Поиск по сайту:

Можете ли вы положиться на свою киберстраховку?


У вас есть киберстраховка на случай, если случится худшее. Но что покрывает ваш полис и за что он не будет выплачиваться? Ваш наихудший сценарий может быть хуже, чем вы думаете.

Что такое страхование киберответственности?

Страхование киберответственности — это особая форма страхования, которая покрывает финансовые убытки, возникающие в результате киберинцидентов. Как правило, это кибератаки и утечки данных. Как и в случае со всеми страховыми полисами, у вас есть две надежды. Во-первых, вам никогда не придется его использовать. Во-вторых, если вам действительно нужно подать иск, страховая компания принимает ваш иск и выплачивает.

Вы можете многое сделать, чтобы сделать вашу организацию максимально безопасной. Однако всегда существует риск того, что новая уязвимость будет обнаружена и использована злоумышленниками до того, как она будет идентифицирована производителем и выпущено исправление для устранения этой уязвимости. Это одна из форм уязвимости нулевого дня.

Еще одна уязвимость нулевого дня — это короткий период между обнаружением и характеристикой нового штамма вредоносного ПО и созданием обновлений для антивирусного программного обеспечения. В течение этого короткого промежуточного периода вредоносное ПО может беспрепятственно распространяться.

Еще одна уязвимость — ваш персонал. Они должны проходить регулярные — как минимум, ежегодные — тренинги по кибербезопасности и защите данных. Наиболее распространенные киберугрозы приходят по электронной почте, и ваши сотрудники получают эти электронные письма. Большинство утечек данных происходит из-за ошибок персонала или обходных путей. И, несмотря на обучение, они могут оступиться.

Кибербезопасность — это постоянный процесс улучшения и наверстывания. Ни в коем случае нельзя ставить галочку в поле «кибербезопасность полная, безопасность на 100 %». Вы никогда не достигнете точки нулевого риска. И поскольку никогда не будет нулевых рисков, вам следует серьезно подумать о страховании ответственности в киберпространстве.

Собственная и сторонняя обложка

Полисы страхования киберответственности сильно различаются. То, что некоторые провайдеры включают, другие считают платными или полностью исключают. Стандартная политика может не соответствовать вашим потребностям. Если ваша организация достаточно велика, ваша ИТ-инфраструктура достаточно сложна или существует большая вероятность того, что любые финансовые убытки или штрафы могут нанести ущерб, вам следует договориться о индивидуальном страховом полисе.

Большинство страховых полисов предусматривает страховое покрытие от первого и третьего лица или, говоря языком страхования, покрытие. Страхование первой стороны касается прямых финансовых расходов, которые ваша организация должна оплатить в результате инцидента с данными. Вы являетесь первой стороной, и вам покрываются наличные расходы, которые вы понесли.

Страхование третьих сторон применяется к финансовым санкциям, которые ваша организация вынуждена выплатить из-за претензий и судебных исков со стороны затронутых лиц. Например, затронутые субъекты данных в результате утечки данных могут подать иск против вас либо в одиночку, либо в виде коллективного иска. Они являются третьей стороной, и вы покрываете расходы, связанные с ущербом, понесенным ими .

Например, финская частная психотерапевтическая клиника Vastaamo стала жертвой масштабной утечки данных, когда в 2018 году была украдена вся ее база данных пациентов. База данных содержала личную информацию, включая стенограммы сеансов психотерапии.

Вастаамо отказался платить выкуп за шантаж, несмотря на давление со стороны злоумышленников, которые ежедневно публиковали в Даркнете записи о 100 пациентах. Когда этот метод вымогательства не удался, в 2020 году киберпреступники обратились к пациентам напрямую. Они пригрозили опубликовать свои записи о пациентах и сеансах, если не получат оплату.

Если бы Вастаамо не обанкротился, пациенты могли бы подать в суд на Вастаамо за неспособность защитить свои личные данные и за нераскрытие информации об утечке данных. Если бы Vastaamo была застрахована хорошей киберстраховкой, они, возможно, избежали бы банкротства — страховка первой стороны — и смогли бы выдержать финансовые штрафы в результате судебных разбирательств субъектов данных — страховка третьей стороны. Так случилось, что компания закрылась до того, как субъекты данных и орган по защите данных смогли возбудить против нее дела.

Другие виды покрытия

Комплексные политики киберответственности предусматривают ряд страховых покрытий, некоторые из которых могут быть необязательными. Каждое покрытие, вероятно, имеет свой собственный финансовый верхний предел, который ограничивает степень риска, с которым сталкиваются страховые компании, страхуя вас. Для некоторых полисов или страховых покрытий может потребоваться избыток. Это сумма денег, которую вы должны будете предоставить в случае претензии и которая будет вычтена из любой страховой выплаты. Согласие на излишек снижает страховую премию по вашему полису.

Важно выяснить, покрывает ли ваша страховка расходы на привлечение экспертной помощи. Это может потребоваться для управления инцидентами или кризисными ситуациями, технических и криминалистических экспертов, переговоров с субъектами угроз и управления коммуникациями. Некоторые страховщики предпочтут сами предоставить этих экспертов, чем платить за внешнюю поддержку.

Этот список содержит некоторые распространенные покрытия первой стороны.

Восстановление данных

Покрывает расходы на восстановление данных, переустановку операционных систем и программ или замену программного обеспечения, которое было повреждено или уничтожено без возможности восстановления. Может быть список покрываемых опасностей. Если ущерб является результатом чего-то, чего нет в этом списке, вы не застрахованы, поэтому внимательно проверьте свой полис.

Потеря дохода и дополнительные расходы

Если вы не можете торговать, вы теряете доход. Это покрытие покрывает расходы, понесенные при восстановлении ваших систем до рабочего состояния. Опять же, вероятно, будет список покрываемых опасностей. Некоторые полисы даже предусматривают покрытие потери дохода, которую вы понесли из-за того, что торговый партнер, поставщик или другой ключевой партнер, такой как дистрибьютор, стал жертвой киберинцидента.

Кибер-вымогательство

Это покрытие выкупа, шантажа или аналогичных вымогательских платежей, сделанных злоумышленникам. Наиболее распространенным примером является программа-вымогатель, но она также может использоваться для предотвращения утечки конфиденциальных документов в Интернете, предотвращения внедрения вируса хакером или прекращения проведения распределенных атак типа «отказ в обслуживании».

Надежные полисы покрывают платежи, произведенные в результате любого вида вымогательства, при условии получения согласия страховщика, а лучшие полисы также предусматривают переговорщика или покрытие расходов на его наем.

Расходы на уведомление

Большинство современных законов о защите данных, таких как Общий регламент по защите данных и Калифорнийский закон о защите прав потребителей, требуют, чтобы организация связывалась и информировала затронутых субъектов данных об утечке данных.

Если скомпрометированные данные могут привести к финансовому ущербу субъектам данных, от вас могут ожидать предоставления кредитного мониторинга. Если ваше нарушение является достаточно серьезным — из-за очень большого числа затронутых субъектов данных или если взломанные данные включают данные особой категории, такие как медицинская информация — вам может потребоваться выделить персонал для ответов на запросы общественности или передать эту функцию на аутсорсинг. Проверьте, обеспечивает ли ваша политика покрытие этого типа.

Антикризисное управление

Большинство киберполисов предусматривают некоторое покрытие расходов на антикризисное управление. В зависимости от вашей политики страховое покрытие может предоставлять экспертную помощь в разрешении инцидента, восстановлении, ограничении ущерба, а также в связях с общественностью и бизнес-коммуникациях. Проверьте, предоставляет ли ваша политика доступ к:

  • Технические и судебные эксперты.
  • Колл-центр и персонал уведомлений.
  • Службы мониторинга кражи кредитов и личных данных.
  • PR-фирмы.
  • Переговорщики.
  • Юрисконсульт.

Безопасность сети и ответственность за конфиденциальность

Если киберинцидент стал возможен из-за небрежных действий, ошибок, сбоев или упущений в отношении вашей кибербезопасности или уведомления о нарушении, вы можете столкнуться с судебными исками от затронутых субъектов данных. Это покрытие страхует от этих требований.

Ответственность за электронные СМИ

Это обычно включается в страхование кибер-ответственности, хотя напрямую не касается вопросов, возникающих в результате киберинцидента. Он обеспечивает покрытие судебных исков, возбужденных против вашей организации за акты клеветы, клеветы и диффамации из-за чего-либо, опубликованного на веб-сайте, в блоге или в социальных сетях. Некоторые страховщики называют это покрытием ошибок и упущений.

Регуляторное производство

Если надзорный или руководящий орган вашего законодательства о защите данных налагает штрафы или другие санкции на вашу организацию либо за нарушение, либо за то, как вы отреагировали на нарушение, это покрытие покроет вам эти убытки. Он также должен оплатить юридическое представительство, если это необходимо.

Что не покрывается

Как и все договоры страхования, полисы киберответственности исключают определенные виды требований. Вот несколько типичных исключений:

  • Все до начала действия политики.
  • Физический вред или телесные повреждения.
  • Повреждение имущества.
  • Саботаж: преднамеренные нечестные действия, совершенные членом вашей организации.
  • Акты войны и терроризма.
  • Договорная ответственность.
  • Сбой утилиты.
  • Улучшение ИТ. Ваша киберстраховка вернет вас туда, где вы были, а не туда, где вам нужно было быть, чтобы предотвратить инцидент. Он не будет стремиться оставить вас в улучшенном состоянии. Страховщики называют это улучшением .

Акты войны и терроризма

Это важно. Если кибератака или киберинцидент, от которых вы пострадали, считается актом кибервойны или кибертерроризма, ваша страховая компания не выплатит вам выплату. Вступит в силу стандартное исключение во всех страховых компаниях, связанных с военными действиями и терроризмом.

Спонсируемые государством хакерские группы, известные как Advanced Persistent Threats (APT), регулярно проводят кампании, которые распространяются и наносят побочный ущерб деловому миру в целом.

Атаки программы-вымогателя NotPetya в 2017 году были нацелены на пользователей определенного типа пакета бизнес-бухгалтерии, который активно использовался в Украине. Вскоре NotPetya начал атаковать организации по всему миру. Австралия, Новая Зеландия, Канада, Япония, США, Дания и Великобритания приписывают атаку российским военным. Эта атрибуция оказала огромное влияние на очень многие предприятия.

Продуктовый гигант Mondelēz пострадал от NotPetya и понес убытки в размере более 100 миллионов долларов США. Их страховая компания Zurich Insurance Group утверждает, что, поскольку за вредоносным ПО стояли российские военные, кибератака была актом кибервойны. Цюрих говорит, что освобождает его от какой-либо ответственности. Неудивительно, что Mondelēz International предъявляет иск Zurich Insurance Group на 100 миллионов долларов США.

Положения о войне и терроризме формулируются по-разному от политики к политике, но их можно перефразировать следующим образом: «…исключает ущерб, причиненный враждебными или военными действиями в мирное или военное время со стороны любого правительства или вооруженных сил суверенной державы, военно-морских или военно-воздушных сил, агентов или его полномочия». Таким образом, для применения исключения на самом деле не требуется наличия состояния или акта войны. Враждебные действия иностранной державы или правительства в мирное время могут вызвать действие положения об исключении.

Будет интересно узнать, чем закончится дело Mondelēz International против Zurich Insurance Group. С постоянно растущим числом действий APT, хотя маловероятно, что обычная бизнес-организация станет непосредственной целью, вероятность попасть под перекрестный огонь соответственно возрастает.

Если вы попали под удар и атрибуция указывает на APT, может быть неважно, какое покрытие вы имеете или не имеете в своем полисе — ваш полис вполне может быть недействительным.