Киберстрахование больше не является чем-то, что компании могут купить и забыть. Поскольку программы-вымогатели, фишинг, компрометация деловой электронной почты и атаки с использованием искусственного интеллекта становятся все более распространенными, страховщики меняют свою роль. Они не просто выплачивают претензии после инцидента. Сейчас они решают, достаточно ли безопасна организация для страхования.
Урок ясен на примере города Гамильтон, Онтарио. В феврале 2024 года город подвергся атаке программы-вымогателя, которая нарушила работу служб по всему муниципалитету. Гамильтон отказался платить выкуп в размере 18,5 миллионов долларов и восстановил основные услуги в течение 48 часов, но некоторые системы оставались затронутыми в течение нескольких недель. Год спустя поставщик киберстрахования отклонил иск города после того, как следователи обнаружили, что несколько департаментов не внедрили многофакторную аутентификацию для сотрудников, имеющих доступ к внутренним системам.
Эта деталь имела значение. Как сообщается, в политике говорится, что страховое покрытие может быть аннулировано, если нарушение будет связано с отсутствием базовых мер безопасности, включая MFA. Другими словами, страхование не заменило безопасность. Опыт города показал, что покрытие зависит от того, сможет ли организация доказать, что она соблюдает минимальные стандарты, требуемые страховщиком.
Это становится новой моделью киберстрахования. Страховщики переходят от пассивного андеррайтинга к активной оценке безопасности. Они хотят знать, есть ли в компании MFA, обнаружение конечных точек и реагирование на них, ведение журналов, сроки внесения исправлений, проверенные резервные копии, сегментация, обучение сотрудников и процедуры реагирования на инциденты. Компания, которая не может предоставить доказательства наличия такого контроля, может столкнуться с более высокими страховыми премиями, более узким покрытием или полным отказом.
Время выбрано не случайно. Кибератаки становится легче запускать и сложнее сдерживать. Генеративный искусственный интеллект снизил барьер навыков для злоумышленников, сделав фишинговые электронные письма более убедительными и сделав возможным более масштабные атаки. Компрометация деловой электронной почты остается одним из наиболее распространенных источников претензий, поскольку она нацелена на людей, а не только на системы. Даже организации с сильными инструментами периметра все равно могут быть разоблачены, если сотрудников обманывают, им доверяют, а меры контроля применяются непоследовательно.
Вот почему аудиты, проводимые страховщиками, теперь имеют большое значение. Они заставляют компании относиться к кибербезопасности как к измеримому бизнес-требованию. Команды безопасности должны документировать меры контроля, доказывать, что системы контролируются, проводить учения, поддерживать доказательства продления и демонстрировать, что риск снижается. Это может расстраивать, но также создает дисциплину. Для многих организаций, особенно малого и среднего бизнеса, требования страхования могут стать толчком, который, наконец, обеспечит финансирование и внедрение базовых мер контроля.
Брандмауэры по-прежнему важны, но их недостаточно. Брандмауэр может отслеживать трафик, блокировать подозрительный доступ и снижать уязвимость на границе сети. Но это не может устранить риск. Неправильные конфигурации, украденные учетные данные, уязвимости нулевого дня, атаки на цепочки поставок, инсайдерские угрозы и человеческие ошибки по-прежнему могут привести к нарушениям. Даже сильная техническая защита не может автоматически покрыть юридический, финансовый, операционный и репутационный ущерб, нанесенный успешной атакой.
Именно здесь киберстрахование по-прежнему имеет ценность. Когда политика реагирует, она может финансировать судебно-медицинские расследования, юридические консультации, поддержку по связям с общественностью, переговоры о выкупе, услуги по восстановлению и возмещение убытков из-за перерывов в работе бизнеса. Страховщики также могут предоставить доступ к проверенным партнерам по реагированию на инциденты, которых многим компаниям сложно быстро найти во время кризиса. В случае серьезного нарушения такая координация может сократить время простоя и ограничить общий ущерб.
Но компаниям не следует предполагать, что каждое требование будет оплачено. Отказ в удовлетворении претензий часто происходит из-за введения в заблуждение, исключений, нераскрытых рисков или несоблюдения условий политики. Если организация заявила, что у нее везде есть MFA, но это не так, или заявила, что протестировала резервные копии, которые так и не были проверены, страховщик может оспорить это заявление. Полис больше не является просто финансовым документом. Это договор безопасности.
Более широкий результат заключается в том, что страховые компании становятся неформальными регуляторами кибербезопасности. Они устанавливают минимальные стандарты посредством андеррайтинга и продления лицензий, особенно для организаций, у которых нет зрелых программ безопасности. Вероятно, это будет продолжаться по мере дальнейшего масштабирования угроз, основанных на искусственном интеллекте, а страховщики пытаются контролировать свои собственные риски.
Киберстрахование по-прежнему имеет значение. Но к этому следует относиться как к части стратегии риска, а не как к замене безопасности. Наилучшую выгоду от страховки смогут получить организации, которые смогут доказать, что они выполнили основные задачи: защищают личные данные, контролируют системы, быстро устанавливают исправления, обучают сотрудников, создают резервные копии важных данных и тестируют свои планы реагирования до того, как это сделают злоумышленники.
<час />
