Пігулка від хакерів: як бізнес захищає себе від кібератак

За даними компанії McAfee, що займається розробкою антивірусного програмного забезпечення, кібер-злочинці щорічно завдають світовій економіці збитків у розмірі $600 млрд. Страховий концерн Lloyd's називає трохи скромнішу цифру – $400 млрд на рік.

З цими оцінками складно не погодитися. Особливо якщо подивитися на те, з якою швидкістю цифрові технології накривають планету. За даними компанії Herjavec Group, яка спеціалізується на консалтингу у сфері кібер-безпеки, зараз у світі понад 4 млрд користувачів інтернету, у 2022 році їхня кількість зросте до 6 млрд, а в 2030-му – до 7,5 млрд. А за прогнозами Ericsson, до 2023 року кількість підключених до глобальної мережі пристроїв досягне 30 млрд. Це майже вдвічі більше, ніж у 2017 році.

При цьому від хакерських зазіхань страждають навіть більшою мірою не пересічні користувачі, а великий бізнес, що втрачає колосальні гроші. Лише атака вірусів WannaCry і Petya у 2017 році зачепила 150 країн і завдала збитків більш ніж на $12 млрд. Тому компанії витрачають на кібер-захист все більше коштів. У дослідженні агентства MarketsandMarkets йдеться про те, що за підсумками 2018 року витрати бізнесу на захист від хакерів склали майже $153 млрд, а в 2023-му вони перевищать $248 млрд.

Серед іншого, це витрати і на страхування від кібер-ризиків та інших цифрових загроз.

Кібер-страхування – явище нове

Не тільки для України, а й для всього світу. За даними Munich Re, подібний захист пропонують у цілому 60 страхових компаній у різних країнах. Водночас страхуванням покрито лише 5% кібер-ризиків.

Проте валоподібне зростання загроз із боку хакерів стимулює розвиток цього напрямку, і за оцінками тієї ж Munich Re, обсяги кібер-страхування у 2020 році складуть вже $8–9 млрд проти $3,4–4 млрд у 2017 році. А згідно з дослідженням страхової групи Allianz, ринок кібер-страхування зростає на 25–50% щороку.

До слова, перші договори страхування кібер-ризиків були укладені ще у 2010–2011 роках. Цю тему обговорювали на щорічному форумі в Давосі у 2012 році. Але активне зростання цього виду страхування почалося декілька років по тому, після масових зламів корпоративних і урядових ресурсів у США. Тому 90% ринку страхування кібер-ризиків припадає саме на Сполучені Штати.

Таким чином, договір страхування кібер-ризиків допомагає захиститися від загроз, внаслідок яких може статися витік даних, вихід з ладу різного обладнання, а також збитків, які через ці події несе страхувальник.

Страхові компанії поки що тільки напрацьовують практику страхування кібер-ризиків, і стандартизованих страхових продуктів не існує. В Україні взагалі такі договори поодинокі.

«Найчастіше попит компаній на таке покриття задовольняється через придбання додаткових розширень у договорах майна, відповідальності. Але покриття за кібер-ризиками в таких договорах, з огляду на специфіку цих видів страхування, досить обмежене. Наприклад, покриття фінансових збитків внаслідок припинення діяльності в результаті кібер-інциденту», – пояснює В'ячеслав Хлопонін, молодший андеррайтер страхової компанії «УНІКА».

Тому договір кібер-страхування – це зазвичай комплексний продукт, що включає в себе страхування майна, відповідальності та фінансових ризиків. Основний страховий випадок – збитки, що виникли в результаті порушення роботи комп'ютерної мережі (або її систем безпеки) страхувальника через вторгнення третіх осіб.

«Прикладами наслідків такого вторгнення можуть бути: надання несанкціонованого доступу до комп'ютерних систем компанії; зміна, видалення або передання електронних даних, програмного забезпечення; використання ресурсів комп'ютерної системи і т. д. У свою чергу, несанкціоноване вторгнення зазвичай має на увазі використання будь-яких засобів деактивації та уникнення систем захисту комп'ютерної мережі (включаючи віруси і шкідливі програми, фішинг) та DoS/DDoS-атаки», – розповідає В'ячеслав Хлопонін.

Збитки від кібер-ризиків можна розділити на три групи

Безпосередньо збитки самого страхувальника. Мова про втрати (недоотриману вигоду) через переривання діяльності та витрати на відновлення пошкодженої інфраструктури (наприклад, на придбання нового комп'ютерного обладнання) і на усунення прогалин у системі кібер-безпеки страхувальника, які стали причиною виникнення інциденту.

Збитки від претензій третіх осіб. У цьому випадку покривається відповідальність у межах матеріального збитку, моральної шкоди, порушення прав інтелектуальної власності тощо.

Витрати на кризовий менеджмент. Страхова компанія відшкодовує витрати на залучення експертів з IТ-безпеки, консультантів, юристів для усунення та мінімізації втрат внаслідок кібернетичної атаки.

«У додатковому покритті деяких страхових програм є послуга, що покриває витрати на кризовий PR і на відновлення репутації компанії після кібератаки», – коментує Андрій Семченко, директор департаменту андеррайтингу СК «ІНГО Україна».

Найчастіше договори страхування кібер-ризиків покривають перші дві групи збитків. Тобто втрати страхувальника та шкоду, завдану третім особам. «Наша компанія уклала договір страхування з іноземною компанією, яка надає послуги кол-центру і консультативну підтримку своїх клієнтів на території України. Страховим випадком є факт настання відповідальності страхувальника за заподіяну третім особам шкоду. У результаті фактичного витоку, розкриття або передачі конфіденційної інформації; збою або відмови системи безпеки; будь-якого вторгнення, втручання, несанкціонованого доступу або несанкціонованого використання комп'ютерної системи компанії», – наводить приклад Антоніна Яковенко, заступник голови правління СК «Арсенал Страхування».

Як підтвердити збиток

Основна складність під час страхування кібер-ризиків – це фіксація збитків і доведення причинно-наслідкового зв'язку між страховим випадком і заявленим збитком. Крім того, суму збитків потрібно якось підрахувати і документально підтвердити.

«Найскладніше застрахувати масиви даних, які важко оцінити. Скільки коштує витік даних невеликої фірми або конкретної приватної особи? Яким чином оцінити збиток від них?», – міркує Андрій Семченко.

Якщо збитків зазнала безпосередньо компанія-страхувальник, проводиться експертиза, завдання якої – довести або спростувати вторгнення третіх осіб у комп'ютерну систему, чиї дії спровокували псування майна і простої у виробництві.

«При страхуванні відповідальності перед третіми особами факт настання страхового випадку підтверджується рішенням суду», – уточнює Антоніна Яковенко.

При цьому страховик не несе відповідальність за грубі порушення співробітниками компанії-страхувальника вимог з кібер-безпеки; за шахрайські дії страхувальника і дії його співробітників, які викликані їх недостатньою кваліфікацією.

Умови, покриття і ліміти договорів кібер-страхування страховики визначають індивідуально для кожного окремого клієнта. Поки що страхові суми, як правило, невеликі – у межах $500 000, а страховий тариф становить від 0,8 до 1,5% покриття.

На умови страхування впливає велика кількість чинників. Це сфера діяльності компанії, її внутрішні бізнес-процеси, контрагенти, з якими вона контактує, обсяги і характер конфіденційних даних (наприклад, фінансова документація, персональні дані клієнтів), рівень IТ-безпеки компанії та захисту даних, ступінь кваліфікації співробітників і дотримання ними елементарної цифрової гігієни.

«Для великих компаній може проводитися технічний аудит із залученням зовнішніх IТ-експертів. Уже зараз є тренд на автоматизацію цього процесу і з'являються продукти, що дозволяють проводити аналіз і визначати вразливість у інфраструктурі з мінімальним залученням фахівців. З розвитком ринку кібер-страхування ціна і доступність таких продуктів впаде, і, як наслідок, якість андеррайтингу істотно зросте», – розповідає В'ячеслав Хлопонін.

На думку першого віце-президента СК «AXA Страхування» Андрія Перетяжка, головна перешкода на шляху розвитку кібер-страхування в Україні – низький рівень автоматизації бізнесу. «Тому говорити про цей сегмент ринку варто в середньостроковій перспективі. На його формування в нашій країні буде потрібно мінімум 2–3 роки», – вважає Перетяжко.

Паралельно розвиватимуться сервіси і консалтинг, які безпосередньо пов'язані із захистом від кібер-ризиків. «Наприклад, до основного покриття страхової програми входить опція так званого реагування на кібер-інцидент. Вона покриває витрати на послуги фахівців, які залучаються для оперативного реагування і зупиняють кібератаку», – наводить приклад Андрій Семченко.

Може навіть покриватися кібер-шантаж. У цьому випадку страховик відшкодовує суму, сплачену здирникам за дешифрування заблокованої інформації підприємства (наприклад, бази 1С), а також за загрозу знищення технічної інфраструктури і цінних даних.