Киберстрахование — новый метод «борьбы» с рисками?
Киберстраховка — это относительно новый тип переноса корпоративной ответственности. Подобный полис потенциально позволяет покрыть ущерб, связанный с нарушениями систем безопасности. Рынок такого страхования продолжает стремительно расти, и сегодня мы хотим поговорить о том, кто является главным потребителем таких страховок, и что они дают сервисным компаниям.
Компании не готовы брать на себя все риски, связанные с ИБ и предпочитают…купить страховку! По данным Standard & Poor глобальный рынок киберстрахования на текущий момент составляет примерно $5 миллионов в год. Однако его рост прогнозируется на уровне 20–30% ежегодно на протяжении всего «обозримого будущего». Примерно такой же оценки придерживаются в страховой компании Munich Re, которая как раз продает киберполисы. Они ожидают увеличения рынка до $20 миллиардов уже к 2025.
Правительство США и другие авторитетные источники неоднократно подчеркивали, что провайдеры (MSPs) являются основной целью для киберпреступников. Ведь популярность различных облачных сервисов делает их действительно очень привлекательной добычей. В случае успешного взлома MSP все заказчики вместе с их данными, сетями и системами также оказываются скомпрометированы. Поэтому не удивительно, что киберстраховкой хотят в первую очередь воспользоваться именно провайдеры, чтобы снять с себя груз финансовой ответственности перед своими клиентами «если что».
Почему провайдерам нужна киберстраховка в первую очередь?
Если даже MSP не предлагает сервисов в области киберзащиты, заказчики все равно ожидают, что их активы будут защищены. И проведенный после атак на Kaseya опрос 2021 Global MSP Benchmark Survey Report привел к следующим выводам:
MSP сообщили, что самым большим вызовом в 2021 году для их клиентов является обеспечение безопасной работы сотрудников из дома, ИТ-безопасность в целом, а также поддержка непрерывности бизнеса и возможностей аварийного восстановления.
В числе самых популярных управляемых сервисов из области безопасности: антивирусы, anti-malware, управление конечными точками, резервное копирование серверов, установка патчей на ОС, а также безопасность электронной почты.
63% отметили, что на протяжении 2020 года все их заказчики консультировались с ними в вопросах выбора стратегии киберзащиты и применения лучших практик. И 37% отметили, что киберзащита является важной точкой роста для их бизнеса.
Итак, MSP активно выходят на тропу кибербезопасности, и начинают брать на себя часть ответственности. Но это все равно неизбежно — заказчики все равно хотели бы переложить на провайдера все риски, связанные с кибербезопасностью, даже если MSP не является непосредственным участником процесса. Обратимся за примером в заокеанские страны: Ohio manufacturing company подала в суд на своего MSP после того, как фирма потеряла $1,7 миллионов в результате продуманной фишинговой атаки, хотя провайдер не предоставлял им сервис киберзащиты. А SolarWinds продолжает испытывать затруднения из-за прошлогоднего взлома своих управляемых сервисов и поддерживающих их систем. Эксплойт, обнаруженный годом ранее, был опубликован еще в декабре 2020 года. Он позволил злоумышленникам проникать в сети клиентов компании, в числе которых были даже правительственные структуры США.
Еще один показательный пример уязвимости на стороне MSP — это атака Ransomware через решения Kaseya. 2 июля 2021 года группировка REvil использовала уязвимости в on-premise версии серверов Kaseya с популярными инструментами для удаленного мониторинга и управления. В результате были скомпрометированы около 50 MSP и тысячи их клиентов. Атакующие требовали выкуп в $25 000-$150 000 с каждого из них, $5 миллионов с провайдеров и $70 у Kaseya. Так что, если бы все заплатили, получилась бы кругленькая сумма.
В результате, несмотря на рост стоимости киберстраховки, сегодня 60% MSP обращаются к страховым компаниям и включают расходы на полис в состав своей стратегии снижения рисков. И ожидается, что эта доля только продолжит расти, в том числе из-за действий регуляторов. Например, в феврале 2020 года в Штате Калифорния был принят закон, предписывающий иметь киберстраховку всех ИТ-контракторов правительства. Кроме этого MSP, оплачивающие киберстраховку, помогают своим клиентам пройти аудит, и поэтому наличие полиса киберстрахования может стать конкурентным преимуществом.
В следующем посте мы расскажем о том, что именно покрывает типовая киберстраховка, а что нет. А сегодня хотелось бы узнать, как вы относитесь к страхованию киберугроз?
Как вы относитесь к киберстрахованию?
33.33% Она должна быть у провайдера 3
55.56% Нужно и страхование, и надежная защита 5
11.11% Хватит одной только надежной защиты 1
Проголосовали 9 пользователей.
Воздержавшихся нет.