Восемь важных вопросов, которые следует задать при покупке страховки кибербезопасности
Масштабы и изощренность кибератак растут с каждым годом. Эти кибератаки варьируются от изнурительных DDoS-атак с использованием массивных бот-сетей до групп вымогателей, получающих многомиллионные выплаты от крупнейших мировых корпораций. Эти риски только усугубляются новыми реалиями, такими как переход на удаленную работу в результате пандемии COVID-19.
Прогнозируется, что киберпреступность обойдется мировой экономике в ошеломляющие 6 трлн долларов в 2021 году, а к 2025 году вырастет до 10,5 трлн долларов. стоимость и сроки восстановления.
Киберстрахование становится все более важной политикой. Вы должны быть уверены, что покрытие, которое вы получаете, является тем, что вам нужно. Политики не созданы равными. Задавать правильные вопросы о страховании кибербезопасности имеет решающее значение. Вот что вам нужно выяснить.
1. Были ли вы ранее жертвой кибератаки?
Если ваша организация в прошлом подвергалась кибератаке, вы уже понимаете, какое потенциальное влияние она может оказать на ваши системы, данные, бюджет и репутацию. Прошлые атаки важны в контексте киберстрахования по двум другим причинам.
Во-первых, он должен информировать вас о том, предпочитаете ли вы первую защиту, стороннее покрытие или и то, и другое. Первая сторона защиты покрывает прямые убытки, которые вы понесли в результате взлома. Сторонняя защита снижает стоимость претензий со стороны клиентов и партнеров. Если вы были целью хотя бы одной атаки в прошлом, это означает, что некоторые злоумышленники уже держат вас в прицеле. Подумайте о том, чтобы получить как собственное, так и стороннее покрытие.
Во-вторых, прошлые утечки данных могут означать, что вы будете платить больше за свои страховые взносы, чем в противном случае. Это особенно верно, если ваша киберзащита неоднократно подвергалась взлому, и впоследствии предпринималось мало или вообще не предпринималось попыток закрыть бреши в системе безопасности.
2. Вы уже застрахованы?
Это может показаться странным включением в вопросы страхования кибербезопасности, если вы уже находитесь на рынке покрытия. Но вам нужно выяснить, покрываются ли ваши кибер-риски существующими страховыми полисами. К ним относятся страхование имущества или прерывания бизнеса.
Эти политики могут обеспечить некоторое покрытие убытков, связанных с кибербезопасностью, особенно если они являются историческими политиками. Более поздние политики могут исключать определенные типы инцидентов, связанных с кибербезопасностью. Исключающие полисы набирают обороты, поскольку страховые компании стремятся отделить киберстрахование от других полисов страхования бизнеса.
3. Какие средства защиты и контроля у вас уже есть?
Соберите информацию о ваших технических, процедурных и кадровых мерах кибербезопасности, чтобы вы могли поделиться ею со страховой компанией. Определите цифровые активы, требующие максимальной защиты, и типы сценариев, которые вы хотели бы предотвратить.
Вы можете получить скидку на политику, если продемонстрируете, что внедрили передовые методы защиты от кибербезопасности.
4. Понимает ли страховая компания отраслевые риски?
Страховые компании имеют долгую историю анализа и реагирования на дефолты по кредитам, разрушительные беспорядки, стихийные бедствия и широкий спектр традиционных рисков и угроз. Однако киберриски остаются относительно новым явлением и постоянно развиваются. Значительное количество страховых компаний не полностью понимает корпоративные риски, связанные с вредоносным ПО, фишингом и социальной инженерией.
Спросите, понимает ли страховая компания требования безопасности и конфиденциальности, установленные общими или отраслевыми нормами, такими как GDPR, CCPA и HIPAA.
5. Что покрывает полис?
Большинство политик кибербезопасности возместят вам расходы на сетевую безопасность, восстановление данных, восстановление операций, заключение контракта с поставщиком криминалистических услуг и наем юрисконсульта. Знание того, что не покрывается полисом, так же важно, как и знание того, что включено.
Узнайте об исключениях из политики. Охватывает ли политика расследование первопричин, уведомления о взломе украденных номеров кредитных карт, кредитный мониторинг, связи с общественностью и коммуникацию, а также штрафы регулирующих органов? Не ждите, пока ваша операция будет нарушена атакой программ-вымогателей, только чтобы обнаружить, что политика не распространяется на платежи программ-вымогателей.
6. Какова стоимость?
У вас есть ограниченный бюджет для ваших страховых взносов на кибербезопасность, поэтому стоимость всегда будет важным фактором. Как обычно, вы получаете то, за что платите. Однако это не означает, что полис с самыми высокими премиями всегда будет лучшим для вас.
При сравнении любых двух политик важно убедиться, что вы сравниваете яблоки с яблоками. Это необычайно недорогое покрытие может иметь исключения, из-за которых ваша организация остается незащищенной в случае атаки.
7. Адекватно ли покрытие?
Поставщики критической инфраструктуры, такие как коммунальные предприятия, банки, технологические фирмы, поставщики медицинских услуг, производители, а также местные, государственные и федеральные правительства, являются основной целью кибератак. Поэтому им требуется больше киберстрахования, чем средней организации. Часто эти организации должны соответствовать определенным нормативным и отраслевым требованиям, что усугубляет последствия кибератаки.
Таким образом, ваши вопросы о страховании кибербезопасности должны включать в себя вопрос о том, какое покрытие вам потребуется. Количественно оценить риск. Определенные типы организаций, особенно те, которые сильно зависят от данных клиентов или в сильно регулируемых отраслях (например, банки), часто уже сделали это.
Другие сектора, такие как производство, обычно менее зрелы в своем анализе рисков кибербезопасности. Они, скорее всего, будут недостаточно застрахованы в отношении своей ответственности за кибербезопасность.
8. Кто будет оценивать политику?
Страховые полисы предприятий часто содержат жаргон, который может быть труден для понимания неопытным глазом. Это еще больше усугубляется киберстрахованием, поскольку теперь вам приходится бороться с технологическими терминами.
Важно, чтобы перед тем, как поставить подпись на пунктирной линии, ее посмотрел кто-то, обладающий необходимым опытом. Еще лучше, если его просмотрит группа заинтересованных сторон, например, юрисконсульт, ИТ, HR и другие. Если у вас нет такого опыта в вашей организации, вам, возможно, придется нанять консультанта по кибербезопасности, чтобы помочь.
Прежде чем задавать вопросы о страховании кибербезопасности, сделайте домашнее задание
В идеале все эти вопросы следует задать при встрече или позвонить представителю компании. Узнайте, составляют ли они полисы киберстрахования для компаний вашей отрасли или отраслей, схожих с вашей. Но сначала проведите собственное исследование. Иногда вы обнаружите, что эта информация уже есть на веб-сайте страховой компании, на листе полиса или в самой форме полиса.