Connect with us

Новости страхования

Как устранить дефицит данных в киберпространстве

При страховании кибербезопасности, как и в случае с кибербезопасностью, незнание не является блаженством. Все стороны договора, страховщик и страхователь, нуждаются в максимально полной информации, чтобы сделать разумный выбор в отношении покрытия, цен и выплат, а также предотвратить неприятные сюрпризы. К сожалению, зачастую у них больше вопросов, чем ответов.

Страховщики часто выдают полисы страхования кибербезопасности на основе оценок или даже предположений, а не существенных данных. Им часто не хватает наглядности или метрик, раскрывающих уязвимости и риски страхователя, а также средств контроля, которые клиент использует для минимизации вероятности взлома.

В результате эти компании могут выставить страхователю слишком высокую цену — или недостаточную, что впоследствии может привести к ее увеличению. А без данных и документации, свидетельствующих о надлежащем применении и обеспечении контроля и мониторинга кибербезопасности, страхователь может оказаться в затруднительном положении при подаче иска.

Если страхователь не может подтвердить уровень ущерба, нанесенного нарушением, и оценить свою потенциальную ответственность — например, была ли скомпрометирована личная информация, — он может оказаться в затруднительном положении, ожидая выплаты, пока страховщик проведет расследование и определит, за что он несет ответственность. А затем, в зависимости от результатов, предприятие может получить меньшую компенсацию, чем ожидалось.

Спор, который может возникнуть в результате, не будет приятным ни для кого, и страхователь может пострадать от повышения страховой премии, которое он не может себе позволить.

Дефицит страховых данных

Ни одна из этих проблем не является необходимой. Данные о состоянии и уровне кибербезопасности любой организации, областях воздействия и уязвимостях, киберрисках и средствах контроля, необходимых для их снижения, и многое другое легко доступны.

Но компании могут не знать, где искать эту информацию, а страховщики часто не могут подсказать им, как ее найти и использовать.

Работая в сфере страхования, а теперь занимаясь анализом киберугроз, я обнаружил четыре ключевых действия, которые могут предпринять держатели полисов киберстрахования, чтобы исправить этот дефицит данных. В ходе этого процесса компании могут получить наибольшую ценность от своего покрытия при наименьших затратах. Страховщики также могут сэкономить ресурсы, поскольку они выдают полисы, будучи уверенными в способности своих клиентов снизить риски.

Динамический дуэт киберстрахования: данные и контроль

Разумное управление рисками, которое является сутью эффективной кибербезопасности, включает в себя два основных компонента:

Данные, которые демонстрируют области цифрового воздействия организации — куда могут попытаться проникнуть хакеры, — а также вероятность того, что каждая из этих уязвимостей будет атакована, и последствия в случае взлома.
средства контроля, которые организация применяет для устранения уязвимостей, и доказательства того, что она постоянно отслеживает и усиливает их по мере изменения поверхности угроз.

Уделяя пристальное внимание этим двум компонентам, ваша организация может быть уверена в том, что она защищена от кибер-атак и может с уверенностью передать часть своего риска кибербезопасности страховщику.

Со своей стороны, страховщику полезно знать, что его страхователи знают свои риски, находятся в разумной безопасности и могут оставаться таковыми. Такая уверенность может помочь страховщикам стабилизировать цены на страховые премии и лучше обслуживать клиентов, защищая при этом свои собственные показатели.

4 обязательных условия для отличного результата киберстрахования

Чтобы исправить дефицит данных в киберстраховании, страхователям необходимо проявить усердие и документацию в следующих четырех областях:

1. Соблюдение рамок кибербезопасности. У организаций есть настоящий алфавитный суп, из которого можно выбирать: CIS CSC, CBEST, FFIEC, ISO и т.д. Какая система лучше для вас, частично зависит от требований отрасли, в которой вы работаете. Многие предпочитают систему от NIST, Национального института стандартов и технологий.

Часто используемая для защиты критической инфраструктуры США, система NIST Cybersecurity Framework (NIST CSF) может быть полезной для любой организации. Использование NIST CSF для измерения соответствия контролю безопасности является добровольным, если только ваша организация не является федеральным государственным учреждением или не ведет бизнес с федеральным правительством. С другой стороны, не соответствовать требованиям NIST может быть рискованным делом.

NIST уже сделал за вас самое трудное: предоставил общий набор правил и средств контроля, которые могут направить ваше предприятие к большей безопасности. NIST CSF написан ясным, четким языком и разработан таким образом, что даже те, кто только начинает использовать систему для руководства своей программой кибербезопасности, могут найти в нем полезные сведения.

А поскольку критически важная инфраструктура относится к сфере национальной безопасности, соответствие NIST может гарантировать страхователям и страховщикам наличие механизмов контроля для защиты от новейших угроз. Более того, страховщик может быстрее квалифицировать предприятие для получения соответствующего уровня страхования, что сэкономит время и, возможно, деньги для обеих сторон.

2. Тщательная оценка рисков. В последние годы все большее число организаций осознают связь между риском и кибербезопасностью. Тем не менее, многие из них не проводят полномасштабную оценку рисков кибербезопасности — оценку рисков не только в своих организациях, но и в цепочках поставок.

В связи с ростом угроз и атак, направленных на цифровые области слабо защищенной и стареющей критической инфраструктуры, федеральное правительство США прозрело в отношении необходимости предоставления доказательств снижения рисков.

Распоряжение Белого дома от февраля 2021 года является хорошим началом в поощрении более эффективных мер по снижению рисков, поскольку оно предписывает всем публичным компаниям оценить риски их цепочки поставок, включая цифровую цепочку поставок.

Уязвимости в цепочке поставок программного обеспечения в последние годы попали в заголовки газет. При так называемом взломе Solarwinds киберпреступники подложили вредоносное ПО в обновление программного обеспечения безопасности. Уязвимость log4j попала в программное обеспечение Apache через библиотечный код. Оба случая затронули многие тысячи предприятий.

Из этих и других инцидентов мы поняли, что пристальное внимание к рискам третьих лиц имеет решающее значение для обеспечения безопасности систем, сетей и данных организации.

Совсем недавно, в мае 2021 года, Белый дом издал «Указ об улучшении кибербезопасности страны», который требует от поставщиков программного обеспечения для федеральных агентств оценить уязвимости и риски цепочки поставок.

Эти давно назревшие требования могут затронуть не только федеральных подрядчиков, но и все предприятия. И хотя компании могут настороженно отнестись к объему требуемой работы, они, безусловно, выиграют от более надежной цепи поставок — и от лучших отношений со своей компанией по киберстрахованию.

3. Количественная оценка киберрисков. «Риск» может быть туманным термином, который для каждого предприятия означает что-то свое. При оценке корпоративных рисков обычно расставляются приоритеты рисков с помощью неконкретных «высокий», «средний» и «низкий», обозначающих вероятность того, что каждый риск приведет к атаке, и тяжесть последствий, если атака произойдет.

Но какова конкретика? Где именно застрахованное лицо присутствует в Интернете — его «цифровой след»?

Насколько широко распространены его уязвимые места? Где расположены эти слабые места? Какова вероятность того, что злоумышленники найдут и используют каждое из них?

Насколько устойчиво застрахованное предприятие — насколько оно способно продолжать свою деятельность в обычном режиме — в случае атаки? Во сколько обойдется предприятию атака? Как оно будет оплачивать эти расходы?

Эти вопросы могут показаться сложными, потому что на них нет простых ответов. Однако страховщики постоянно размышляют над ними при других видах страхования.

Например, при составлении полиса автострахования агент учитывает марку и модель автомобиля: дорогой спортивный автомобиль более подвержен угону, чем старая утилитарная машина, и поэтому может получить более высокую премию. Если владелец живет или работает в большом городе, вероятность аварии возрастает, а значит, и страховые взносы. И так далее.

Количественная оценка киберрисков еще только зарождается и может показаться пугающей. Но качественное решение по анализу угроз может помочь: Оно может не только выявить уязвимые места предприятия в целом, но и помочь организациям определить приоритеты, которые необходимо устранить.

Оповещая страхователей о любых разговорах в Интернете, анализ угроз может помочь им определить, какие отрасли бизнеса подвержены большему риску, а какие — меньшему (и где находится их организация), а также определить, нацелены ли киберпреступники на конкретный бизнес или программное обеспечение, включая их собственное.

Если ваша компания занимается розничной торговлей, и на следующий день после Дня благодарения в США приближается «черная пятница» — самый большой день покупок в году, — вам следует удвоить мониторинг форумов в темной паутине и любых разговоров, которые могут касаться вашего бизнеса.

Любая область вашего бизнеса или его поставщиков может стать мишенью — например, системы точек продаж. Если в результате анализа угроз выяснится, что на 100 темных веб-форумах есть сообщения о планах атаковать эти системы, вы захотите усилить свою защиту, чтобы злоумышленники не смогли использовать их для проникновения в ваши бизнес-системы или кражи данных ваших клиентов.

И хотите верьте, хотите нет, но если вы расскажете своему киберстраховщику об угрозах и покажете, как вы с ними справляетесь, это может их успокоить. Они с большей вероятностью будут уверены в страховании вашей организации, если будут знать, что вы бдительны в отношении потенциальных атак и можете это доказать.

4. Хорошая и измеримая политика осведомленности о безопасности. Насколько эффективна ваша программа повышения осведомленности о безопасности?

Знаете ли вы, полностью ли сотрудники, деловые партнеры, сторонние поставщики и другие лица, являющиеся частью вашей организации, понимают необходимость обеспечения безопасности, а также то, каковы ваши политики и рекомендации по безопасности и как им следовать?

Опять же, эффективность политики может быть трудно измерить — но доказательство находится в пудинге. Отслеживание киберсобытий и инцидентов, а также того, как с ними справляются, поможет вам понять, насколько хорошо вы доносите свои идеи до сотрудников, которые одновременно являются передовой линией и самой большой уязвимостью любой компании.

Как собрать необходимую информацию

Для киберстраховщиков не существует такого понятия, как слишком много информации.

Тем не менее, вы можете оказаться в затруднительном положении, когда пытаетесь установить справедливую политику и премии, вынужденные делать предположения, которые не являются обоснованными.

Лучшим выходом может стать включение моих четырех «обязательных условий» в требования к полису для заявителей на киберстрахование или планирование самостоятельной проверки каждой компании, которую вы страхуете. Как я уже отмечал, такая модель уже существует в других видах страхования. Полисы страхования жилья и страховые взносы зависят от ряда количественных факторов, включая, возможно, возраст дома, материалы, из которых он сделан, и место его расположения. Автострахование, как мы уже видели, может варьироваться в цене в зависимости от типа транспортного средства, от того, где и как водитель будет его использовать, а также от истории вождения самого водителя.

Анализ угроз (TI) — один из очень эффективных инструментов для сбора данных, необходимых для принятия обоснованных решений по киберстрахованию. Лучшее на сегодняшний день программное обеспечение TI сканирует три области интернета:

публичный интернет, чтобы найти места, где компании уязвимы для атак.
глубокая паутина, которая включает в себя учетные записи электронной почты, личные сообщения и другие непубличные цифровые области
Темная паутина — теневая часть интернета, где киберпреступники часто обсуждают цели и тактику, а также продают нелегальные товары и хакерское программное обеспечение.

Каждая из этих областей добавляет свое измерение к картине угроз, что позволяет получить действительно трехмерную картину. Этот тип анализа угроз позволяет понять, является ли ваш бизнес или бизнес вашего клиента целью киберпреступников. Он может показать, где могут быть уязвимости и пробелы в системе безопасности, а также степень риска, который они несут, чтобы ваша компания или клиент могли их устранить. Он может показать, какие типы данных ваша компания или клиент потеряли в результате взлома, чтобы более точно оценить ущерб и способы реагирования.

Такое трехмерное представление помогает компаниям выполнить каждый из четырех обязательных пунктов моего списка.

Аудиторы смогут использовать эти данные для определения соответствия стандартам безопасности.
Сотрудники отдела рисков могут использовать эти данные для более тщательной и точной оценки рисков предприятия и его цепочки поставок.
Информация также может помочь количественно оценить риски, с которыми сталкивается страхователь, для более точной оценки киберстрахования и цен на страховые премии.
А возможность видеть, где и как злоумышленники пытаются проникнуть в систему, и удается ли им это, может дать представление об эффективности вашей политики и программы повышения осведомленности о безопасности.

Уделять должное внимание

Страховщики, проводящие комплексную проверку заявителей и держателей полисов по кибербезопасности, должны уделять сбору оперативной информации первоочередное внимание. То же самое справедливо и для предприятий.

В конечном итоге, результатами должны стать более кибербезопасный мир и сильная индустрия киберстрахования. Чтобы добиться этого, потребуется не только много работы, но и изменение мышления каждого. Однако результаты будут того стоить: укрепление доверия во всей отрасли. А разве это не лучшая страховка из всех возможных?

 

insurancethoughtleadership.com

Коментировать
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии

Новости страхования

Swiss Re сотрудничает со страховой компанией Jooycar для развития телематики в сфере автострахования

Глобальный перестраховочный гигант Swiss Re заключил альянс с латиноамериканской компанией Jooycar, специализирующейся на автостраховании, для развития телематики автострахования в интересах малых и средних коммерческих автопарков в Мексике.

Страховая компания предложит на мексиканском рынке свою услугу по управлению автопарком «Fleetr by Jooycar», которая, по ее словам, была успешной в первый год работы в США, где было подключено более 6 тысяч автомобилей.

Swiss Re стремится помочь мексиканскому страховому рынку лучше понять сегмент автопарков, используя свой опыт в моделировании рисков и возможности анализа телематических данных.

Франциско Диас, руководитель отдела перестрахования Мексики и Центральной Америки Swiss Re, сказал: «Ландшафт мобильности меняется, особенно в связи с появлением новых технологий. Страхование должно адаптироваться к этим изменениям с помощью комплексных и интегрированных инновационных решений, чтобы противостоять новым тенденциям мобильности».

«Наш альянс с Jooycar нацелен на использование телематических данных на страховом рынке для понимания рисков и обеспечения большей добавленной стоимости для конечного клиента».

Jooycar добавляет, что благодаря телематическим данным в реальном времени, вместе с принятием хороших привычек вождения, владельцы автопарков могут сократить свои эксплуатационные расходы, сэкономить на страховании, а также добиться большей эффективности и безопасности, чтобы получить доступ к лучшему страхованию для своих автопарков.

Джо ДиМартино, руководитель отдела страхования Jooycar, прокомментировал: «Этот альянс расширяет знания и опыт обеих компаний в сфере их компетенции, создавая большой перерыв в продаже коммерческого страхования. Мы считаем, что он отражает самую успешную формулу сотрудничества между insurtechs и крупными перестраховочными компаниями».

«Позволяя эволюцию предложения страховой стоимости в мире, где мы переходим от выявления и устранения рисков к их прогнозированию и предотвращению, опираясь на технологии IoT и мощную поддержку и актуарное ноу-хау мирового класса».

 

reinsurancene.ws

Продолжить чтение

Новости страхования

Алгоритмы точно оценивают киберустойчивость: Marsh McLennan

Исследование, проведенное компанией Marsh McLennan, показало, что оценка киберустойчивости с помощью алгоритмов является точной и помогает страховщикам принимать более обоснованные решения.

Аналитический центр Marsh McLennan Cyber Risk Analytics Center проанализировал платформу BitSight Security Ratings Platform, которая использует алгоритмы для получения ежедневных рейтингов безопасности в диапазоне от 250 до 900, что помогает страховщикам создавать полисы киберстрахования.

Базирующаяся в Бостоне компания BitSight предлагает рейтинг безопасности и 13 «векторов риска», измеряющих, сколько систем в сети организации затронуты важными уязвимостями и как быстро компании устраняют их.

Компания Marsh McLennan проанализировала собственную информацию об инцидентах и претензиях в области кибербезопасности и данные BitSight о 365 000 организаций. Было установлено, что плохие показатели коррелируют с инцидентами кибербезопасности.

«Мы выявили статистически значимую корреляцию между рейтингами безопасности BitSight, а также определенными векторами риска BitSight и вероятностью инцидента кибербезопасности», — сказал доктор философии и руководитель аналитического центра по киберрискам Marsh McLennan Скотт Странски.

Исторически сложилось так, что экспертам с трудом удавалось установить взаимосвязь между низкими показателями кибербезопасности и вероятностью инцидентов, связанных с утечкой данных.

Демонстрация того, как измерения BitSight действительно коррелируют между собой, может помочь руководителям страховых компаний и других организаций принимать обоснованные решения, говорится в сообщении.

Аналитические показатели, корреляция между которыми была измерена, относятся к управлению конечными точками и обнаружению вредоносных программ, управлению уязвимостями, безопасным коммуникациям, а также обучению и информированию пользователей.

Исследование подчеркнуло важность инициатив организации по исправлению ошибок, причем «частота исправлений», измеренная BitSight, особенно коррелирует с вероятностью возникновения инцидента кибербезопасности.

 

insurancenews.com.au

Продолжить чтение

Новости страхования

Крупнейший в Европе медеплавильный завод пострадал в результате масштабной кибератаки на металлургическую промышленность

Aurubis, крупнейший в Европе медеплавильный завод, заявил в пятницу, что он подвергся нападению в рамках более широкой кибератаки на металлургическую и горнодобывающую промышленность, которая вынудила его закрыть свои ИТ-системы и отключить их от Интернета.

Ранее на этой неделе немецкое агентство по кибербезопасности BSI предупредило, что киберриски являются самыми большими за всю историю, так как высок уровень киберпреступности и рисков, связанных с конфликтом в Украине.

Однако BSI заявило, что, судя по всему, не было никакой всеохватывающей кампании против немецких целей.

«Атака, очевидно, была частью более крупной атаки на металлургическую и горнодобывающую промышленность», — заявила компания Aurubis, не назвав других компаний.

Компания Aurubis заявила, что ей удалось в основном сохранить производство, несмотря на то, что в целях предосторожности она была вынуждена остановить работу многочисленных систем на своих предприятиях и отключить их от Интернета.

«Производственные и природоохранные объекты на плавильных заводах работают, а поступление и отгрузка товаров также поддерживается вручную», — заявила компания Aurubis в пятницу.

Масштабы последствий оцениваются, заявили в Aurubis, добавив, что компания сотрудничает со следственными органами.

Акции Aurubis, которая не предоставила никаких дополнительных сведений, упали более чем на 4% на этой новости.

Ранее в этом году кибератака на компанию спутниковой связи вывела из строя дистанционное управление тысячами ветряных турбин в Центральной Европе.

А немецкое подразделение российской компании «Роснефть» в марте стало целью кибератаки, которую BSI назвала «хактивистами» из группы Anonymous Germany.

 

insurancejournal.com

Продолжить чтение

Популярное

0
Оставьте комментарий! Напишите, что думаете по поводу статьи.x