Застраховате ли Cyber risks?
Въпросът беше отправен не само към мен, но и към останалите подписвачи и брокери, участващи в семинара на Swiss Re Academy – „Trend and Topics, 2016“. Повечето отговорихме с не, освен тези които идваха от Лондонския пазар и промърмориха: “We do it. Silently.” Така разбрахме, че и тези от нас, които отговориха отрицателно, можеха да се окажат във водовъртежа на кибер престъпление, чиито последици са покрити от традиционни продукти като „Прекъсване на дейността“, „Отговорност“ или „D&O”.
Днес за кибер рискове се говори ежедневно, а застраховането им е актуална тема в цял свят, включително и у нас.
Как започва всичко?
Началото е в средата на 90-те, когато застрахователи на професионални отговорности започват да предлагат специално покритие за отговорност към трети лица. То влиза с сила ако застрахованият зарази с вирус компютъра на трето лице и в резултат бъде съден за причинените вреди. От тук и традиционното отношение към този застрахователен продукт като към застраховка на отговорност.
Две десетилетия по-късно картината е много по-сложна и трудна за дефиниране и още по предизвикателна за застраховане.
Заплахите/ Threats – Какво ни заплашва?
Ако през 90-те компютърните вируси са били най-съществената заплаха, то днес „асортиментът“ от кибер престъпления и заплахи е необозримо по-голям.
В челото на този черен списък според ежегодния доклад на Verizon „2020 Data Breach Investigation Report“ са:
- Denial of service (DoS)/ Отказан достъп до обслужване
Постига се чрез атака на сайта, от който един бизнес предоставя обслужване. Хакерът цели да претовари и изключи сървъра, който хоства сайта, и така да спре достъпа на легитимните клиенти до него. Потребителите се лишават от обслужване, а бизнесът губи от прекъсване на дейността. Няма кражба или компрометиране на данни.
- Phishing
Кражба на ценна секретна информация чрез имейл, който изглежда изпратен от организация или компания, на която може да се вярва. Най-често се маскират като имейли от банки и включват линк, който ако бъде последван, води до фалшиво копие на оригинален сайт. Там потребителят бива призован да попълни пароли, номера на сметки и други детайли, чрез които в последствие престъпникът се идентифицира пред съответната организация и „законно“ изтегля или прехвърля средства. Банката не възстановява средствата след измамно направената транзакция, тъй като фалшивият потребител се е легитимирал с откраднатите кодове и пароли според правилата за онлайн банкиране.
- Ransomware/ Отблокиране на ИТ система срещу откуп
Вид зловреден софтуер, който ограничава достъпа до една ИТ система чрез заключване на нейните екрани или на файловете с информация, докато не бъде платен откуп. Други варианти са системата да бъде криптирана и след плащане на откуп да се изпрати декриптиращ ключ.
Как можем да бъдем засегнати?
Последиците могат да бъдат разнообразни и зависят от активите и особеностите на всеки бизнес, както и от целите които преследват злонамерените лица, които осъществяват атаката. Бизнесите могат да претърпят загуби в няколко основни направления:
- Прекъсване на дейността/Увреждане на дигитални и материални активи
Задайте си въпроса: Могат ли служителите на една компания да работят, ако не си включат компютъра? Отговорът за мнозинството бизнеси днес се подразбира и разкрива уязвимостта им спрямо атаки към ИТ системите им. Дори производствените сектори, които работят основно с материални активи, могат да бъдат сериозно засегнати в случай на атака срещу системите за управление на производствения им процес.
Munich Re разказват за подобен случай с фабрика за бисквитки в Kанада.
Хакери установяват контрол над системите за управление на предприятието и блокират поточната му линия в продължение на часове. Готовото тесто залепва по машините. Седмици на ред предприятието не работи, за да почисти и замени увредените елементи на производствените си мощности.Спряна дейност, загуба на приходи, увреждане на репутация, средства за плащане на откуп, за възстановяване на контрола върху „завзетите“ системи и допълнителни разходи за възстановяване на увреден софтуер са само част от вредите, които следват една зловредна атака.
- Кражба на данни/Разкриване на данни (Breach of data)
В дигиталната епоха, в която живеем, данните са ценност, следователно може да бъде обект на кражба. Едно от модерните престъпления – кражба на идентичност – е възможно само ако разполагаш с достъп до конфиденциална лична информация. А тя се съхранява и обработва от множество бизнеси, публични органи, образователни институции. Тук действащи лица могат да бъдат както външни, така и вътрешни лица с достъп до данни на клиенти и потребители.
„Вътрешен човек“
„Вътрешен човек“ През 2014г. служител на Morrison’s’ (верига супермаркети в UK) публикува личните данни на 99 998 служителя на компанията – имена, адреси, осигурителни номера, банкови кодове др. Той разполагал с тях в качеството си на вътрешен ИТ одитор. Разследването установява, че той е целят да отмъсти на работодателя си за предишен дисциплинарен случай с него.
Последиците могат да бъдат в широк спектър: съществени глоби за нарушаване на законите за защита на личната информация (максималната глоба в ЕС съгласно GDPR е до 4% от световния оборот или 20 млн. евро), разходи за уведомяване на засегнатите лица и обезщетяване на причините им вреди, съдебни разноски, разходи за намаляване на щетите върху репутацията.
- Кражба на финансови средства
Днес почти всички бизнеси „движат“ парите си електронно чрез програми за дистанционен достъп. За модерните престъпници е по-лесно да извърша електронна отколкото физическа кражба на пари чрез phishing имейли или други схеми за социални манипулации (напр. CEO fraud). Това е директна загуба на средства от банкова сметка на компанията, постигната чрез измама и достигане до пароли, кодове и други атрибути на идентификация пред банката.
CEO fraud
CEO fraud е измама под формата на фалшива инструкция за извършване на банков превод, която се изпраща на служител(и) във финансовия отдел и се представя като идваща от изпълнителния директор на компанията, който има право да прави такива нареждания.
Решенията на проблема
Те се търсят в много направления и най-вече чрез инвестиции в мерки за кибер защита и недопускане на „пробив“ в ИТ системите на една организация.Оказва се, не всяко злодеяние може да бъде предотвратено, от там и нуждата от
застраховане на последиците от остатъчния риск
Какво предлагат застрахователите?
„Няма стандартни условия на застраховка срещу кибер рискове“. Това може да се прочете в почти всеки материал, посветен на темата. Разнообразието на продукти, което се предлага на Лондонския пазар:
- Network Risks,
- Data Breach,
- Cyber Liability,
- Privacy and Security,
- Information Theft,
- e-Risks,
- Data Risks,
- Cyber Risks,
показва, че отделните застрахователи избират да покриват едни или други аспекти от рискове, породени от употребата на информационни технологии.
Обобщено погледнато подходите за осигуряване на защита срещу тези рискове са следните:
- Самостоятелни продукти (Stand-alone policy) – както изброените по-горе. Обикновено съдържат списък от покрития, разделени в 2 групи:
- 1st party covers/ щети на застрахования – покриват вреди, които е понесъл застрахования като: загуба на приходи, плащане на глоби, разходи за разследване и противодействие на кибер престъплението, разходи за кризисен мениджмънт (PR), възстановяване на увредено материално или нематериално имущество (данни, софтуер) и други.
- 3rd party covers/ щети на трети лица – осигурява покритие за вредите, които може да претърпят трети лица от извършеното кибер престъпление. Напр. финансови загуби от разкрити банкови пароли или кодове на клиенти, разходи за замяна на заразен софтуер, разходи за задължителното съгласно GDPR и други подобни закони, уведомяване на всеки субект на лични данни, когато те са били неправомерно разкрити или откраднати от оператора на лична информация.
- Допълнителни покрития към комбинирани или пакетни продукти. Основния продукт обикновено е традиционна застраховка като Commercial Property, Business Interruption, D&O, Professional Indemnity, която се разширява със специални условия (Endorsement). Например:
- Полица „Имущество“ допълнително ще покрие разходите за възстановяване на електронно съхранявана информация, унищожена или увредена в резултат на „покрит риск“, като дефиницията на „покрит риск“ бъде разширена по отношение на „компютърен вирус, зловреден код или други подобни инструкции“.
- Полица „Прекъсване на дейността“ може да бъде активирана от прекъсване на компютърни операции в резултат на унищожаване или заразяване на електронни данни чрез компютърен вирус, увреждащ код или софтуер.
- Мълчаливо (Silently) – Ако не съдържат специфично изключение относно кибер събития, редица традиционни застрахователни продукти (имущество, отговорност) могат да се окажат активирани от тях. Тъй наречените “non-affirmative wordings” (непотвърдени условия) могат да бъдат тълкувани в полза на тезата, че покриват кибер събития. Такива съдебни прецеденти вече съществуват през последните години и те подтикват застрахователите ясно да дефинират покритията и изключенията си, така че еднозначно да изяснят дали покриват или не кибер рискове. Marsh UK предупреждават, че от януари 2020г. Lloyd’s изисква всеки застраховател изрично да включи или изключи тези рискове от традиционните си продукти.
Какво да правим в това море от кибер заплахи, технологични уязвимости и многообразие от застрахователни решения, всяко от които със своите предимства и недостатъци.
Брокерите и подписвачите, специализирани в този пазар, препоръчват да се извърши детайлен анализ на уязвимостта на конкретния бизнес или бранш към кибер престъпления, изтичане на лични данни, измами чрез електронна комуникация и системите и процесите, през които те могат да бъдат осъществени.
Специализираните продукти предоставят пълноценни решения.
Те не са само застрахователен договор, а комплекс от услуги. James Tuplin, Head of IFL cyber & TMT в AXA XL: подчертава, че „кибер застраховките не са договори за обезщетение, а гаранция за обслужване “, защото клиентът получава не само финансова сигурност, но също консултиране и експертна помощ за справяне с едно кибер събитие от начало до край.
Какво отличава добрите застрахователни продукти?
Зад тях стои вътрешен екип от професионалисти, които:
- могат да анализират уязвимите системи и активи на клиента и да го подпомогнат в разработването на програма за защита от кибер атаки,
- могат да осигурят адекватна техническа и юридическа помощ в разгара на кризата, породена от кибер атака,
- знаят как да действат в случай на изнудване и дори държат „под ръка“ крипто валути за плащане на откуп,
- имат знания и експертиза, за да подпомагат минимизирането на щетите и бързото възстановяване след кибер събитие.
Cyber insurance is not a product, it‘s a service.
CFC Underwriting, UK
Вместо заключение
Този материал хвърля светлина само по върховете на айсберга, наречен Cyber Risks. Темата има изключително много аспекти и разклонения – от технически през регулаторни до юридически. И всички те са в постоянно развитие. Всеки, който реши да потопи ръце в този бизнес, трябва да ги проучи и опознае задълбочено.
Още полезно по темата:
Do you know where your cyber exposure is? – ако изтеглите този материал на Gen Re ще получите много полезен опит в анализа на кибер събития и как те са покрити от традиционните застраховки.
Cyber Insurance Guide на един от водещите застрахователи в кибер рискове на Лондонския пазара CFC Underwriting, ще ви изясни какво е и какво не е една Кибер застраховка. Ще получите още полезни данни и статистики за застрахователните събития и как да водите разговор с клиентите си на тема cyber risks и застраховане.
©2021 All rights reserved. Title: Cyber Risks Author: Tanya Boeva, Dip CII Този текст е защитен от авторски права. Никаква част от него не може да бъде копирана без предварително писмено съгласие на автора. Disclaimer: Независимо, че информацията изложена тук е взета от надеждни източници, авторът не поема каквато и да е отговорност за нейната коректност и изчерпателност, както и за становищата, направени на нейна база. Представената информация и становища имат за цел само да информират. При никакви обстоятелства, авторът няма да носи отговорност за вреди, които са възникнали във връзка с използването на тази информация, а читателите са предупредени да не се предоверява на нея за свои бъдещи решения. Although all the information discussed herein was taken from reliable sources, the author does not accept any responsibility for the accuracy or comprehensiveness of the information given or forward-looking statements made. The information provided and forward-looking statements made are for informational purposes only. In no event shall the author be liable for any loss or damage arising in connection with the use of this information and readers are cautioned not to place undue reliance on forward looking statements.
Last modified: 08/11/2021