Правоохранительные органы любят киберстрахование, потому что страховщики требуют от клиентов придерживаться лучших методов защиты.
«Страховые полисы, которые я видел, — сказал Стивен Оукс, специальный агент по надзору в полевом офисе ФБР в Луисвилле, — требуют, чтобы компания поддерживала готовность к выплате по полису. Если это поставит их в более выгодное положение для обороны, я за».
Одна константа киберстрахования заключается в том, что оно постоянно меняется, потому что характер и широта угроз также постоянно меняются и растут.
По словам Джо Дэвиса, руководителя киберпрактики Houchens Insurance Group в Боулинг-Грин, сначала киберстрахование было дополнением к другому страхованию бизнеса. Это было относительно недорого. Купить не сложно. Не так сложно. Политика больше ориентирована на тип отрасли. У большинства операторов были простые приложения, и они не слишком углублялись в ИТ-безопасность.
Тогда бум! В 2000-х годах атаки с целью получения выкупа стали более распространенными и дорогостоящими. Пандемия отправила сотрудников домой, чтобы работать удаленно. Вступили в силу новые законы, регулирующие защиту и штрафы за проигрыш. Например, AT&T согласилась выплатить Федеральной комиссии по связи штраф в размере 25 миллионов долларов за раскрытие личной идентификационной информации (PII) 280 000 клиентов — около 90 долларов за раскрытую PII.
«Киберпреступники поняли, что предприятия имеют доступ к частной информации и информации о сотрудниках, в значительной степени полагаются на свою сеть и электронные данные и будут платить выкуп, чтобы восстановить доступ к своим системам», — сказал Дэвис. «Во многих случаях онлайн-безопасность этих компаний находится на низком уровне.
«Кибератаки сеют хаос во всех отраслях, и компании могут не осознавать, что существуют законы и правила, которые необходимо соблюдать в случае кибератаки. Вы не можете просто отключить компьютер или купить новое оборудование. Если вы это сделаете, вы можете столкнуться с судебными разбирательствами, штрафами, потерей бизнеса и ущербом для репутации».
Атаки создают много расходов
Киберстрахование может покрыть расходы на кибератаку с помощью соглашений, предусматривающих покрытие, например, ответственности перед клиентами застрахованного лица, которые понесли ущерб из-за того, что их личные данные – медицинская информация, кредитная карта и номера социального страхования – были взломаны. Страхование может оплачивать уведомление потенциально взломанных лиц и кредитный мониторинг, требуемый законами штата, расходы на судебно-медицинскую экспертизу, потерю бизнеса, замену оборудования и связи с общественностью.
«Большинство малых и средних предприятий считают, что им не нужна киберответственность, но они очень уязвимы и нуждаются в ней», — сказала Энджи Майерс, исполнительный вице-президент по коммерческим вопросам страхового агентства Lexington. «Около 62% кибератак приходится на малый и средний бизнес».
Дарин Э. Смит, партнер и лицензированный консультант Insuramax в Луисвилле, согласен с этим.
«Связанные с кибербезопасностью инциденты неизменно считаются одним из главных рисков, с которыми сталкиваются организации любого размера по всему миру, — сказал он. «Малые и крупные предприятия, коммерческие и некоммерческие, местные и международные теперь подвергаются одинаковому риску.
«У более крупных фирм больше средств для поиска, но они также, как правило, имеют гораздо большие ИТ-бюджеты и инструменты для защиты своих сетей. У небольших предприятий может быть меньше задач, но их гораздо больше, и они часто имеют ограниченные гарантии, что делает их более легкой мишенью. Малые предприятия (доход менее 25 миллионов долларов) за последний год столкнулись с ростом тяжести претензий в связи с киберпреступными атаками на 56%».
Киберпреступники сегодня, по словам Оукса из ФБР, обычно даже не нацелены на конкретный бизнес. Они направляют атаки во всех направлениях на всех, когда узнают о новом эксплойте или уязвимости, с которыми они могут работать.
«Плохие парни просто бьют всех, кого могут, даже не зная, кого они бьют», — сказал Оукс. «Если у них есть эксплойт, они поразят всех, кого только возможно. Затем они сортируют своих жертв, чтобы определить, у кого просить выкуп».
По словам Смита, многие эксперты согласны с тем, что вопрос не в том, произойдет ли событие в сети, а в том, когда оно произойдет.
У экспертов есть статистика, подтверждающая их заявления. На национальном уровне в 2021 году:
• Общая тяжесть киберпретензий увеличилась на 28% и составила в среднем 197 000 долларов США за претензию.
• Требования к программам-вымогателям выросли на 20%, в результате чего средний размер компенсации увеличился до 1,8 млн долларов.
• Мошенничество с денежными переводами (FTF) подскочило на 78%, в среднем 388 000 долларов были потеряны до принятия мер по восстановлению.
• Серьезность претензий малого бизнеса увеличилась на 56%.
• Попытки фишинга остаются наиболее распространенным методом кибератаки, на который приходится 42% всех инцидентов.
Многофакторная аутентификация — хорошая защита
Но Смит сказал, что есть и хорошие новости: такие инструменты, как многофакторная аутентификация (MFA), могут блокировать более 99,9% атак с компрометацией учетных записей.
По его словам, такие инструменты считаются критически важными частями программы управления рисками, выходящей за рамки самой политики. Многие страховые компании предлагают держателям полисов бесплатные инструменты и советы по защите сетей, обучению сотрудников и снижению вероятности того, что их системы будут затронуты мошенническими действиями.
По словам Майерса, все больше и больше предприятий становятся мишенями из-за слабого контроля безопасности. По ее словам, если компания использует электронную почту, онлайн-банкинг, систему управления, цифровые платежи, у них должна быть киберстраховка, и они должны быть уверены, что сотрудники/поставщики знают, как обнаружить фишинговую электронную почту. Должен быть предусмотрен контроль для обеспечения безопасности выставления счетов и электронных переводов.
«Контроль наряду с киберстрахованием является ключевым», — сказал Майерс.
Тем не менее, Смит подчеркнул, что использование MFA и наличия брандмауэра недостаточно для защиты.
«Компании должны сохранять бдительность и инвестировать в непрерывное образование, обучение и ресурсы по управлению киберрисками сейчас больше, чем когда-либо», — сказал он. «Рынок киберстрахования развивается, чтобы покрывать и предлагать больше, но киберпреступники всегда на шаг впереди».
В Боулинг-Грин Джо Дэвис, который каждую неделю занимается двумя-тремя заявлениями о кибератаках, также дает советы для бизнеса. У него есть три общие рекомендации.
Первый перекликается с тем, что сказал Смит: используйте многофакторную аутентификацию.
«MFA — это технология безопасности, которая требует нескольких методов аутентификации из независимых категорий учетных данных для подтверждения личности пользователя при входе в систему или другой транзакции», — сказал Дэвис.
«Многофакторная аутентификация объединяет два или более независимых учетных данных: то, что знает пользователь, например пароль; что есть у пользователя, например токен безопасности; и что такое пользователь, используя методы биометрической проверки.
«Для любого удаленного доступа к сети для сотрудников, подрядчиков и сторонних поставщиков требуется MFA».
Вторая рекомендация Дэвиса — внедрить обнаружение и реагирование на конечных точках (EDR), которые отслеживаются круглосуточно и без выходных. Интегрированное решение для обеспечения безопасности, которое сочетает в себе непрерывный мониторинг и сбор данных конечных точек в режиме реального времени с резервным копированием за пределами площадки в совершенно другой сети (с воздушным зазором).
«Резервная копия с воздушным зазором — это копия данных вашей организации, которая находится в автономном режиме и недоступна, — сказал он. «Без подключения к Интернету или другому сетевому соединению трудно удаленно взломать или повредить ваше устройство резервного копирования».
Дэвис также много говорил о том, на что компании должны обращать внимание в политике, признавая при этом, что в настоящее время трудно получить политику в отношении кибербезопасности. Он сказал, что для получения политики требуется более подробное описание протоколов ИТ-безопасности, а также дополнительные шаги за пределами ИТ, такие как обучение сотрудников и письменный план реагирования на нарушения. Предприятиям также необходимо будет предоставить сканирование передовых сетей, чтобы определить эффективность и использовать их как часть процесса андеррайтинга.
Ранее в этом году Кентукки стал 21-м штатом, принявшим закон о безопасности данных, который требует от страховщиков и крупных агентств усиления мер по предотвращению кибератак и утечек данных. Законопроект Палаты представителей 474, вступающий в силу 1 января 2023 года, был разработан на основе закона о безопасности данных Национальной ассоциации страховых комиссаров.
Нажмите здесь, чтобы узнать больше о бизнес-новостях Кентукки.