Продолжительные атаки и человеческий фактор – проблемы при страховании кибербезопасности

Компания PwC провела исследование Global State of Information Security Survey 2016, в рамках которого были опрошены десять тысяч руководителей ИБ-отделов из 127 стран мира. Каждый шестой из десяти респондентов рассказал, что в 2015 году их организации приобрели страховку кибербезопасности. Стоит отметить, что в 2014 году подобную страховку приобрело на 50% меньше предприятий по сравнению с нынешними показателями. Все больше компаний считают страхование кибербезопасности частью стратегии по контролю потенциальных рисков, связанных с киберпространством,  рассказывает  ИБ-эксперт Илья Колошенко. 

Страхование кибербезопасности помогает минимизировать потери организаций в случае, если компании не смогли предотвратить осуществление кибератаки. Тем не менее, существует ряд вопросов о практической реализации такого вида страхования. Во-первых, как долго страховая компания намерена покрывать финансовые потери, вызванные атакой, ведь трудно предугадать продолжительность эксплуатации злоумышленниками скомпрометированной системы. В качестве примера можно привести атаку на Ashley Madison – в руках хакеров до сих пор находится база данных пользователей ресурса, которой они наверняка в будущем воспользуются неоднократно. Как следствие возникает вопрос, готовы ли страховые компании выплачивать компенсации, связанные с эксплуатацией похищенной информации в течение длительного времени, возможными судебными исками и пр.

В настоящее время, когда страховые компании и их клиенты не всегда могут определить инициаторов кибератак, страхование в сфере кибербезопасности не может нормально развиваться. Еще одной проблемой для страхования кибербезопасности является человеческий фактор. В случае умышленного и хорошо продуманного саботажа, будет крайне тяжело проследить и доказать инсайдерскую деятельность. Корыстные ИБ-специалисты также могут попытаться сымитировать кибератаку и обмануть страховую компанию. Для того чтобы оформить страховку кибербезопасности, страховые компании должны быть уверены, что их клиенты принимают все необходимые меры для предотвращения потенциальных атак. Честность и ответственность предприятия должна проверяться сторонними специалистами, и лишь затем может выдаваться страховка.