В эпоху, когда киберриски становятся основной угрозой и причиной убытков для бизнеса, справиться с опасностью поможет только комплексная система: IT-решения по информационной безопасности, а также современные страховые продукты.

Большие данные, искусственный интеллект, машинное обучение, Интернет вещей, компьютерное зрение и дополненная реальность, а теперь и биометрические системы — уже не просто привычные для современных компаний термины, но работающие инструменты и решения. При этом мало кто задумывается о сопутствующих рисках, не говоря уже о принятии мер для их минимизации. Между тем именно киберриски становятся одними из основных для бизнеса в диджитал-среде.

Сегодня мировое экспертное сообщество признает атаки одним из основных глобальных рисков. По данным исследования Ponemon, финансовые институты являются основным из сегментов, подверженных атакам: в 48% случаев кибератака была умышленной (в том числе с помощью сотрудников), была предпринята в целях получения финансовой выгоды, в 27% случаев имел место сбой системы, в 25% случаев была человеческая ошибка.

Вот только несколько примеров. Кибергруппировка Cobalt посредством платежных шлюзов вывела из российского банка «ЖилФинанс» около 100 тыс. долларов. В Бразилии хакеры взяли под контроль местные банки с помощью модификации более 100 тыс. маршрутизаторов. Клиенты банков при попытке войти в интернет-банк попадали на поддельные страницы финансовых организаций. Атака продолжалась несколько месяцев с августа прошлого года, и неизвестно, закончилась ли она и какие убытки понесли эти банки и их клиенты. В 2016 году хакеры украли с помощью бота 1 млрд рублей сразу у нескольких кредитных организаций в России (Промсвязьбанк, «Траст», «Уралсиб» и «Зенит»). У клиентов МКБ возникли сложности с доступом в интернет-банк и мобильный банк, причиной которых послужил сбой из-за некорректной работы приложений и действий подрядчика.

По предварительной оценке специалистов Сбербанка, ущерб российской экономике от киберугроз за 2018 год составил 1 трлн рублей

По информации Банка России, только в 2015 году в общей сложности были совершены покушения на хищение 4 млрд рублей в электронном виде, и 61% попыток увенчался успехом. По данным Генпрокуратуры РФ, в период с января по август 2018 года правоохранительными органами РФ было зарегистрировано 107 980 преступлений, совершенных с использованием информационно-телекоммуникационных технологий или в сфере компьютерной информации с ущербом в размере почти 400 млрд рублей, что на 43,6% больше аналогичного показателя годом ранее, а расследовано около 30 тыс. преступлений. По предварительной оценке специалистов Сбербанка, ущерб российской экономике от киберугроз за 2018 год составил 1 трлн рублей, и сумма эта — неокончательная: мало кто готов раскрывать сам факт кибератаки на свою организацию, не говоря уже о сумме ущерба.

Между тем вступление мира в цифровую эпоху, когда повседневная жизнь зависит от технологий, требует быстрой и своевременной реакции как законодателей, так и производителей решений. Очевидно, что обеспечение информационной безопасности требует соответствующего отношения. Так, летом на Международном конгрессе по кибербезопасности президент РФ Владимир Путин озвучил необходимые меры по повышению безопасности киберсферы. Банк России разработал документ, обязывающий банки оценивать операционные риски и подсчитывать ущерб по Базель III. Правда, этот подход будет внедрен только с 2022 года, но привести свои системы в соответствие с новым документом необходимо до конца 2019-го, так как банки должны предоставлять информацию о потерях от «события операционного риска» за последние пять лет.

1 января 2018 года вступил в силу Закон № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ», под действие которого подпадают финансовые институты. К слову, максимальное наказание по данному Закону — до 10 лет лишения свободы для технических специалистов.

Развивается Единая биометрическая система (ЕБС), появляются соответствующие подзаконные акты к Закону № 482-ФЗ. Это также важная веха в развитии онлайн-банкинга и его безопасности.

Прошлый год преподнес нормативные новации для борьбы с фродом в виде Закона № 167-ФЗ и обновленного Положения Банка России № 382-П, что является значимым этапом развития информационной безопасности финансовых институтов. В Законе переложены нормы регламента о защите персональных данных (GDPR) Европейского союза со штрафами до 20 млн евро или 4% годового оборота. Минфин РФ выпустил письмо о возможности учитывать убытки от таких атак в расходах для расчета налога на прибыль.

Рынок решений в сфере информационных технологий и кибербезопасности пестрит предложениями на любые вкус и бюджет, разработчики сулят небывалый функционал, высокий уровень сервиса, самые передовые технологии и невероятную защиту даже от неизвестных, порой несуществующих, угроз. При этом практически никто не готов взять на себя ответственность, не говоря уже о полном возмещении убытков бизнеса в результате атаки или просто сбоя, если предложенное решение не справится. Не существует решений (и вряд ли они появятся), на 100% гарантирующих безопасность и надежность. Несмотря на бесконечную гонку разработчиков, технологии разрабатываются людьми по заложенным алгоритмам, и невозможно заранее смоделировать все сценарии нештатного поведения системы и лазейки для киберпреступников, финансовая выгода которых является основным двигателем кибепреступлений — хакеры постоянно анализируют существующие на рынке компьютерные, промышленные и даже психологические, медицинские технологии, зачастую оказываются на шаг впереди их разработчиков. Таким образом, вы долгое время можете не знать, что к вашей информации и вашим ресурсам имеет доступ кто-то еще. Да, в крупные корпорации сложно проникнуть, а иногда это и не нужно: гораздо проще совершить киберпреступление с помощью подрядчика, выполняющего проект в крупном банке. Вспомните систему документооборота и вирус-шифровальщика, которые привели к убыткам MAERSK в 300 млн долларов. Подрядчик тратит на безопасность гораздо меньше. В экспертном сообществе принято считать, что кибербезопасность года на два, а то и на пять лет отстает от развития информационных технологий.

По-прежнему во многих компаниях отсутствует на уровне культуры бизнеса взаимодействие между рисковиками, владельцами продуктов и безопасниками. Не имеет значения, какого размера компания, к какой индустрии принадлежит. Как показывает опыт, рисковики могут не знать, что на предприятии сложными технологическими процессами управляют компьютерные системы, а у их так называемых операторов есть четкая инструкция следовать рекомендациям компьютерной системы. Есть компании, в которых рисковики застраховали бизнес, в том числе от электронных рисков, без участия безопасников и айтишников, потому что последние были не в курсе такого инструмента, как страхование.

По-прежнему во многих компаниях отсутствует на уровне культуры бизнеса взаимодействие между рисковиками, владельцами продуктов и безопасниками

Согласно последней версии федерального проекта «Информационная безопасность», который станет частью нацпроекта по цифровой экономике, Минфину, ЦБ и Минкомсвязи совместно со Всероссийским союзом страховщиков (ВСС) и Фондом «Сколково» в 2019 году предстоит разработать предложения по популяризации добровольного страхования рисков информационной безопасности.

Наша компания в прошлом году выпустила на рынок новый продукт по киберстрахованию АльфаCYBER, в основу которого легли многолетний опыт в страховании электронных рисков для банков в рамках программы BBB (Bankers Blanket Bond), опыт страхования имущества и ответственности. В покрытие входят высокотехнологичные риски, которые в привычных видах страхования находятся в исключениях либо вовсе не учтены. Кроме существующих коробочных предложений в договоре страхования могут быть предусмотрены следующие риски: утраты информации; хищения интеллектуальной собственности; неправомерного использования вычислительных ресурсов; вымогательства; хищения денежных средств; нарушения конфиденциальности и разглашения персональных данных; причинения вреда имуществу, жизни и здоровью третьих лиц; ущерба деловой репутации; утраты, гибели или повреждения готовой продукции, сырья, материалов; перерыва в деятельности. Оценку рисков и урегулирование «АльфаСтрахование» проводит совместно со своими партнерами — компаниями из индустрии кибербезопасности и информационных технологий. Стоимость страхования определяется индивидуально в зависимости от набора рисков, страховой суммы и франшизы, а также рода деятельности страхователя и результатов оценки рискозащищенности.

Несмотря на молодость киберстрахования, рынок развивается семимильными шагами. Новую возможность подхватили представители рынка информационных технологий и кибербезопасности, что послужило хорошим импульсом для развития. Ведь теперь поставщики IT- и ИБ-решений вместе со своими продуктами могут предложить клиентам универсальный и эффективный инструмент, ту самую недостающую ценность решений, те самые гарантии и полную ответственность, чтобы действительно в полной мере удовлетворить потребности бизнеса, обеспечить его непрерывность и устойчивое развитие.