Ubezpieczenie cybernetyczne nie jest najbardziej błyszczącą stroną cyberbezpieczeństwa, ale z pewnością zasłużyło na swoje miejsce w dzisiejszej debacie na temat bezpieczeństwa.

Według Statista, od 2021 r. średnio 48% organizacji w wybranych krajach na całym świecie posiadało ubezpieczenie cybernetyczne, przy czym liczby te były nieco wyższe w krajach takich jak USA (50%), Szwecja (55%) i Austria (66%). Obecne prognozy wskazują, że rynek ubezpieczeń cybernetycznych wzrośnie z ośmiu miliardów dolarów w 2020 roku do pokaźnych 20 miliardów dolarów do 2025 roku.

Skąd więc ten szum? I biorąc pod uwagę gwałtowny wzrost cyberprzestępczości, czy ubezpieczenie cybernetyczne jest panaceum, za jakie uważają je firmy? Decyzja należy do każdej organizacji. Oto fakty.

Czym jest ubezpieczenie cybernetyczne?

Ubezpieczenie cybernetyczne (zwane również ubezpieczeniem od odpowiedzialności cybernetycznej lub ubezpieczeniem cyberbezpieczeństwa) to ochrona finansowa oferowana w niefortunnym przypadku, gdy firma poniesie straty w danych, przychodach lub innych zasobach z powodu incydentu cybernetycznego lub naruszenia danych.

Może również pokryć wszystkie dodatkowe szkody i koszty naprawcze, takie jak koszty dochodzenia w sprawie zagrożenia, opłaty prawne, komunikacja z klientami i zwroty kosztów.

Według raportu Thales Data Threat Report z 2021 r. 45 procent amerykańskich firm doświadczyło w przeszłości naruszenia danych. Krajowe Stowarzyszenie Komisarzy Ubezpieczeniowych (NAIC) opublikowało w 2022 r. wyniki, które wskazują, że "samodzielne bezpośrednie składki przypisane z ubezpieczeń cybernetycznych za 2021 r. wzrosły o 94,7% w porównaniu z rokiem poprzednim".

Ponieważ ataki nadal gwałtownie rosną i pojawiają się nowe zagrożenia oparte na sztucznej inteligencji, trend w kierunku ubezpieczeń cybernetycznych utrzymuje się.

Co obejmuje ubezpieczenie cybernetyczne?

Chociaż szczegóły różnią się, przeciętna polisa cyberbezpieczeństwa obejmuje wydatki związane z naprawą zainfekowanych systemów, przywracaniem danych i przywracaniem ich do normalnego działania. Obejmuje również badania kryminalistyczne w celu zidentyfikowania pierwotnej przyczyny naruszenia bezpieczeństwa, dzięki czemu środowisko może zostać wzmocnione, aby zapobiec ponownemu wystąpieniu tego typu incydentu. Inne pokryte wydatki obejmują opłaty prawne, przerwy w działalności i utratę dochodów, wydatki związane z public relations, grzywny, koszty przywrócenia danych, powiadomienia klientów i usługi monitorowania zdolności kredytowej.

Ile kosztuje ubezpieczenie cybernetyczne?

Kiedy biznes był nowy, był to rynek nabywcy, a firmy ustawiały się w kolejce, aby kupić hojne polisy ubezpieczeniowe od cyberbezpieczeństwa. W tamtym czasie oprogramowanie ransomware było irytującym wyskakującym okienkiem, które podsłuchiwało firmy za kilka tysięcy dolarów, a państwa narodowe zadowalały się fizycznym szpiegostwem. To było 20 lat temu.

Teraz sytuacja się odwróciła, a ubezpieczyciele przejmują kontrolę. Cyberataki nie są już odległą kwestią "jeśli", ale pewną kwestią "kiedy". Według amerykańskiego Government Accountability Office (GAO), składki z tytułu odpowiedzialności cybernetycznej stale rosły o 14 punktów procentowych tylko w latach 2017-2020.

Według badań GAO z 2021 r. koszt przeciętnego cyberataku prawie się podwoił w ciągu ostatnich trzech lat, a dostawcy odpowiednio dostosowali swoje oferty. Teraz organizacje wysokiego ryzyka, takie jak te ze środowisk akademickich, opieki zdrowotnej i sektora publicznego, mogą spodziewać się wyższych stawek i większej liczby wyłączeń.

Na przykład komercyjne polisy majątkowe i wypadkowe mogły wcześnie obejmować ochronę cybernetyczną; teraz ubezpieczenie cyberbezpieczeństwa jest samodzielne. I nie tylko to; trudniej go zdobyć.

Jak zakwalifikować się do ubezpieczenia cybernetycznego?

W obecnym klimacie zagrożeń firmy oferujące ubezpieczenia cybernetyczne wymagają od klientów zwiększonych zabezpieczeń. Większość z nich wymaga minimalnego wymogu uwierzytelniania wieloskładnikowego (MFA) i monitorowania 24/7. Inne podnoszą poprzeczkę we wszystkim, od siły haseł, przez bezpieczeństwo łańcucha dostaw, po reagowanie na incydenty, testy penetracyjne, kopie zapasowe, wykrywanie punktów końcowych i szkolenia użytkowników.

Chociaż nie jest to nauka ścisła, istnieje pięć kluczowych obszarów, na których dostawcy ubezpieczeń cybernetycznych skupiają się podczas oceny ryzyka. Rozwinąłem je w naszej ostatniej serii webinariów Cybersecurity Week w webinarium zatytułowanym "Rzeczy, o które zapyta twój ubezpieczyciel cybernetyczny".

Widoczność: Środowiska są dynamiczne i należy prowadzić dokładną inwentaryzację wszystkich zasobów i ich krytyczności. Dostawcy ubezpieczeń chcą mieć pewność, że regularnie odkrywasz zasoby i dane, masz system klasyfikacji i upewniasz się, że są one monitorowane przez całą dobę. Istnieją również rozwiązania, takie jak testy penetracyjne i symulacje przeciwników, aby uzyskać inną perspektywę widoczności. Jest to opcjonalne, ale wiedza o tym, w jaki sposób atakujący może dostać się do środowiska, pozwala wzmocnić sieć i wykazuje wyższy poziom staranności w oczach większości dostawców.

Zarządzanie ryzykiem: Zmniejszanie powierzchni ataku jest ciągłym działaniem mającym na celu proaktywne zmniejszanie prawdopodobieństwa udanego ataku. Dostawcy będą chcieli zapoznać się z programem łatania i wdrożonym uwierzytelnianiem wieloskładnikowym (MFA) opartym na SMS. Jeszcze lepszym rozwiązaniem byłoby korzystanie z tokenów sprzętowych MFA, które są bezpieczniejszym rozwiązaniem niż korzystanie z SMS-ów, a także symulacje phishingu w ramach trwającego programu podnoszenia świadomości.

Kontrole prewencyjne: Stos zabezpieczeń zapobiega przedostawaniu się złych aktorów, ale także zapewnia, że właściwe osoby współpracują z Tobą i Twoimi zasobami. Większość dostawców wymaga wykrywania i reagowania w punktach końcowych (EDR) lub równoważnych funkcji. Niektórzy dostawcy określają, że należy korzystać z określonych dostawców EDR, w przeciwnym razie istnieje ryzyko dyskwalifikacji z uzyskania ochrony. Istnieje wiele opcji zabezpieczeń poczty e-mail, takich jak skanowanie treści, sandboxing w celu detonacji załączników i DMARC, dlatego ważne jest, aby znać wszystkie funkcje włączone dla poczty przychodzącej, a także zintegrowane zapobieganie utracie danych (DLP) w celu ochrony danych osobowych (PII) i chronionych informacji zdrowotnych (PHI). Jeśli twój program ochrony danych korzysta z rozwiązania DLP klasy korporacyjnej, ważne jest, aby poinformować o tym ubezpieczyciela, a także o wszelkich bieżących ulepszeniach sieci, takich jak wyłączanie niepotrzebnych portów.

Wykrywanie: W bezpieczeństwie nie ma czegoś takiego jak stuprocentowa prewencja, dlatego należy upewnić się, że w całej infrastrukturze IT istnieją mechanizmy wykrywania niepożądanej aktywności, aby reagować w odpowiednim czasie. Systemy wykrywania włamań (IDS) i rozwiązania takie jak SIEM lub ich odpowiedniki są niezbędne do wykrywania aktywnych ataków. Jeśli jesteś organizacją z bardziej dojrzałym programem SOC, który obejmuje wyszukiwanie zagrożeń i program podnoszenia umiejętności analityków, z pewnością będziesz chciał poinformować o tym ubezpieczyciela.

Reakcja: Po wykryciu ataku należy szybko zareagować, aby zminimalizować jego skutki. Twoja strategia bezpieczeństwa powinna mieć udokumentowany plan reagowania na incydenty z interesariuszami oraz ich rolami i obowiązkami. Ubezpieczyciele będą chcieli go poznać wraz z planem tworzenia kopii zapasowych i odzyskiwania danych. Jeszcze lepszym rozwiązaniem jest omówienie niedawnego testu tych planów, wyciągniętych wniosków oraz zmian w planach i wzmocnieniu infrastruktury IT. Może to obejmować wdrożenie zautomatyzowanych działań, takich jak izolacja hosta lub wyłączenie poświadczeń, aby zapobiec dalszym szkodom.

W przypadku IBM i wymagania koncentrują się na MFA, zarządzaniu informacjami i zdarzeniami bezpieczeństwa, szyfrowaniu danych, programach antywirusowych i anty-ransomware oraz programach wyjścia.

Większość tego, co ubezpieczyciele chcą zobaczyć, to silna, dobrze zorganizowana strategia bezpieczeństwa. W tym celu niektóre technologie cyberbezpieczeństwa są również zalecane jako "warte uwagi" przez całą branżę ubezpieczeń cybernetycznych.

Ważne jest jednak, aby nie zapominać, że to również Ty szukasz odpowiedniego rozwiązania. Pamiętaj, aby przed zakupem zapoznać się z drobnym drukiem dotyczącym takich kwestii, jak podlimity, ataki państw narodowych i płatności ransomware.

Rozważanie zalet i wad ubezpieczenia cybernetycznego

Podczas gdy American Property Casualty Insurance Association definiuje odporność cybernetyczną jako "obowiązek społeczny", decyzja o zainwestowaniu w ubezpieczenie cyberbezpieczeństwa musi być przemyślana przez każdą organizację. Tolerancja ryzyka firmy będzie w dużej mierze determinować siłę i limity jej potrzeb w zakresie polis, a niektóre firmy mogą całkowicie zrezygnować z ochrony ubezpieczeniowej.

Może to być poważnie rozważane przez firmę, która obsługuje duże ilości danych osobowych, firmę publiczną z surowymi obowiązkami w zakresie prywatności lub firmę wciąż nową w swojej strategii cyberbezpieczeństwa. Ubezpieczenie cybernetyczne jest również ważnym czynnikiem dla megaprzedsiębiorstw z ogromną ilością danych do przechowania i wysokimi stawkami, jeśli naruszenie trafi do prasy - lub do portfela.

Koszt ubezpieczenia cybernetycznego może być jednak coraz bardziej zaporowy. Firmy muszą określić swój apetyt na ryzyko, wziąć pod uwagę średni koszt naruszenia i zdecydować, czy wydatki na ubezpieczenie od odpowiedzialności cybernetycznej są warte poniesionych kosztów - lub potencjalnych oszczędności.