СТРАХОВАНИЕ КИБЕРРИСКОВ - Вебинар 08 АПРЕЛЯ 2021| МОСКВА
←
→
Транскрипция содержимого страницы
Если ваш браузер не отображает страницу правильно, пожалуйста, читайте содержимое страницы ниже
СТРАХОВАНИЕ КИБЕРРИСКОВ
Вебинар
08 АПРЕЛЯ 2021| МОСКВА
1
Темы к обсуждению
Определения киберрисков
Особенности законодательства
Убытки и угрозы, новые вызовы
Российская и международная практика
страхования киберрисков
Варианты страхового покрытия
Оценка и управление киберрисками
2
Киберриски
Кибер-
все, что связано с интернетом,
компьютерами, информацией,
цифровыми технологиями
Киберриск –
вероятность возникновения
киберинцидента и реализации
киберугрозы
3
Киберриски и страхование
Страхование киберрисков:
- Страхование любых рисков, связанных с кибер,
с IT – инфраструктурой (общий подход)
- Страхование финансовых убытков
вследствие киберинцидента (продуктовый подход )
В Российской нормативной базе пока отсутствует корректная
терминология по кибербезопасности
В ГОСТ идет внедрение в качестве российского стандарта ISO
27032:2012 (международного стандарта Information technology - 4
Security techniques - Guidelines for cybersecurity)
Киберинцидент и кибератака
Правила страхования российских страховых компаний:
Кибератака (киберинцидент)
проникновение в компьютерную систему компании, которая приводит к несанкционированному доступу или
использованию компьютерной системы компании или несанкционированной модификации, уничтожению, удалению,
передаче или копированию информационных активов (электронных данных или программного обеспечения) или
потребления компьютерных ресурсов, включая отказ в обслуживании (DoS/DDoS), компьютерные вирусы в самом
широком понимании этого термина
Кибератака
попытка злоумышленников нанести ущерб и (или) проникнуть в компьютерную сеть или информационную систему с
целью нарушения конфиденциальности, целостности, доступности информации и/или хищения данных, имущества,
либо прав на имущество
Федеральный закон «О безопасности критической информационной
инфраструктуры Российской Федерации № 187 – ФЗ от 26.07.2019:
Компьютерная атака (также соответствует ГОСТ Р 51275-2006)
целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты критической
информационной инфраструктуры, сети электросвязи, используемые для организации взаимодействия таких объектов,
в целях нарушения и (или) прекращения их функционирования и (или) создания угрозы безопасности обрабатываемой
такими объектами информации
Компьютерный инцидент
5
факт нарушения и (или) прекращения функционирования объекта критической информационной инфраструктуры, сети
электросвязи, используемой для организации взаимодействия таких объектов, и (или) нарушения безопасностиЦифры
2,5 трлн долларов США составили
потери мировой экономики от кибератак в 2020 году,
а к 2022 году они могут достичь $8 трлн
3,5 трлн рублей составили потери РФ от
киберугроз в 2020 году
https://www.ftc.gov/news-events/press-releases/2019/07/ftc-imposes-5-billion-
penalty-sweeping-new-privacy-restrictions
6
https://www.finam.ru/analysis/newsitem/rossiya-mogla-poteryat-do-3-6-trln-rubleiy-iz-
za-kiberprestupleniiy-v-2020-godu-sberbank-20201228-163126/Самые громкие кибератаки
Начал распространяться в 2017
WannaCry Затронул около 150 стран
Блокировал более 500 000 компьютеров по всему миру
NotPetya Начал распространяться в 2017
Ущерб от кибератаки оценивается примерно в 10 млрд
долларов США
Stuxnet Вывел из строя центрифуги для обогащения урана в
Иране, замедлив иранскую ядерную программу
на несколько лет
7Хакеры
Мотивы хакеров Основные типы атак
Деньги Вредоносное ПО
Кража информации Социальная инженерия
Хакинг
Кибертерроризм
Типы украденных данных
Данные платежных карт
Персональные данные
Учетные данные
Медицинские данные
Коммерческая тайна 8
Базы данныхПандемия: новые вызовы
По данным МВД за январь – июнь 2020 рост киберпреступности
составил 91,7 % по сравнению с аналогичным периодом прошлого
года
Развиваются дистанционные способы совершения преступлений
(уход в онлайн)
Отчет Group - IB
Рост числа мошенничеств с использованием социальной инженерии
(банки)
Электронная почта – один из основных векторов атак
https://www.group-ib.ru/media/covid-cybercrime-trends/ 9Пандемия: новые риски
В Zoom был обнаружены проблемы с
безопасностью
Две ранее неизвестные уязвимости Zoom
выставлены на продажу
Голландский журналист в шутку
подключился к закрытой
видеоконференции министров обороны
ЕС в zoom
https://www.securitylab.ru/news/506334.php
10
https://www.securitylab.ru/news/506744.php
https://tass.ru/politika/10064579Законодательство РФ
Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных"
Федеральный закон от 27.07.2006 N 149-ФЗ "Об информации, информационных
технологиях и о защите информации"
Указ Президента РФ от 06.03.1997 N 188 "Об утверждении Перечня сведений
конфиденциального характера"
Указ Президента РФ от 17.03.2008 N 351 (ред. от 22.05.2015) "О мерах по
обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена "
11Законодательство РФ Федеральный закон от 26.07.2017 N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации" К объектам КИИ относятся сети и информационные системы госорганов, предприятий оборонной промышленности, транспорта, кредитно-финансовой сферы, энергетики и ТЭК. Объекты КИИ должны быть подключены к Государственной системе обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА). Предусмотрено формирование реестра таких объектов и их категорирование в зависимости от значимости. В ГосСОПКА должны вноситься данные из реестра значимых объектов КИИ, а также сведения о связанных с объектами КИИ компьютерных инцидентах. Национальная программа "Цифровая экономика Российской Федерации" Ранее предусматривал разработку предложений по популяризации добровольного страхования рисков информационной безопасности и повышению киберкультуры 12
Особенности РФ
Отсутствие законодательных требований уведомлять третьих лиц в случае
раскрытия конфиденциальной информации и реагировать на инцидент
Низкий по сравнению с другими странами штраф за разглашение
персональных данных и конфиденциальной информации
Штрафы не могут быть застрахованы согласно законодательству
Стоимость данных, часто ущерб ограничен возмещением морального
вреда
Во всем мире драйвером страхования киберрисков является законодательство,
пример – европейский GDPR (General Data Protection Regulation) 13Продукт или риск
PI Различные продукты могут
содержать элементы покрытия
BBB киберрисков
D&O
Киберриски могут быть не
поименованы
Киберриски
Crime
PDBI /Fidelity Исключения CL 380,
NMA 2914 и 2915
TPL Pollution
Наблюдается тенденция
исключения киберрисков из
традиционных продуктов
14Страховые продукты на российском рынке
Дополнения к традиционным видам страхования (включая
имущество и ответственность) с триггером кибератаки
Отдельный продукт - страхование киберрисков, которые
являются стандартными исключениями из традиционных
договоров страхования
Комплексные договоры, которые включают страхование как
традиционных рисков, так и новых
15Отдельный продукт по страхованию киберрисков
Ущерб третьих лиц Собственный ущерб Расходы
Ответственность перед Расходы на реагирование
третьими лицами за утрату Расходы на расследование
данных и/или причин инцидента
конфиденциальной Ущерб компании (потеря
чистой операционной прибыли и Расходы на уведомление
информации пострадавших
фиксированные расходы на
Возмещение финансового продолжение деятельности) Расходы на перевыпуск
вреда третьему лицу, чьи от перерыва в производственной скомпрометированных
данные компания хранила в деятельности, который вызван платежных карт
своей системе, но по причине полной или частичной
неосторожности или недоступностью компьютерной
Расходы на организацию call-
кибератаки у нее произошла системы. центра
утечка данных или нарушение
конфиденциальности хранимой Расходы на восстановление
данных и компьютерных
информации программ
Расходы на защиту
16Оценка рисков
Процедуры оценки зависят от риска и лимита,
включают в себя:
Заполнение заявления на страхование
Анализ внутренних документов по управлению
риском
Сюрвей (IT – аудит) и формирование
сюрвейерского отчета с выдачей рекомендаций
по минимизации риска
Основной вопрос –
кто делает оценку
и за чей счет
17Оценка рисков Необходимые (минимальные) требования к Страхователю: Наличие подразделения информационной безопасности Установлены средства защиты от воздействия вредоносного кода на всех ПЭВМ (АРМ), ноутбуках, серверах компании, в корпоративной вычислительной сети компании, в корпоративной системе электронной почты В вычислительной сети установлены средства межсетевого экранирования от сети Интернет, средства мониторинга и предотвращения кибер-вторжений, средства защиты от DDoS-атак Осуществляется регулярное резервное копирование данных и восстановительное тестирование резервных копий Существует план реагирования при происшествиях, связанных с нарушением безопасности IT-инфраструктуры, вычислительной сети, а также план действий для обеспечения непрерывности бизнеса Отсутствие большого количества замечаний по результатам IT- аудита (если проводился), у компании есть план выполнения рекомендаций IT –аудита, компания выполняет 18 рекомендации
Факторы риска Отрасль, основные виды профессиональной деятельности Размер организации, организационная структура, число пользователей автоматизированных (информационных систем) компании География бизнеса организации; Используемые автоматизированные (информационные) системы Организация сетевого взаимодействия филиалов Количество и тип хранимых персональных данных; Наличие онлайн активности и онлайн-продаж; Уровень информационной защиты Политика и процедуры внутреннего контроля Концепция информационной безопасности (на уровне сети, серверов, систем, прав доступа) Зависимость компании от информационных технологий и/или автоматизированных (информационных) систем (включая SCADA) Взаимозависимость разных автоматизированных (информационных) систем Другие факторы 19
Урегулирование убытков
Страхование киберрисков - сервисный продукт
Реагирование при киберинциденте
Техническая поддержка и консультации в случае
киберинцидента
Диагностика информационной системы
Расследование причин кибератаки и фиксирование
доказательств
Локализация инцидента
Определение размера убытка
Консультирование по предотвращению кибератаки
Необходимы компании - эксперты в области
информационной безопасности 20
(кибербезопасности)Особенности рисков. Проблемы
Кумуляция Скрытый кибер в
продуктах
Межвидовая, межотраслевая, Риски не всегда
непредсказуемая идентифицированы
Отсутствие статистики Непредсказуемость развития
Как считать тарифы и оценить Можно сравнить с коронавирусом
возможный ущерб
21Управление киберрисками для Страхователей
Определить Ключевое - Страхование -
Проверить
инвестировать в система снижения
какие риски существующее
системы и управления
актуальны страховое покрытие
безопасности риском
22Управление киберрисками для
Страховщиков и Перестраховщиков
Не игнорировать наличие этих рисков
Всесторонне оценивать риски, управлять кумуляцией
Стремиться к единым подходам в определении продукта,
оценке рисков
Развивать продукт совместными усилиями
23Риски развиваются
Найден способ заблокировать все умные
кофеварки в мире и заставить их хозяев
Интернет вещей
платить выкуп
Бельгийский исследователь безопасности
взломал Tesla, воспользовавшись
Авто уязвимостью в системе бесключевого
доступа
Мошенники устанавливают в общественных местах
Смартфон поддельные киоски для зарядки, чтобы украсть
данные смартфонов
https://www.cnews.ru/news/top/2020-09-28_najden_sposob_zablokirovat
https://www.ixbt.com/news/2020/11/26/tesla-raspberry-pi.html
24
https://www.securitylab.ru/blog/personal/bezmaly/349644.php?ref=123СТРАХОВАНИЕ КИБЕРРИСКОВ Анна Овчинникова Руководитель сектора перестрахования финансовых линий Направление неморского перестрахования Дукат Плейс III, 6, ул. Гашека, Москва, Россия, 125047 тел.: +7 (495) 730 44 80 | факс: +7 (495) 730 44 79 | rnrc@rnrc.ru www.rnrc.ru
Вы также можете почитать
