Ки­бер-рис­ки: жизнь в но­вой циф­ро­вой ре­аль­но­сти

Finansovi poslugy - - СОДЕРЖАНИЕ -

Вир­ту­аль­ная ре­аль­ность все плот­нее вхо­дит в на­шу жизнь, на­пол­няя ее но­вы­ми воз­мож­но­стя­ми, стре­ми­тель­ны­ми из­ме­не­ни­я­ми в при­ме­ня­е­мых сред­ствах и устрой­ствах. Бретт Кинг в кни­ге «Банк 3.0. По­че­му се­год­ня банк – это не то, ку­да вы хо­ди­те, а то, что вы де­ла­е­те» при­во­дит та­кие яр­кие срав­не­ния: «элек­трон­но­вы­чис­ли­тель­ная ма­ши­на 1970-х го­дов, сто­ив­шая бо­лее 1 млн. дол., име­ла мень­шую мощ­ность, чем ваш се­го­дняш­ний iPhone. Се­го­дняш­ний iPhone 4S при­бли­зи­тель­но в два мил­ли­о­на раз мощ­нее ком­пью­те­ра «Апол­ло­на-11», ко­то­рый вы­са­дил лю­дей на Лу­ну. Бо­лее то­го, воз­мож­но­сти пер­вой мо­де­ли iPhone (из­вест­ной се­год­ня как 2G) пре­вос­хо­ди­ли все вы­чис­ли­тель­ные мощ­но­сти НАСА в 1970г. Ма­лень­кие му­зы­каль­ные от­крыт­ки с чи­пом, ко­то­рые иг­ра­ют для вас по­здра­ви­тель­ную ме­ло­дию, име­ют боль­шую мощ­ность, чем вся гит­ле­ров­ская Гер­ма­ния и ее со­юз­ни­ки вме­сте взя­тые во вре­мя Вто­рой ми­ро­вой вой­ны».

Од­на­ко вме­сте с эти­ми чу­де­са­ми в на­шу дей­стви­тель­ность во­рва­лась се­рьез­ная опас­ность ма­те­ри­аль­ных и фи­нан­со­вых по­терь, а в ря­де слу­ча­ев и угро­за жиз­ни че­рез ис­поль­зо­ва­ние все­го это­го тех­ни­че­ско­го мно­го­об­ра­зия и воз­мож­но­стей. Циф­ро­вая транс­фор­ма­ция — digitisation — об­ще­ства в биз­не­се, си­сте­ме го­су­дар­ствен­но­го управ­ле­ния, в част­ной жиз­ни быст­ро эво­лю­ци­о­ни­ру­ет, со­от­вет­ствен­но и ки­бер-угро­зы де­мон­стри­ру­ют ак­тив­ный рост в ко­ли­че­стве и слож­но­сти атак, про­ду­ци­ру­ют рост убыт­ков для ми­ро­вой эк­но­ми­ки. В 2016 г по­те­ри от ки­бе­р­атак оце­ни­ва­ют­ся $450 млрд. (Graham, 2017).Слож­ность, вза­и­мо­связь и вза­и­мо­за­ви­си­мость тех­но­ло­гий де­ла­ет невоз­мож­ным со­зда­ние га­ран­ти­ро­ван­ной за­щи­ты. Важ­но по­ни­мать, что не су­ще­ству­ет си­стем, ко­то­рые бы­ли бы неуяз­ви­мы для про­ник­но­ве­ния или ком­про­ме­ти­ро­ва­ния. Как след­ствие, ки­бер-рис­ки ста­но­вят­ся топ-рис­ка­ми и од­ной из ве­ду­щих тем по­вест­ки дня пред­при­я­тий, ор­га­ни­за­ций и пра­ви­тельств. Ком­па­нии ин­ве­сти­ру­ют су­ще­ствен­ные сред­ства для раз­ви­тия тех­но­ло­гий по за­щи­те, внед­ре­нию прак­ти­че­ских мер по все­сто­рон­не­му и глу­бо­ко­му риск-ме­недж­мен­ту. На­ли­чие в шта­те спе­ци­а­ли­ста по ки­бер­без­опас­но­сти ста­но­вит­ся необ­хо­ди­мой прак­ти­кой. В ка­че­стве внеш­не­го ре­ше­ния управ­ле­ния ки­бер-рис­ка­ми так­же ис­поль­зу­ет­ся пе­ре­да­ча рис­ка стра­хо­во­му рын­ку.

Ки­бер-рис­ки не яв­ля­ют­ся обыч­ным риском для стра­хов­щи­ков. Это до­ста­точ­но мо­ло­дое яв­ле­ние для рын­ка, с неболь­шим опы­том уча­стия стра­хов­щи­ков в убыт­ках. Опас­ность для стра­хов­щи­ков за­клю­ча­ет­ся не толь­ко в том, что нет до­ста­точ­ной ста­ти­сти­ки и ак­ту­ар­ные мо­де­ли необ­хо­ди­мо по­сто­ян­но ме­нять из-за ди­на­мич­но­сти и мно­го­об­ра­зия но­вых атак, но и по при­чине не все­гда яв­но­го, но очень ши­ро­ко­го вли­я­ния ки­бе­р­атак на дру­гие ли­нии биз­не­са, по­кры­то­го стра­хо­вы­ми по­ли­са­ми. По­это­му стра­хов­щи­ки от­но­сят ки­бер-рис­ки к ка­то­стра­фи­че­ским рис­кам. И хо­тя ко­ли­че­ство стра­хов­щи­ков, на­чи­на­ю­щих ра­бо­тать в этом сег­мен­те, рас­тет, воз­мож­но­сти рын­ка как по ши­ро­те по­кры­тия, так и по ем­ко­сти, по­ка недо­ста­точ­ны.

Лон­дон стал экс­перт­ным цен­тром и ос­нов­ным по­ку­па­те­лем этих рис­ков. По дан­ным Lloyd’s, в 2017г. эти рис­ки при­ни­ма­ют 77 син­ди­ка­тов с аг­ре­гат­ной ем­ко­стью 500 млн фун­тов стер­лин­гов. Ос­нов­ные под­хо­ды ра­бо­ты с ки­бер-рис­ка­ми бы­ли из­ло­же­ны в от­че­те Lloyd’s и Cyence в 2017 г. “Counting the cost cyber exposure decoded». В ос­но­ву мо­де­ли­ро­ва­ния несколь­ких сце­на­ри­ев оцен­ки рис­ка и воз­мож­ных убыт­ков лег­ли 6 клю­че­вых фак­то­ров, ко­то­рые при­ме­ни­ли к двум боль­шим груп­пам, сфор­ми­ро­ван­ным по прин­ци­пу рас­про­стра­не­ния ки­бе­р­атак:

1. Ко­ли­че­ство раз­ра­бот­чи­ков, во­вле­чен­ных в со­зда­ние но­вых продуктов и тех­но­ло­гий. На­при­мер, в со­зда­нии Linux Kemel в 2011 г. участ­во­ва­ло 1 400 че­ло­век, на­пи­са­но 15 млн. строк ко­да.

2. Ко­ли­че­ство про­грамм­ных продуктов и их слож­ность. Ес­ли для кос­ми­че­ско­го ап­па­ра­та Аpollo 11 ис­поль­зо­ва­лось по­ряд­ка 145 000 строк ко­да, то для со­вре­мен­но­го ав­то­мо­биль­но­го ком­пью­те­ра –уже бо­лее 100 000 000.

3. Ши­ро­кое рас­про­стра­не­ние про­грамм­ных продуктов с от­кры­тым до­сту­пом.

4. Ис­поль­зо­ва­ние уста­рев­ших вер­сий и про­грамм, несвое­вре­мен­ное об­нов­ле­ние ко­то­рых ве­дет к ро­сту уяз­ви­мо­сти си­стем и ве­ро­ят­но­сти ки­бе­р­атак.

5. Мно­го­уров­не­вые про­грамм­ные про­дук­ты, в ко­то­рых но­вые соф­ты име­ют при­о­ри­тет­ный код и «над­стра­и­ва­ют­ся» на ста­рую ба­зу

6. Ге­не­ри­ру­ю­щее про­грам­ми­ро­ва­ние с вы­со­ким по­тен­ци­а­лом мо­ди­фи­ци­ро­вать зло­умыш­лен­ное со­дер­жа­ние.

Для пер­во­го сце­на­рия рас­смат­ри­ва­лись груп­пы ин­тер­нет-про­вай­де­ров, про­вай­де­ров об­лач­ных сер­ви­сов, сер­ви­сов до­мен­ных имен, пла­теж­ных про­цес­со­ров и тп. Ки­бе­р­ата­ки на их си­сте­мы при­во­дят к ши­ро­ко­му рас­про­стра­не­нию вре­до­нос­ных ко­дов, «па­де­нию» сер­ве­ров поль­зо­ва­те­лей и остановке биз­не­сов. Пря­мой эко­но­ми­че­ский ущерб для боль­ших и экс­тре­маль­ных убыт­ков при сред­ней оцен­ке со­став­ля­ет от 4,6 млрд до 53,1 млрд дол­ла­ров, а при пес­си­ми­сти­че­кой оцен­ке — до 121,4 млрд дол­ла­ров. Толь­ко 13-17% всех убыт­ков по­кры­ва­ют­ся стра­хо­ва­ни­ем. При этом Loss Ratio по еди­нич­но­му рис­ку для от­рас­ли может вы­ро­сти с 19% до 250%, ес­ли ис­хо­дить из те­ку­щей оцен­ки за­ра­бо­тан­ных пре­мий.

Вто­рой сце­на­рий смо­де­ли­ро­ван для мас­со­вых атак на уяз­ви­мо­сти про­грамм­но­го обес­пе­че­ния. Ин­фор­ма­цию об уяз­ви­мо­стях пре­ступ­ни­ки мо­гут ку­пить на «чер­ных» ин­тер­нет-ре­сур­сах с це­лью че­рез вре­до­нос­ный код ата­ка­вать уяз­ви­мые струк­ту­ры и по­лу­чить фи­нан­со­вую вы­го­ду. Пря­мой эко­но­ми­че­ский ущерб для боль­ших и экс­тре­маль­ных убыт­ков по оцен­ке со­став­ля­ет от 9,7 млрд до 28,7 млрд. дол­ла­ров, при этом стра­хо­ва­ни­ем по­кры­ты по­ряд­ка 7% убыт­ков.

Важ­но знать, что нет еди­но­го стан­дар­та для стра­хо­ва­ния ки­бер-рис­ков. Син­ди­ка­ты преду­смат­ри­ва­ют ин­ди­ви­ду­аль­ный под­ход к фор­ми­ро­ва­нию усло­вий стра­хо­ва­ния и пе­ре­стра­хо­ва­ния. Од­на­ко об­щие усло­вия груп­пи­ру­ют­ся по сле­ду­ю­щим сек­ци­ям:

1. Data Breach Response Policy яв­ля­ет­ся про­дол­же­ни­ем тра­ди­ци­он­но­го по­ли­са стра­хо­ва­ния от­вет­ствен­но­сти и пре­до-

став­ля­ет сер­вис кли­ен­там по ми­ни­ми­за­ции по­след­ствий взло­ма си­сте­мы, а так­же по­кры­ва­ет рас­хо­ды по уве­дом­ле­нию кли­ен­тов об угро­зе их пер­со­наль­ной и/или пла­теж­ной ин­фор­ма­ции, су­деб­ные раз­би­ра­тель­ства, кре­дит­ный мо­ни­то­ринг поль­зо­ва­те­лей, юри­ди­че­ское со­про­вож­де­ние и рас­хо­ды на обес­пе­че­ние ин­фор­ми­ро­ва­ния об­ще­ствен­но­сти для из­бе­жа­ния нега­тив­ных по­след­ствий в от­но­ше­нии ре­пу­та­ции ком­па­нии-кли­ен­та.

2. Liability сек­ция по­кры­ва­ет убыт­ки по ис­кам тре­тьих лиц и свя­зан­ных с ни­ми рас­хо­дов, вы­зван­ным взло­мом си­сте­мы и по­те­рей дан­ных

3. Regulatory по­кры­тие необ­хо­ди­мо там, где за­ко­но­да­тель­ство стра­ны преду­смат­ри­ва­ет штра­фы и на­ка­за­ние ком­па­ний за недо­ста­точ­ный уро­вень обес­пе­че­ния без­опас­но­сти хра­не­ния пер­со­наль­ных дан­ных. В Укра­ине это нор­ма за­ко­на о за­щи­те пер­со­наль­ных дан­ных. По­кры­ва­ют­ся рас­хо­ды на рас­сле­до­ва­ние со сто­ро­ны го­су­дар­ства и штра­фы.

4. Extortion преду­смат­ри­ва­ет по­кры­тие рас­хо­дов на вос­ста­нов­ле­ние име­ю­щей­ся си­сте­мы и дан­ных по­сле ки­бе­р­ата­ки.

5. Business Interruption по­кры­ва­ет по­те­рю до­хо­да в ре­зуль­та­те вы­нуж­ден­но­го про­стоя ком­па­нии по при­чине вы­хо­да из строя ее IT си­сте­мы. Так­же обес­пе­чи­ва­ет по­мощь в вос­ста­нов­ле­нии дан­ных, се­ти и IT си­сте­мы.

6. Reputational Harm обес­пе­чи­ва­ет ком­пен­са­цию фи­нан­со­вых убыт­ков кли­ен­та, яв­ля­ю­щих­ся след­стви­ем ки­бе­р­ата­ки, из-за по­те­ри кон­трак­тов.

7. PCI DSS Assessments and Fines дей­ству­ет в от­но­ше­нии дан­ных пла­теж­ных карт и по­кры­ва­ет рас­хо­ды в свя­зи с кра­жей дан­ных та­ких карт, ком­пен­си­ру­ет рас­хо­ды на вы­пуск но­вых карт, рас­сле­до­ва­ние в от­но­ше­нии зло­упо­треб­ле­ний с ин­фор­ма­ци­ей пла­теж­ных карт.

Кли­ен­там стра­хо­вых ком­па­ний необ­хо­ди­мо по­ни­мать, что стра­хо­ва­ние ки­бер-рис­ков — толь­ко часть их си­те­мы без­опас­но­сти, поз­во­ля­ю­щей вы­стро­ить бо­лее эф­фек­тив­ную за­щи­ту и не толь­ко ком­пен­си­ро­вать часть убыт­ков, но и по­лу­чить ква­ли­фи­ци­ро­ван­ную по­мощь по вос­ста­нов­ле­нию жиз­не­де­я­тель­но­сти ком­па­нии по­сле ки­бе­р­ата­ки.*

*В ста­тье так­же ис­поль­зо­ва­ны ма­те­ри­а­лы Lloyd’s Emerging Risk Report -2015, Swiss Re sigma No 1/2017

Ди­рек­тор Пред­ста­ви­тель­ства ан­глий­ско­го бро­ке­ра Оук­шотт в Укра­ине

Татьяна БАБ­КО

С Ро­бер­том Д. Ка­пла­ном, автором книг по гео­по­ли­ти­ке, стар­шим со­вет­ни­ком в “Евра­зия груп”

Татьяна Баб­ко, Гре­гор Те­ре­щен­ко (Partner Re), Юрий Ра­ди­о­нов (СК Гло­бал Га­рант), На­деж­да Пыж (СК Дим стра­хо­ва­ние)

Newspapers in Russian

Newspapers from Ukraine

© PressReader. All rights reserved.