Сталкиваясь с постоянно растущими киберугрозами, предприятия все чаще обращаются к киберстрахованию, чтобы смягчить потенциально серьезный финансовый ущерб от успешной атаки. К сожалению, киберстрахование сопряжено с собственными рисками, особенно для руководителей служб кибербезопасности, которые склонны уделять больше внимания развивающимся угрозам, чем мелким шрифтам в страховых полисах.
Шэрон Полски, президент Канадского совета по конфиденциальности и доступу, организации, занимающейся развитием доступа к информации, конфиденциальности информации и профессии защиты данных, отмечает, что несколько распространенных упущений и лазеек в киберстраховании могут привести к чувству самоуспокоенности, которое может ограничить или даже свести на нет предполагаемые преимущества полиса.
Рискует ли ваше предприятие своим финансовым фундаментом, имея полис киберстрахования, который содержит потенциально разрушительные скрытые ловушки? Проверьте свой полис — и свои предположения о нем — на наличие этих шести распространенных «подводных камней» киберстрахования.
1. Предположение, что киберстрахование покрывает все риски
В действительности, многие страховые полисы предлагают узкие определения, скрытые исключения или строгие условия, которые могут оставить организации без защиты после взлома. «Это не похоже на полис автогражданской ответственности, где каждый полис обеспечивает одинаковое покрытие», — говорит Уильям Дж. Линдсей III, основатель страхового брокера Tri Pack Insurance Services. «В случае кибер-ответственности условия будут отличаться от одного страхового полиса к другому».
Прежде чем заключать договор с конкретным страховщиком, Линдсей рекомендует проконсультироваться с юристом, имеющим опыт работы с договорами киберстрахования. «Полис — это юридический документ со сложными определениями», — отмечает он. «Юрист может отметить двусмысленные термины, скрытые исключения или обязательства, которые могут вызвать споры во время подачи претензии», — говорит Линдсей. «После покупки полиса и наступления убытка никакие изменения не могут быть внесены для заполнения пробела в покрытии».
2. Неправильная интерпретация мелкого шрифта о покрытии, перерывах или угрозах
Неудивительно, но важно помнить, что язык, содержащийся в политиках кибербезопасности, обычно благоприятствует страховщику, а не застрахованному.
«Предприятия часто неправильно интерпретируют язык со своей точки зрения и упускают из виду риски, которые создает сам язык полиса», — предупреждает Полски. «Например, покрытие перерывов в бизнесе, которое ограничено перерывами, вызванными “системными сбоями”, может исключать киберинциденты, такие как программы-вымогатели». Между тем, «покрытие угроз» может относиться только к угрозам, известным на момент выдачи полиса, оставляя новые типы угроз, которые возникают в течение срока действия покрытия, незастрахованными.
«Проблема в том, что терминология, используемая в страховых полисах, такая как “угрозы”, часто не определяется, в результате чего застрахованное предприятие должно предполагать, что их собственная интерпретация термина и подразумевается», — объясняет Полски. «К сожалению, наличие или отсутствие запятой или определения — это предмет судебных разбирательств».
3. Игнорирование скрытых ограничений на конкретные типы убытков
Вы можете полагать, что ваш полис покроет все убытки от кибератак, однако взгляд на мелкий шрифт может показать, что он изобилует исключениями и гарантиями, которые невозможно реально выполнить, особенно в таких областях, как социальная инженерия, программы-вымогатели и перерывы в бизнесе.
Полис со скрытыми ограничениями создает ложное чувство безопасности, говорит Макс Купланд, генеральный директор Insuranceopedia, сервиса, который позволяет пользователям сравнивать страховые котировки. Вы планируете бюджет на полное киберпокрытие, затем претензия отклоняется или значительно сокращается, потому что убыток подпадает под сублимит — ограничение, наложенное на полис, которое уменьшает сумму покрытия, доступную для конкретного типа убытка, объясняет он.
Чтобы предотвратить скрытые ограничения, Купланд советует провести настольное упражнение как со своим брокером, так и с командой безопасности. «Для каждого сценария спросите: “Есть ли у нас покрытие? В каком объеме? Есть ли какие-либо исключения, которые могут быть задействованы?”» Затем преобразуйте окончательный документ в одностраничный контрольный список покрытия, прежде чем заключать договор страхования.
4. Несоответствие вашей стратегии безопасности мелкому шрифту в полисе
Если ваша безопасность не соответствует стандартам полиса — и это включает в себя такие вещи, как многофакторная аутентификация, регулярное резервное копирование и обнаружение конечных точек — ваша претензия может быть отклонена полностью, предупреждает Мэтт Майо, президент и генеральный директор поставщика управляемых услуг Diamond IT.
Многие предприятия считают, что они полностью защищены, однако, когда они подают претензию, страховщик указывает на мелкий шрифт о мерах безопасности, о которых вы не знали, что они требуются, говорит Майо. «Теперь вы застряли с затратами на очистку, судебными издержками и потенциальными судебными исками — и все это без поддержки вашего страхового провайдера».
Лучший способ избежать этой ловушки — это привести свою позицию в области кибербезопасности в точное соответствие с требованиями, изложенными в полисе. «Это означает проверку вашего покрытия до того, как произойдет инцидент», — говорит Майо. Также рассмотрите возможность использования знающего консультанта, который может помочь внедрить и задокументировать необходимые меры контроля.
5. Попадание в ловушку ретроактивной даты
Пункт о ретроактивной дате может стать самой большой ловушкой киберстрахования, предупреждает Пол Пиоселли, основатель и генеральный директор фирмы, предоставляющей услуги в области кибербезопасности, Solace. «Этот пункт аннулирует покрытие любого инцидента, который начался до даты начала действия полиса, даже если он обнаружен месяцами позже. Учитывая, что хакеры могут оставаться незамеченными в сети в течение 200 дней в среднем, эта лазейка может в некоторых случаях сделать совершенно новый полис бесполезным», — говорит он.
Пиоселли говорит, что, когда это возможно, следует требовать полного покрытия предыдущих действий. «Это полностью устраняет ретроактивную дату», — заявляет он. «Если страховщик отказывается, договоритесь о переносе даты как можно дальше назад — в идеале, до даты основания вашей компании».
Когда это возможно, Пиоселли советует провести комплексную оценку рисков кибербезопасности перед покупкой полиса. «Вы должны сначала понять свои конкретные уязвимости и потенциальное финансовое воздействие, а затем купить полис с лимитами и покрытиями, которые соответствуют этой реальности».
6. Непонимание покрытия первой стороной против покрытия третьей стороной
Пожалуй, самая большая ошибка, которую может совершить соискатель страховки, — это непонимание разницы между покрытием первой стороной и покрытием третьей стороной и, следовательно, неспособность приобрести полис, который включает оба, говорит Дилан Тейт, представитель страховой маркетинговой фирмы Smart Financial.
Киберстрахование первой стороной относится к покрытию прямых убытков и расходов бизнеса после кибератаки, таких как упущенная выгода, поддержка связей с общественностью и затраты, связанные с восстановлением потерянных данных. Между тем, киберстрахование третьей стороной — это страхование ответственности, которое может вступить в силу для предотвращения судебного иска или покрытия расходов, связанных с иском клиентов, пострадавших от утечки данных. Оно также может покрывать авансовые платежи потребителям, урегулирования или штрафы, а также убытки, назначенные судьей.
Если полис киберстрахования предприятия не включает в себя покрытие как первой, так и третьей стороной, ваша организация может быть недостаточно застрахована, что потенциально приведет к значительным — и ненужным — собственным затратам, в зависимости от типов убытков, которые они понесут в случае киберпреступления, объясняет Тейт.
Многие полисы киберстрахования автоматически включают в себя покрытие как первой, так и третьей стороной, но некоторые страховые компании предлагают их только по отдельности, предупреждает Тейт. «The Hartford, например, продает несколько продуктов киберстрахования, некоторые из которых объединяют оба типа покрытия, а некоторые из которых включают только один или другой, что может сбивать с толку покупателей корпоративного страхования».
Задавать вопросы — лучший способ убедиться, что полис киберстрахования отвечает всем вашим потребностям в покрытии перед его покупкой, советует Тейт. Обсуждение известных рисков кибербезопасности и потенциальных сценариев претензий может помочь предприятию получить более полное представление о том, как данная компания, занимающаяся киберстрахованием, может поддержать их в случае кибератаки. «Хотя это может быть утомительно, может быть полезно заранее провести исчерпывающие беседы, чтобы избежать неожиданных собственных затрат позже в случае претензии», — говорит он.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
7/8
Автор – John Edwards
