Рискът по отношение на киберсигурността в организациите става все по-труден за количествено определяне (снимка: CC0 Public Domain)
Броят на организациите, които няма да могат да си позволят киберзастраховка, или ще се окажат с недостатъчно покритие, или изобщо ще им бъде отказана полица, изглежда ще се удвои през следващите 12 до 18 месеца в много от страните, в които подобен вид договори вече са честа практика. Причината е комбинацията от по-строги глобални регулации и увеличаващите се обеми на заплахите.
Организациите вече няма да могат да разчитат на полици за киберзастраховки като „вълшебна пръчица“ в случай на сериозен инцидент, предупреди австралийската компания-специалист по управление на риска и наблюдение Huntsman Security.
Наскоро въведените и предстоящите регулаторни промени, като новите закони на ЕС, ревизиите на кибер-рамката на NIST, както и по-строгите изисквания на съответните местни регулатори в областта на финансите и на информационните системи означават, че рискът става все по-труден за количествено определяне.
По-сложно става и доказването на регулаторното съответствие. То се превръща във все по-взискателна работа, казва изпълнителният директор на Huntsman Петер Уолакот.
„Фактори като кризата във веригата за доставки, инфлацията и недостигът на умения допринасят за трудностите пред организациите, които се опитват да изпълнят стратегията си за киберсигурност. В същото време увеличенията на застрахователните премии, ограниченията на покритието, нарастващата строгост на застраховането и лимитите за капацитета правят киберзастраховането недостъпно за мнозина“, коментира Уолакот.
Според него, все по-трудният достъп до застраховки, заедно с нарастващите киберзаплахи и затягането на регулациите води до това, че много организации губят киберзастраховането като важен инструмент за управление на риска. „Дори тези, които все още могат да получат застраховка, плащат непосилно високи разходи“, казва Уолакот.
В много от страните от Западна Европа, САЩ и Австралия фирмите страдат от някакъв вид кибератака всяка седмица. Затова киберзастраховането се е превърнало в критичен елемент от цялостните им стратегии за управление на риска.
Вярно, застрахователите се стремят да подобрят качеството на информацията за риска, така че премиите да могат по-добре да отразяват истинската цена на риска. Но ако организациите не могат да докажат, че разполагат със специфични контроли за управление на споменатия риск, застрахователите ще продължат да имат затруднения при количественото му определяне.
Следователно, според анализаторската фирма, застрахователите променят основата, на която предлагат полиците си. Така те се стремят да отразяват по-точно поетия риск. В подобна среда подобряването и демонстрирането на ефективността на контрола върху сигурността ще станат още по-важно за организациите, които искат най-добрият шанс да получат подходяща полица.
Подобни контроли естествено ще варират при различните политики, но е вероятно да включват внедряване на многофакторно удостоверяване, защита на крайните точки, ограничени администраторски права, стриктно прилагане на пачове, осведоменост и обучение на персонала, редовно архивиране и тествана устойчивост на бизнеса наред с добро планиране за възстановяване след авария.
Въпросното прекалибриране също така е много вероятно да се съсредоточи и върху риска от трети страни. Той произтича от веригите за доставки, казва Уолакот. „Организациите трябва не само да защитават себе си. Нужно е и да поемат отговорност и да гарантират, че техните доставчици, партньори и заинтересовани страни правят същото“.
„Най-подходящият начин да постигнете това е да следвате най-добрите практики за управление на риска, за да сте уверени, че вашата организация използва ефективни контроли за сигурност за бързо идентифициране и управление на всеки възникващ кибер-риск. Това ще даде на бизнеса най-добрия шанс за идентифициране на потенциални слаби места в киберсигурността. Ако се случи най-лошото, все пак фирмите ще могат да се възползват от рентабилна киберзастрахователна полица, която финансира дейности по ограничаване и възстановяване“, пояснява специалистът.
Ако би могло да се правят изводи на база други направления в застраховането, казва Хънтсман, подходящото управление на риска и контролът ще накарат застрахователите да подобрят своите модели за ценообразуване. Те ще се стремят да възнаграждават онези, които са положили усилия, с по-благоприятни цени.