Всё чаще хакеры нацелены не на получение материальной выгоды, а на то, чтобы нанести максимальный ущерб и нарушить рабочие процессы. Особенно опасно это для объектов критической инфраструктуры и промышленности, в том числе и для металлургических предприятий. Поэтому выход — возводить защитные рубежи, а ещё можно застраховаться.
Защита от не дурака
Киберстрахованием уже никого не удивить. В неспокойные времена информационных и кибервойн между компаниями, а иногда и даже целыми странами это один из немногих легальных способов обезопасить свои активы хотя бы с точки зрения финансовой, а страховые выплаты можно будет потратить на восстановление информации.
И если при первом инциденте вируса-шифровальщика в 1989 году требовали выкуп 189 долларов, то сейчас можно смело добавлять к этой сумме три нуля. Тогда троянская программа (Trojan) распространялась на дискетах в ходе медицинской конференции. Вирус шифровал все файлы на диске C компьютера и выдвигал условие в обмен на то, что ничего не будет повреждено: на экране высвечивалась цифра в 189 долларов, которые нужно было отправить на почтовый ящик в Панаме. Тогда никто не повёлся, просто люди по сути не понимали последствий, да и Trojan не смог завершить свою разрушительную миссию.
С тех пор дискеты сменили облачные решения, жёсткие диски, появился интернет, и технологии усовершенствовались. И люди стали более уязвимыми.
Поэтому в 2023 году страховщики заработали около 1,3 млрд рублей на киберполюсах, рассказали «Ъ» в ПСБ. По данным «Эксперт РА», в целом этот рынок в России по итогам минувшего года увеличился на 15-16%, а объём выплаченных премий составил около 2 трлн рублей. Получается, что люди не прогадали и предвидели угрозу. По статистике, чаще всего такие программы приобретают крупные клиенты из банковской сферы или промышленные предприятия — как правило, из ТЭКа и металлургии.
По запросу «киберпреступник» искусственный интеллект выдаёт такую картинку
Но перед тем, как получить полис, проводится анализ рискозащищённости и на основании заключений внешнего аудита кибербезопасности формируется предложение страховщиков.
«Когда наша компания обратилась за страховкой от приостановки деятельности из-за кибератак, нам начали задавать кучу, так сказать, «личных», чувствительных вопросов, — рассказывает Александр, один из руководителей завода по производству ферросплавов (попросил не называть какого именно. — Прим. Ред.). — Спрашивали про бизнес, узнавали нюансы. И мы бы, если честно, не хотели, чтобы эта информация, к примеру, попала в руки конкурентам. В итоге удалось найти со страховщиками компромисс, и приобрели у них полис».
Так называемая диагностика клиентов действительно может отпугнуть металлургов, также многим остаются непонятны условия киберстрахования, когда конкретно наступает страховой случай.
«Важно отметить, что страховому событию должен предшествовать киберинцидент, который нанёс определённый материальный ущерб, — рассказывает директор по рискам «СберСтрахования» Владимир Новиков. — Клиент при покупке определяет для себя наиболее подходящий набор последствий, которые он хочет компенсировать страховкой: восстановление данных или IT-систем, ответственность перед третьими лицами, расходы на перерыв в производстве, проведение расследования и аудита информбезопасности, компенсация похищенных злоумышленниками финансовых средств и так далее.
Соответственно, полезность страхового полиса будет разной: для одних страхователей это может быть доступ к «аварийной службе по информационной безопасности», для других — средство обеспечения непрерывности деятельности».
А вот определять, является ли случай страховым, будут специализированные организации, их нанимает страховая компания в интересах клиента. После того, как факт инцидента установлен, специалисты формируют размер и форму выплаты. При этом случаи, которые не будут считаться страховыми, отдельно оговариваются в каждом договоре. Например, это может быть ситуация, когда в инциденте виноват сотрудник компании или фирма использовала в работе нелицензионные программы.
«Наш опыт показывает, что даже такие ситуации полезны для бизнеса страхователей — они вскрывают уязвимости предприятия и позволяют улучшить бизнес-процессы», — подчёркивает Владимир Новиков.
В 2023 году 60% промышленных предприятий столкнулись с утечкой информации
Барьер недоверия к такому виду страхования сломается, когда широкой аудитории станет доступна информация, что можно включить в страховку и по какой цене, прогнозируют эксперты.
В СОГАЗе так ответили на запрос «ПроМеталла»: «Страхование от киберинцидентов позволяет страхователю минимизировать последствия при реализации рисков, связанных с использованием в своём производстве информационных систем. Стандартное покрытие включает три основных составляющих:
1) ответственность перед третьими лицами за разглашение информации (конфиденциальной, персональных данных, медиаконтента) в результате киберинцидента;
2) убыток страхователя от перерыва в производстве в результате киберинцидента;
3) дополнительные расходы, которые несёт страхователь в результате киберинцидента.
Также в страховое покрытие можно добавить физическую гибель оборудования под управлением информационной системы в результате киберинцидента и ответственность за жизнь и здоровье третьих лиц. Это может быть актуально, в том числе для предприятий металлургической отрасли».
На рынке есть и недорогие решения для малого и среднего бизнеса, позволяющие получить страхование от киберинцидентов, связанных преимущественно с последствиями DDoS-атак (атака на сервер). Однако они не обеспечивают защиту от всех актуальных киберугроз.
Согласно данным StormWall, в 2023 году количество DDoS-атак во всем мире увеличилось на 63% — в основном из-за геополитических факторов
«Поскольку каждая компания приходит со своим запросом, условия полиса киберстрахования могут быть очень индивидуальными, — рассказывает директор по рискам «СберСтрахования» Владимир Новиков. — Мы предлагаем клиентам — юридическим лицам и индивидуальным предпринимателям сегмента малого и среднего бизнеса продукт, который предусматривает страховую защиту от основных киберугроз: потери данных или повреждения информационных систем, перерыва в производстве в результате кибератаки, кражи финансовых активов, а также дополнительных расходов на расследование и восстановление данных и ответственности перед третьими лицами. Это продукт-конструктор, то есть клиент может выбрать интересующие риски и объём страхового покрытия, опираясь на свои потребности. Размер страхового покрытия может составить от 1,5 млн до 10 млн рублей. Для крупных компаний есть индивидуальные условия без ограничения по сумме покрытия».
Когда киберстрахование станет массовым
Сегодня киберрисками обеспокоены в основном крупные предприятия, многие из которых уже выстроили систему управления в сфере информбезопасности, а киберстраховка — это на всякий случай. Во всяком случае, так до сих пор думают многие руководители.
Но, как известно, любую систему можно взломать. Поэтому у владельцев бизнеса возникает один и тот же вопрос: можно ли самим оценить риски перед тем, как обратиться к страховщикам? Как проводится экспертиза для предварительной оценки защищённости предприятия?
«Чёткой методики не существует, — признаёт эксперт по кибербезопасности Kaspersky ICS CERT Владимир Дащенко. — Однако есть несколько общих подходов: в первую очередь, необходимо оценить, насколько компания защищена «здесь и сейчас». Это можно проверить с помощью аудитов информационной безопасности, тестирования на проникновение (имитации действий атакующего), проверки по базам утечек данных (есть или нет индикаторы того, что компания уже была атакована ранее и данные утекли). Также можно проверить потенциальную площадь поверхности атаки — оценить количественно и качественно активы, доступные из сети интернет».
Многие компании, проведя подобные внутренние аудиты, доверяются потом своим же безопасникам. Также в последнее время стали популярными сервисы, осуществляющие непрерывное тестирование информационных систем организации. Статистика с таких платформ может служить дополнительным источником информации о степени защищённости систем. Поэтому участники рынка отмечают, что киберстраховка пока не стала значимой для рынка.
По данным Kaspersky ICS CERT, в первом полугодии 2023 года в России вредоносные объекты были заблокированы на 32% компьютеров АСУ
«Большую часть бюджета на цифровую защиту компании по-прежнему тратят на различные механизмы защиты от хакерских атак, а на страхование направляют менее 1%, — говорит директор по рискам «СберСтрахования» Владимир Новиков. — Мы видим, что интерес бизнеса к киберстрахованию в последние годы растёт, но реальный спрос пока остаётся без изменений. Как любое новое направление, киберстрахование проходит несколько стадий своего развития. Пока мы находимся на начальной: такие продукты предлагают самые инновационные страховщики. Но примерно в трёхлетнем периоде страхование от киберрисков станет более массовым».
Действительно, объём российского рынка киберстрахования — 4-5 миллионов долларов, европейского измеряется в миллиардах. На Западе бизнес массово обратился к «конторам» только после того, как правительства большинства стран ЕС ввели систему оборотных штрафов за утечку данных.
«В России киберстрахование станет массовым тогда, когда появится нормативная база и регулирование со стороны государства. Тогда компании будут вынуждены обратиться к киберстрахованию. А в данный момент это, скорее, осознанный выбор и признак зрелости бизнеса», — говорит эксперт Kaspersky ICS CERT.
В СОГАЗе считают, что основной драйвер этого вида страхования — увеличение участия информационных систем в бизнес-процессах компаний, рост их автономности и повышение уровня решаемых задач. В такой модели роль киберстрахования возрастает, поскольку контролировать убытки, вызванные нарушениями в работе информационных систем, становится всё сложнее.
Егор Петров
