |
| Покрытие |
||||
| Для «Архива» критично: RPO — менее одного дня | Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков | До 4 млн ₽ | До 6 млн ₽ | — |
| Утечка данных | До 4 млн ₽ | До 6 млн ₽ | — | |
| Для «Архива» некритично: RTO — 10 дней | Отказ в обслуживании, включая DDoS‑атаки | — | До 6 млн ₽ | До 10 млн ₽ |
| Тариф 1 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 4 млн ₽
Для «Архива» критично: RPO — менее одного дня
|
|
Утечка данных
До 4 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
—
Для «Архива» некритично: RTO — 10 дней
|
| Тариф 2 |
|---|
|
Страховые взносы
1 млн ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 6 млн ₽
Для «Архива» критично: RPO — менее одного дня
|
|
Утечка данных
До 6 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 6 млн ₽
Для «Архива» некритично: RTO — 10 дней
|
| Тариф 3 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
—
Для «Архива» критично: RPO — менее одного дня
|
|
Утечка данных
—
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 10 млн ₽
Для «Архива» некритично: RTO — 10 дней
|
Сервис «Доступ» может быть отключен максимум на 1 день. Поэтому в его случае DDoS‑атаку точно нужно включить в страховку. При этом резервное копирование в нем можно проводить раз в год: риск изменения данных для «Доступа» не столь существенен. Таким образом, для этого сервиса оптимально выбрать тариф 3.
| Тариф 1 | Тариф 2 | Тариф 3 | ||
|---|---|---|---|---|
| Страховые взносы | 500 тыс. ₽ | 1 млн ₽ | 500 тыс. ₽ | |
| Покрытие |
||||
| Для «Доступа» некритично: RPO — 365 дней | Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков | До 4 млн ₽ | До 6 млн ₽ | — |
| Утечка данных | До 4 млн ₽ | До 6 млн ₽ | — | |
| Для «Доступа» критично: RTO — менее одного дня | Отказ в обслуживании, включая DDoS‑атаки | — | До 6 млн ₽ | До 10 млн ₽ |
| Тариф 1 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 4 млн ₽
Для «Доступа» некритично: RPO — 365 дней
|
|
Утечка данных
До 4 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
—
Для «Доступа» критично: RTO — менее одного дня
|
| Тариф 2 |
|---|
|
Страховые взносы
1 млн ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 6 млн ₽
Для «Доступа» некритично: RPO — 365 дней
|
|
Утечка данных
До 6 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 6 млн ₽
Для «Доступа» критично: RTO — менее одного дня
|
| Тариф 3 |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
—
Для «Доступа» некритично: RPO — 365 дней
|
|
Утечка данных
—
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 10 млн ₽
Для «Доступа» критично: RTO — менее одного дня
|
В итоге благодаря BIA компания может принять взвешенное решение: застраховать «Архив» по тарифу 1, а «Доступ» — по тарифу 3 или же приобрести единую страховку по тарифу 2.
| «Архив» | «Архив» + «Доступ» | «Доступ» | |
| Тариф 1 | Тариф 2 | Тариф 3 | |
| Страховые взносы | 500 тыс. ₽ | 1 млн ₽ | 500 тыс. ₽ |
| Покрытие |
|||
| Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков | До 4 млн ₽ | До 6 млн ₽ | — |
| Утечка данных | До 4 млн ₽ | До 6 млн ₽ | — |
| Отказ в обслуживании, включая DDoS‑атаки | — | До 6 млн ₽ | До 10 млн ₽ |
| Тариф 1 — «Архив» |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 4 млн ₽
|
|
Утечка данных
До 4 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
—
|
| Тариф 2 — «Архив» + «Доступ» |
|---|
|
Страховые взносы
1 млн ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
До 6 млн ₽
|
|
Утечка данных
До 6 млн ₽
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 6 млн ₽
|
| Тариф 3 — «Доступ» |
|---|
|
Страховые взносы
500 тыс. ₽
|
| Покрытие |
|
Несанкционированное изменение данных, в т. ч. из‑за шифровальщиков
—
|
|
Утечка данных
—
|
|
Отказ в обслуживании, включая DDoS‑атаки
До 10 млн ₽
|
Введем дополнительные условия: предположим, в ходе BIA компания выяснила, что атака на «Архив» не скажется на «Доступе», так как сервисы находятся в разных сегментах сети. В этом случае для снижения киберрисков можно рассмотреть следующие меры:
| «Архив» | «Доступ» | |
|---|---|---|
| Несанкционированное изменение данных | Полная репликация данных — 2 млн ₽/год |
— |
| Утечка данных | — |
— |
| Отказ в обслуживании | — |
Сервис по защите от DDoS‑атак — 300 тыс. ₽/год |
Поясним.
Таким образом, для «Архива» критически важно именно сохранить данные, а для «Доступа» — поддерживать работоспособность.
В нашем примере компания предоставляет две услуги, которые кардинально отличаются друг от друга с точки зрения киберрисков. В реальности у бизнеса гораздо больше процессов, систем и IT‑активов. В таких условиях не получится интуитивно оценить, как инциденты отразятся на бизнесе. Поэтому так важно провести BIA, чтобы убедиться, что страховка покроет все ключевые инциденты, и определить, какие киберриски эффективнее застраховать, а какие — снизить.
Вне зависимости от того, решит компания страховать свои киберриски или нет, важно укреплять общую киберзащиту и работать над киберзрелостью. Это поможет снизить риски. А если в будущем организация задумается о страховке, договор обойдется ей гораздо дешевле.