Информационное страхование. 
Информационная безопасность

Уже много лет программисты, призывая нас быть бдительными, не перестают твердить: «Либо вас уже взломали, либо вы просто еще не знаете об этом».

В наше время инциденты ИБ — такая же суровая как жизненная реальность, как налоги; как же компании могут улучшить качество управления рисками, связанными с ИБ, и сократить возможные издержки, возникающие в их результате?

Один из возможных вариантов — застраховать свои информационные активы.

Страхование информационных рисков (Cyber Liability Insurance Cover или CLIC, далее СИР) доступно на рынке уже около 10лет, однако, создают впечатление, что большинство ни разу об этом не слышали или вообще не знаю о его существовании.

Это странно, ведь практический каждый хоть раз в течении своей карьеры посещал тренинг о рисках, где наверняка говорилось о том, что перенос риска — это один из вариантов его снижения. Наиболее же распространенный способ переноса риска — это страхование.

Наилучший пример — США, где такие законы действуют в 46 из 50 штатах. В Соединенном Королевстве предстоящий законопроект Общих положений ЕС о защите информации (General Data Protection Regulation или GDPR) также включат в себя обязательное уведомление об инцидентах ИБ, однако масштаб этого нового документа и сроки его утверждения еще не определены.

Регулирование процедуры обязательного уведомления об инцидентах ИБ — это своего рода «двигатель прогресса» в СИР, ведь оповещение потенциальных пострадавших может обходиться компаниям крайне дорого.

По мере того, как расходы на ликвидацию ущерба от инцидентов ИБ растут, возможность СИР будет привлекать все больше компаний аналогично существующему страхованию имущества от пожара, наводнений и кражи, которое на сегодняшний день является неотъемлемой частью инструментария управления рисками. И хотя СИР существует уже порядка 10 лет, многим предлагающим такие услуги страховым компаниям пока не удалось ни одного полиса, поэтому во многих случаях они не могут в полной мере осознать действительно принимаемый на себя риск. Причина зачастую кроется в том, что страховым компаниям и клиентам необходимо больше информации: первым — чтобы анализировать предлагаемые на страхование риски, вторым — чтобы понимать выгоды переноса риска.

С ростом числа инцидентов ИБ и предстоящим изменениями в законодательстве ситуация будет меняться.

ЧТО ТАКОЕ СИР?

Как и приставка «кибер-», служащая для описания широкого спектра относящихся к защите информации инструментов, процессов и служб, термин «страхование информационных рисков» (СИР) часто используется для описания целого ряда страховых покрытий.

На данный момент, СИР включает в себя:

• Ш Возмещение издержек антикризисного управления в результате инцидентов ИБ и нарушений законов о приватности
• Ш Страхование ответственности, связанной с медийными и мультимедийными ресурсами. Покрываемы страховой программой ущерб третьих сторон может включать в себя урон, нанесенный веб-сайту, и нарушение прав интеллектуальной собственности.
• Ш Страхование против вымогательства. Как правило, издержки в случае угрозы вымогательства — это вознаграждение лиц, содействовавших ликвидации проблемы.
• Ш Страхование ответственности за безопасность сети. Например, ущерб, понесенный третьими сторонами в результате отказа в доступе; издержки, относящие к данным о сторонних поставщиках и к краже данных о системах.