Страхование от киберинцидентов и страхование киберрисков

По словам Сергея Худякова, генерального директора Mains Group, на страховом рынке предлагаются различные варианты страхования бизнеса и данных от киберинцидентов с защитой по всему миру.

Страховщики предлагают покрытие ущерба третьих лиц или собственного ущерба, связанного с вынужденным перерывом в деятельности из-за недоступности информационных систем, выхода оборудования из строя, вплоть до его полного уничтожения в результате злоумышленных действий киберпреступников, а также ответственности за компрометацию данных.

Договором страхования предусмотрено также покрытие расходов на юридическое сопровождение, расследование киберинцидентов с полной ликвидацией утечки и последствий,и отчасти штрафов, наложенных Регулятором. В рамках договора страхования страховщики анализируют «слабые зоны» информационной безопасности предприятия и привлекают специалистов по работе с киберрисками. Киберполис позволяет минимизировать и репутационные риски в том числе, в медиа-пространстве, в отношении электронных публикаций.

По оценкам экспертов Mains Group, в 2025 году объем рынка киберстрахования достигнет 1 млрд. руб. Этому способствуют и развитие законодательной базы, которое мы наблюдаем, и заинтересованность предприятий в качественной защите своих информационных систем. Очевидно, что угрозу хакерских агрессий сейчас нельзя недооценивать, ее необходимо взять под прицел.

Фориншур, 26.06.2018 https://forinsurer.com/news/18/06/26/36038

Примечательный случай (из мировой практики):

Страховые компании Lexington Insurance Company и Beazley Insurance Company подали в суд на фирму по кибербезопасности Trustwave с целью возмещения средств, выплаченных клиентам. Trustwave обвиняется в неспособности обнаружить вредоносное ПО в сети Heartland Payment Systems в течение нескольких месяцев, что привело к одной из самых серьезных утечек данных в 2000-х годах.

В январе 2009 года Heartland Payment Systems, предоставляющая услуги процессингового центра для обработки данных с пластиковых банковских карт, сообщила о крупной утечке данных. По словам представителей компании, услугами которой пользуются масса западных коммерческих банков, злоумышленникам удалось проникнуть в сети фирмы и получить доступ к информации о банковских картах.

В рамках страховых соглашений Lexington Insurance Company и Beazley Insurance Company заплатили Heartland Payment Systems $30 млн. Однако, как следует из гражданского иска, страховые компании пытаются возместить данные расходы, утверждая, что фирма Trustwave, с которой Heartland заключила контракт на обслуживание, не выполнила свою часть договора.

Источник: https://www.securitylab.ru/news/494314.php

Страхование киберрисков могут сделать всё же добровольным:

Киберриски потеряли обязательность
Планы правительства в части введения страхования киберрисков изменились. Как стало известно “Ъ”, в последней версии федерального проекта «Информационная безопасность» нацпроекта по цифровой экономике обязательный характер страхования таких рисков заменен на добровольный. На такой шаг власти пошли, чтобы избежать излишней нагрузки на бизнес. Мотивировать же его к добровольному страхованию чиновники намерены с помощью налоговых льгот.

Коммерсантъ, 16.08.2018 https://www.kommersant.ru/doc/3714348

Тинькофф Банк запустил страховую услугу «Защита карты»
Услуга «Защита карты» гарантирует возмещение денежных средств, списанных со счета банковской карты в результате несанкционированных действий третьих лиц, например — оплаты товаров или услуг с помощью реквизитов карты клиента.
Страховая защита действует по всему миру в режиме 24/7. При страховом случае возврат денежных средств осуществляется за один день. Сумма возмещения по страховке — до 100 000 руб. по каждому страховому случаю. Стоимость услуги — 99 руб. в месяц.

Тинькофф, 30.07.2018 https://www.tinkoff.ru/eng/news/30072018-tinkoff-bank-launches-insurance-service-card-protection/

Group-IB и «Альфастрахование» выпускают полис страхования киберрисков «АльфаCyber»

Group-IB, международная компания, специализирующаяся на предотвращении кибератак, и «Альфастрахование», одна из крупнейших российских страховых компаний, объявили о начале сотрудничества и запуске нового продукта «АльфаCyber», позволяющего минимизировать последствия кибератак, а также обеспечить клиентам оперативную структурированную защиту от финансовых потерь и репутационного ущерба.

Соответствующее соглашение о партнерстве подписали Владимир Скворцов , генеральный директор «Альфастрахования», и Илья Сачков , CEO и основатель компании Group-IB. Согласно заявлению партнеров, сотрудничество Group-IB и «Альфастрахования» будет состоять в совместном продвижении продуктов киберстрахования, предстраховой оценке рисков, реагировании и расследовании киберинцидентов, сопровождении судебных процессов.

Кибератаки, достигшие беспрецедентных масштабов, названы Экспертами Всемирного экономического форума (ВЭФ) в числе главных глобальных рисков, наряду с экологическими и геополитическими проблемами. Общие потери от киберпреступности в минувшем году, по данным ВЭФ, составили $1 трлн, а к 2020 г. вырастут в 2-3 раза.

Русскоговорящая преступность создает около 80% особо сложных технологических схем в мире, а все новые вирусы, шаблоны и сценарии целенаправленных атак тестируются на российских банках, компаниях и предприятиях. По оценкам Group-IB, ущерб только лишь от кибератак на российскую финансовую сферу за три последних года (II полугодие 2016—I полугодие 2018 гг.) составил более $166 млн.

Чаще всего под ударом оказываются банки и финансовые организации, но потенциальный рынок киберстрахования намного шире: любая компания, которая занимается хранением данных, обработкой и их передачей, оказывается в зоне риска. Транспортные и промышленные компании, заводы и предприятия ТЭК, аэропорты, метрополитен и другие стратегические объекты с каждым годом привлекают все большее внимание киберпреступников и прогосударственных хакеров — атаки на ИТ-инфраструктуру промышленных предприятий растут с каждым годом на 20%.

Понимая всю важность страховой защиты от киберрисков, «Альфастрахование» в тесном взаимодействии с Group-IB выпускает на российский рынок новый продукт «АльфаCyber». Новый страховой полис «АльфаCyber» и 15-летний опыт Group-IB в предотвращении кибератак и расследовании киберпреступлений позволят справиться с последствиями кризиса, если атака киберпреступников на компанию будет успешной.

«В отличие от традиционных рисков для бизнеса — техногенных катастроф, судебного преследования, выступлений профсоюзов, — киберинциденты могут настигнуть компании в любой точке мира и парализовать ее работу, — отметил Илья Сачков, CEO и основатель Group-IB. — Вопрос только в том, умеет ли компания работать с последствиями киберинцидентов и как много готова потерять. Важно, что киберстраховка помогает защитить данные клиента еще и «до» атаки. Программы страхования предусматривают аудит — эксперты указывают клиентам на наиболее существенные риски и дают рекомендации, как можно минимизировать последствия атаки».

«Мы рады сотрудничеству с Group-IB – одной из ведущих экспертных компаний в области кибербезопасности, – сказал говорит Владимир Скворцов, генеральный директор “Альфастрахования”. — Новый полис, защищающий от киберрисков, и передовые технологии Group-IB позволят минимизировать финансовые и информационные риски практически любого бизнеса. Базовый полис защищает от утраты и искажения данных (включая последствия атак вирусов-шифровальщиков), сбоя программного обеспечения, разглашения персональных данных и включает расследование и диагностику кибератак. Кроме того, можно добавить покрытие рисков недоступности ИТ-систем и ошибок персонала, как умышленных, так и непреднамеренных, которые привели к таким последствиям, а также повреждение и уничтожение компьютерного и производственного оборудования, вред жизни и здоровью, ответственность перед третьими лицами».

Страховщик отказался выплачивать компенсацию, посчитав атаку NotPetya воинственным актом

Чтобы не платить страховку, Zurich American Insurance Company намерена доказать, что NotPetya – разработанное в РФ кибероружие.

27 июня 2017 года мир накрыла волна кибератак с использованием вредоносного ПО NotPetya. Жертвами вредоноса стал целый ряд крупных влиятельных компаний, в том числе FedEx, Merck и Mondelez International.

Mondelez является крупным производителем напитков и продуктов питания, поставляющим свою продукцию в 165 стран мира. Кибератака в июне прошлого года затронула компьютерные системы компании и повлияла на процессы поставок. Из-за выхода из строя программного и аппаратного обеспечения произошли сбои в коммерческих поставках, и Mondelez не могла выполнять заказы своих клиентов.

В общей сложности кибератака NotPetya обошлась производителю Oreo в $100 млн, однако страховщик отказался компенсировать ущерб. Mondelez пользуется услугами страховой компании Zurich American Insurance Company, и страховка покрывает любой физический ущерб, причиненный имуществу, включая «физическую потерю или повреждение электронных данных, программ или ПО, в том числе потерю или повреждение, вызванные злонамеренным введением машинного кода или инструкции».

На каком-то этапе страховщик сам посчитал, что условия страховки частично покрывают ущерб от кибератаки NotPetya и был готов выплатить Mondelez компенсацию в размере $10 млн, однако потом изменил свое решение.

Существует мнение, что NotPetya на самом деле является замаскированным под вымогательское ПО кибероружием, разработанным российскими спецслужбами специально для атак на Украину, а согласно условиям страховки, Zurich American Insurance Company не выплачивает компенсацию в случае, если ущерб был нанесен в результате «враждебного или воинственного акта со стороны правительства или суверенной власти».

Этот случай является первым, когда страховая компания отказалась выплачивать компенсацию ущерба, причиненного в результате спонсируемой государством кибератаки. Mondelez подала на Zurich American Insurance Company в суд, и теперь страховщику предстоит нелегкая задача –доказать, что кибератака NotPetya действительно была воинственным актом со стороны суверенного правительства, в частности российского.

Страховая компания намерена представить суду доказательства, собранные ФБР и Министерством внутренней безопасности. Однако, даже если и так, вряд ли судья или присяжные штата Иллинойс имеют право решать, причастна ли Россия к кибератаке NotPetya.

On Cybersecurity Insurance

Good paper on cybersecurity insurance: both the history and the promise for the future. From the conclusion:

Policy makers have long held high hopes for cyber insurance as a tool for improving security. Unfortunately, the available evidence so far should give policymakers pause. Cyber insurance appears to be a weak form of governance at present. Insurers writing cyber insurance focus more on organisational procedures than technical controls, rarely include basic security procedures in contracts, and offer discounts that only offer a marginal incentive to invest in security. However, the cost of external response services is covered, which suggests insurers believe ex-post responses to be more effective than ex-ante mitigation. (Alternatively, they can more easily translate the costs associated with ex-post responses into manageable claims.)

The private governance role of cyber insurance is limited by market dynamics. Competitive pressures drive a race-to-the-bottom in risk assessment standards and prevent insurers including security procedures in contracts. Policy interventions, such as minimum risk assessment standards, could solve this collective action problem. Policy-holders and brokers could also drive this change by looking to insurers who conduct rigorous assessments. Doing otherwise ensures adverse selection and moral hazard will increase costs for firms with responsible security postures. Moving toward standardised risk assessment via proposal forms or external scans supports the actuarial base in the long-term. But there is a danger policyholders will succumb to Goodhart’s law by internalising these metrics and optimising the metric rather than minimising risk. This is particularly likely given these assessments are constructed by private actors with their own incentives. Search-light effects may drive the scores towards being based on what can be measured, not what is important.