| Рубрикатор |  |
 |
| Статьи | |
|
| Джейсон ХАРТ | 22 декабря 2015 |
Страхование кибер-рисков?
Страхование киберрисков не заменит собой необходимость оперативно реагировать на взломы систем и утечки данных.
Все вы, вероятно, уже слышали о страховании кибер-рисков, которое призвано защитить вас от угроз ИТ-безопасности и утечек данных. Неудивительно, что в страховых компаниях страхование кибер-рисков преподносят нам как оптимальный выбор. Но если вы думаете, что с его помощью вы получите надежную и безупречную защиту от любых возможных угроз, то вам, пожалуй, следует пересмотреть свои взгляды.
Я ни в коей мере не агитирую против страхования. Наоборот, с ростом кибер-угроз, любой компании было бы целесообразно изучить подобные возможности. Однако страхование кибер-рисков может оказаться весьма дорогостоящим: согласно результатам исследования, которое было составлено британской ассоциацией Airmic, занимающейся управлением рисками и страхованием, размер страховых взносов для получения лимита в 1 миллион фунтов стерлингов (100 млн рублей) может достигать 30 тысяч фунтов (3 млн рублей).
В чем же причина столь высокой стоимости страхования? Одна из сложностей, с которыми сталкиваются страховщики, заключается в том, что они (как и компании, которых они страхуют) вынуждены работать с еще неизведанной сферой. Кибер-рискам сложно дать определение, как сложно и попытаться их предсказать; ситуация усугубляется еще и общим нежеланием компаний сообщать об утечках и брешах в системе безопасности, когда они обнаруживаются, в частности, из-за опасений навредить своей репутации – об этом факторе сообщает американское рейтинговое агентство StandardandPoors.
Отсутствие ясности при определении рисков неизбежно приводит к удорожанию страховки. Кроме того, без четкого определения предмета страхования страховщикам приходится сосредоточиваться только на тех рисках, с которыми они знакомы и которые они в состоянии осмыслить, то есть, главным образом на традиционных рисках безопасности, таких как использование вредоносного кода, утрата данных и т.д. Проще говоря, страховщики стремятся свести свои потенциальные убытки к минимуму, что в общем-то вполне разумно.
Последствия для бизнеса же заключаются в том, что в результате такого подхода страхование кибер-рисков становится вовсе уже не таким фантастически эффективным. Результаты глобального исследования Ponemon 2015 CostofDataBreachStudy: GlobalAnalysis свидетельствуют о том, что хотя страхование и способно снизить общий ущерб от утечек данных, но лишь незначительно. Если исходить из того, что общая стоимость утечки составляет, например, 154 доллара в какой-то точке данных, то применение ряда определенных мер позволяет снизить эту стоимость на треть (55 долларов), из которых только 4,4 доллара будут обусловлены страховкой, сообщается в отчете. И хотя страховку все же лучше иметь, её эффективность фактически минимальна.
Тем не менее способность реагировать на утечки данных, широкое использование средств шифрования и инструктаж сотрудников вместе позволяют добиться снижения стоимости утечки более чем на 32 доллара, что подчеркивает важность реализации подобных инициатив. Таким образом, я отнюдь не исключаю возможность использования страхования. Однако самое важное здесь – это быть честным с самим собой в рассуждениях о своих собственных возможностях, и своевременно принимать необходимые внутренние меры. И это вполне очевидно: если вы не сделаете этого, то никакая сторонняя организация не будет брать на себя ваши кибер-риски.
Джейсон Харт, вице-президент и технический директор по защите данных, Gemalto
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3