Киберстрахование — новый метод «борьбы» с рисками?05.10.2021 09:16

Киберстраховка — это относительно новый тип переноса корпоративной ответственности. Подобный полис потенциально позволяет покрыть ущерб, связанный с нарушениями систем безопасности. Рынок такого страхования продолжает стремительно расти, и сегодня мы хотим поговорить о том, кто является главным потребителем таких страховок, и что они дают сервисным компаниям.

Компании не готовы брать на себя все риски, связанные с ИБ и предпочитают…купить страховку! По данным Standard & Poor глобальный рынок киберстрахования на текущий момент составляет примерно $5 миллионов в год. Однако его рост прогнозируется на уровне 20–30% ежегодно на протяжении всего «обозримого будущего». Примерно такой же оценки придерживаются в страховой компании Munich Re, которая как раз продает киберполисы. Они ожидают увеличения рынка до $20 миллиардов уже к 2025.

Правительство США и другие авторитетные источники неоднократно подчеркивали, что провайдеры (MSPs) являются основной целью для киберпреступников. Ведь популярность различных облачных сервисов делает их действительно очень привлекательной добычей. В случае успешного взлома  MSP все заказчики вместе с их данными, сетями и системами также оказываются скомпрометированы. Поэтому не удивительно, что киберстраховкой хотят в первую очередь воспользоваться именно провайдеры, чтобы снять с себя груз финансовой ответственности перед своими клиентами «если что».

Почему провайдерам нужна киберстраховка в первую очередь?

Если даже MSP не предлагает сервисов в области киберзащиты, заказчики все равно ожидают, что их активы будут защищены. И проведенный после атак на Kaseya опрос  2021 Global MSP Benchmark Survey Report привел к следующим выводам:

• MSP сообщили, что самым большим вызовом в 2021 году для их клиентов является обеспечение безопасной работы сотрудников из дома, ИТ-безопасность в целом, а также поддержка непрерывности бизнеса и возможностей аварийного восстановления.

• В числе самых популярных управляемых сервисов из области безопасности: антивирусы, anti-malware, управление конечными точками, резервное копирование серверов, установка патчей на ОС, а также безопасность электронной почты.

• 63% отметили, что на протяжении 2020 года все их заказчики консультировались с ними в вопросах выбора стратегии киберзащиты и применения лучших практик. И 37% отметили, что киберзащита является важной точкой роста для их бизнеса.

Итак, MSP активно выходят на тропу кибербезопасности, и начинают брать на себя часть ответственности. Но это все равно неизбежно — заказчики все равно хотели бы переложить на провайдера все риски, связанные с кибербезопасностью, даже если MSP не является непосредственным участником процесса. Обратимся за примером в заокеанские страны: Ohio manufacturing company подала в суд на своего MSP после того, как фирма потеряла $1,7 миллионов в результате продуманной фишинговой атаки, хотя провайдер не предоставлял им сервис киберзащиты.  А SolarWinds продолжает испытывать затруднения из-за прошлогоднего взлома своих управляемых сервисов и поддерживающих их систем. Эксплойт, обнаруженный годом ранее, был опубликован еще в декабре 2020 года. Он позволил злоумышленникам проникать в сети клиентов компании, в числе которых были даже правительственные структуры США. 

Еще один показательный пример уязвимости на стороне MSP — это атака Ransomware через решения Kaseya. 2 июля 2021 года группировка REvil использовала уязвимости в on-premise версии серверов Kaseya с популярными инструментами для удаленного мониторинга и управления. В результате были скомпрометированы около 50 MSP и тысячи их клиентов. Атакующие требовали выкуп в $25 000-$150 000 с каждого из них, $5 миллионов с провайдеров и $70 у Kaseya. Так что, если бы все заплатили, получилась бы кругленькая сумма.

В результате, несмотря на рост стоимости киберстраховки, сегодня 60% MSP обращаются к страховым компаниям и включают расходы на полис в состав своей стратегии снижения рисков. И ожидается, что эта доля только продолжит расти, в том числе из-за действий регуляторов. Например, в феврале 2020 года в Штате Калифорния был принят закон, предписывающий  иметь киберстраховку всех ИТ-контракторов правительства. Кроме этого MSP, оплачивающие киберстраховку, помогают своим клиентам пройти аудит, и поэтому наличие полиса киберстрахования может стать конкурентным преимуществом.

В следующем посте мы расскажем о том, что именно покрывает типовая киберстраховка, а что нет. А сегодня хотелось бы узнать, как вы относитесь к страхованию киберугроз?