Риск кибератак и страхование киберугроз в 2022 году

117

В 2022 году значительно выросли риски кибербезопасности, связанные с возросшей активностью хакеров, отключением иностранного ПО и необходимостью быстрого перехода на отечественное ПО, а также возросшей ответственностью за утечку персональных данных.

 

События после 24 февраля определили изменение уровня киберугроз. Инциденты информационной безопасности можно разделить на два больших стрима.

Первый – это взломы информационных систем, которые в массовом порядке стали происходить после начала СВО. Начиная с марта в СМИ стали появляться сообщения о взломах крупных российских компаний. Жертвами хакеров могли стать компании Wildberries, Росавиация, RuTube.

Параллельно с этим происходил второй стрим инцидентов кибербезопасности – утечки персональных данных.

В течение года происходили утечки клиентских баз данных «Яндекс Еды», «Яндекс Практикума», «Гемотеста», Delivery Club, Tele2, «Ростелекома», Почты России, Geek Brains, tutu.ru, Pikabu, CDEK, DNS, что привело к тому, что в открытом доступе в сети интернет оказалась чувствительная информация о миллионах россиян. И если вы пользовались услугами этих сервисов, то с высокой вероятностью за достаточно умеренную плату по вам можно купить персональные данные. Безусловно телефонные мошенники воспользовались этими утечками для обогащения своих баз данных.

 

Факты, которые существенно повысили вероятность реализации риска кибератак

После начала СВО Российской Федерации официально была объявлена кибервойна. Различные активисты, хакерские группы официально заявили об этом и стали целенаправленно атаковать российские государственные сервисы и крупные компании. Был создан специальный телеграмм-канал киберармии Украины, основная цель которой – координация хакеров для совместного проведения Ddos-атак.

Одними из первых, еще до введения запрета со стороны своих правительств, поставщики программного обеспечения из недружественных стран отозвали лицензии на ПО, обеспечивающее киберзащиту. А в большинстве частных компаний на начало текущего года были установлены системы киберзащиты американского и европейского производства. Таким образом, мы ощутили одновременно рост угрозы атаки и снижение качества защиты.

 

Отдельно необходимо отметить несколько долгосрочных факторов, которые сказываются на российском рынке киберзащиты.

Во-первых, это нарастание уязвимостей по всему остальному программному обеспечению, которое также осталось без лицензий и без обновлений, как, например, Microsoft Windows, установленный на множестве компьютеров российских пользователей. Если не переходить на российское ПО, а, например, просто закрыть установленное программное обеспечение от внешнего контура и не обновлять его, то уязвимости накапливаются. И ими могут воспользоваться хакеры. Если обновлять, то вместе с обновлениями можно установить «закладку» – специально заложенный производителем код, из‑за которого в какой‑то момент ПО перестанет работать. Соответственно, вопрос «что делать?» – обновлять или не обновлять – стоит сейчас перед многими службами информационной безопасности.

Второй важный фактор, который нужно принимать в расчет, то, что кибербезопасность – это отдельная наукоемкая отрасль. В разных странах мира работают специальные научные центры разработки, которые исследуют как методы взлома, так и методы защиты, изучают новые уязвимости протоколов, которые действуют и используются. И такие центры компетенций, например, в Израиле и США продолжают исследовать новые возможности для взлома и защиты. К нам в Россию эта информация не поступает. Соответственно, у нас происходит технологическая деградация рынка киберугроз в целом. Конечно, мы будем догонять, у нас есть свои сильные компании, но технологии тоже играют свою роль.

 

Еще один фактор, влияющий на рынок киберугроз, – это тренд на цифровизацию, который сейчас активно продвигает государство и который пользуется популярностью у пользователей. Проблема в том, что все цифровые сервисы, которые появляются в сети, в том числе цифровую подпись, можно взломать. Значит, распространение цифровизации повышает риски взлома и киберугроз.

 

Регуляторное давление

Государство понимает возрастающие риски кибер-угроз и вводит новое регулирование с благими целями простимулировать значимые государственные и частные компании усилить свою киберзащищенность. Например, в этом году Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) вошло в число регуляторов и начало активную деятельность по введению стандартов кибербезопасности.

На текущий момент шесть регуляторов устанавливают различные требования в области информационной безопасности для страховой отрасли: ФСБ, ФСТЭК, Роскомнадзор, Банк России, Всероссийский союз страховщиков и Минцифры. Уследить за всеми этими требованиями – отдельная большая задача.

В этом году был выпущен ряд новых значимых регуляторных требований.

 

В качестве реакции на инциденты информационной безопасности весной этого года был выпущен Указ Президента Российской Федерации от 1 мая 2022 г. № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», который ввел персональную ответственность руководителя организации за инциденты информационной безопасности, а также требование по наличию выделенного заместителя руководителя, ответственного за обеспечение информационной безопасности. Данный указ ввел требования о постепенном переходе на российское программное обеспечение для отдельных компаний.

Внесены достаточно серьезные изменения в законе «О персональных данных» 152 ФЗ, согласно которым все организации обязаны сообщать в Роскомнадзор о фактах утечки персональных данных. А также о результатах внутренних расследований – кто виноват, как это произошло и что делать, чтобы это не повторилось. При невыполнении этих требований налагаются достаточно высокие штрафы.

На этом, скорее всего, регуляторная мысль не ограничится. Идет разработка закона о введении оборотных штрафов за утечку персональных данных. Сейчас концепцией предполагается за первый случай утечки персональных данных накладывать фиксированный штраф. За второй – оборотный штраф в размере до 1% от выручки. Эта значительная сумма совершенно изменит тяжесть последствий для организации не только из‑за взлома, но из‑за вероятной утечки. И приведет к положению вещей, которое давно существует в странах Европы и США, где штрафы давно очень высокие.

К чему это приводит?

Это приводит к тому, что параллельно с обеспечением фактической защиты и приведению наших технических средств в готовность, нужно приводить в соответствие нормативную базу, создавать различные внутренние документы. Что в свою очередь повышает рост риска «бумажной безопасности», потому что отвлечение ресурсов от реального обеспечения безопасности – деятельность, которая в итоге может снижать защищенность. Регулирование может устаревать, может иметь очень конкретные требования, не подходящие всем предприятиям в силу их специфики, либо из‑за отсутствия на рынке качественных решений, соответствующих требованиям регулятора. И это тоже фактор, который может сдерживать киберзащищенность компаний.

 

Риски импортозамещения

Ряд программных средств по защите информации, которыми пользовался Страховой дом ВСК, были «облачными», именно они и отключились в первую очередь. ПО, на которые есть долгосрочные лицензии, продолжают работать до истечения лицензий, но уже лишились поддержки и обновлений. Мы быстро лишились облачного Web Application Firewall – системы, которая защищает от внешних атак и взлома. Осознавая эти риски, мы незамедлительно запустили проекты по замещению зарубежного ПО программным обеспечением российских поставщиков, запустили пилоты, в том числе те, которые позволяют отражать происходящие атаки. Сейчас из девяти средств информационной защиты, которые у нас подлежат замене, мы заменили пять, еще два планируем заместить до конца года.

Процесс импортозамещения создает определенные риски. Во-первых, стоимость российского программного обеспечения выше зарубежного. Конечно, в ходе переговоров удается снижать цену, но, как правило, стоимость программного обеспечения того же уровня, что у западных производителей, вырастает.

Юзабилити российского программного обеспечения уступает западному. Оно не существовало в той конкурентной среде, как ПО, продававшееся во всем мире, и пользоваться им сложнее.

Отсутствие рейтингов и обзоров. До этого мы пользовались мировыми рейтингами Gartner, где собраны проверенные данные о системах защиты. Их можно изучить и понять, что выбираешь. Но далеко не на все классы защиты российского ПО есть какие‑то объективные обзоры, которые подтверждают их надежность и содержат сравнительные характеристики.

 

Страховой дом ВСК входит в ТОП-5 крупнейших компаний по размеру страховых сборов в сегменте страхования «не жизни».

Отсутствие выбора. Российский рынок небогат на поставщиков и их предложения. Есть системы, которые существуют только в одном экземпляре. Например, всем известный антивирус у нас один. То есть возникают риски зависимости от единственного поставщика со всеми вытекающими из этого последствиями.

 

Российский рынок киберстрахования

То, что испытал российский рынок за последние месяцы, на западном происходит уже давно. Взломы систем там в основном совершают в целью вымогательства и получения выкупа. Взламывают всех: от малого и среднего бизнеса до крупных компаний. Число кибератак в мире в 2021 году по сравнению в 2020 годом, по данным Checkpoint software, увеличилось на 50%.

При этом в странах Европы и США очень высокие размеры штрафов за утечки и большая ответственность компаний. Поэтому мировой рынок киберстрахования – один из растущих рынков страхового бизнеса. Согласно прогнозам исследовательского агентства Vantage Market Research, в 2028 году он достигнет 374,9 млрд долларов, рост по сравнению с текущим годом составит 9,5% каждый год.

 

В нашей стране, по информации Всероссийского союза страховщиков, данные пока совсем другие. Рост объемов страхования наблюдается с 2019 года, но 382 млн рублей собранных страховых премий по киберстрахованию на российском рынке – ничтожная цифра по сравнению с другими видами страхования. При этом в 2021 году был всплеск количества заключенных договоров киберстрахования, но он касался исключительно розничных продуктов. Однако сейчас ситуация может сильно измениться.

 

Что представляет покрытие по страхованию по киберрискам

Во-первых, это ущерб имуществу. Это непосредственно потери, которые несет предприятие от кражи, порчи или уничтожения финансовых либо цифровых активов. Такое покрытие входит в традиционный продукт банковской отрасли – страхования банковской ответственности (BBB). Покрытие относится только непосредственно к ущербу имущества, который был причинен в результате инцидента.

 

Второе – убытки, понесенные вследствие перерыва производства. На этот вид покрытия мы видим спрос со стороны предприятий торговли и промышленных предприятий. Здесь, в отличие от банков, проблемы в первую очередь возникают в случае взлома, когда системы шифруются, уничтожаются и это сказывается на работе предприятия, потому что ведет к остановке деятельности.

И третье – это ущерб третьим лицам. Это то, что является драйвером киберстрахования во всем мире, и то, чего у нас практически не существует. Ответственность за раскрытие данных является самым популярным во всем мире последствием утечки данных. И для России эта проблема уже очень близка. Хотя пока в нашей стране за это значимых штрафов нет, скорее всего они будут скоро введены. В Европе такой штраф составляет до 4% от выручки, поэтому потенциальные потери страхуются, и это является одним из ключевых драйверов роста рынка киберстрахования на Западе.

 

Оценка риска при выпуске страховой защиты

На рынке существует три подхода к оценке киберрисков в зависимости от размера страховой суммы.

Продукты, ориентированные на малый и средний бизнес, предполагают небольшие страховые суммы, примерно до десяти миллионов рублей. Они продаются коробочно, и мы их принимаем без отдельного андеррайтинга. Часто такие продукты включают сервисные составляющие, когда помимо страхового покрытия страхователь получает также и услугу по защите информации от партнера – специализированной компании по информационной безопасности.

 

В случае, если речь идет об очень крупном бизнесе, страховые суммы могут составлять несколько сотен миллионов рублей. Сейчас такие крупные контракты тяжело заключаются, опыта страхования таких крупных рисков на российском рынке не очень много. Для того чтобы корректно оценить страховую премию, страховой компании необходимо правильно оценить риски киберзащиты страхователя. То есть нужно хорошо изучить, какие есть средства защиты, как реально работает информационная безопасность. Зачастую страхователь не готов раскрывать эту информацию страховой компании, а страховая компания не готова принимать непонятный крупный риск.

Третий подход затрагивает средний сегмент, промежуточный между крупнейшим и малым и средним бизнесом. Здесь покрытие составляет примерно до сотни миллионов рублей. Для оценки такого риска страховая компания может ограничиться анкетированием, на основании которого будут получены заверения, которые затем будут включены в страховой договор.

Страховой дом ВСК выработал для себя набор параметров, которые мы используем для реальной оценки уровня киберугроз на основе анкеты. Западные компании ориентировались при оценке рисков на наличие тех или иных формализованных политик по кибербезопасности. Работая на российском рынке, мы понимаем, что наличие политики не всегда означает, что она действует. Поэтому мы смотрим глубже и опираемся на следующие факторы:

● Описание внешнего периметра, то есть то, что подвержено атакам;
● Штат служб информационной безопасности и ИТ, их соотношение, бюджет. На основании этого можно сделать вывод, сколько внимания уделяется защите информационной безопасности, достаточна ли она;
● Системы защиты информации, которые использует страхователь. Если разбираться в рынке и понимать какие эффективны, а какие нет, можно оценить защищенность компании;
● Наличие центра мониторинга информационной безопасности: внешний он или внутренний.
● Результаты внешнего аудита информационной безопасности систем страхователя или тестирования на проникновение и плана устранения выявленных проблем кибербезопасности;
● Соответствие стандарту ISO/IEC 27001 по менеджменту системы информационной безопасности.

По итогам 2022 года мы видим, что спрос на киберстрахование растет. Осознание риска приходит страхователям. Кроме этого, усиливается регуляторное давление. Введение оборотных штрафов в России за утечки персональных данных простимулирует спрос на услуги страхования ответственности.

 

При этом со стороны страхового сообщества существуют определенные ограничения с точки зрения принятия крупных рисков. Такой практики очень мало. С российского рынка ушли западные страховые компании, у которых был такой опыт. Емкостей для перестрахования крупных рисков практически нет.

В то же время интерес к этому продукту у страховщиков есть. Мы развиваем свои практики киберстрахования, обкатываем их с учетом специфики российского рынка. Сейчас идет активная работа внутри страхового сообщества по выработке стандартов по страхованию киберрисков. И со временем страховые компании смогут удовлетворять запрос, существующий на рынке.

Александр ЗАМУЛИН, руководитель центра управления рисками Страховой дом ВСК