Небольшие компании гораздо реже, чем транснациональные корпорации, защищают своих директоров по информационной безопасности (CISO) от личной ответственности за нарушения безопасности, согласно исследованию RSAC. Эксперты, опрошенные CSO, назвали этот вывод тревожным, поскольку без защиты CISO сталкиваются с юридическими и финансовыми рисками, связанными с решениями, принятыми в ходе их работы.
Подавляющее большинство (88%) CISO из компаний из списка Fortune 1000 юридически защищены своими компаниями, но этот показатель снижается до 53% для CISO из организаций с 500 и более сотрудниками, согласно опросу RSAC (ранее RSA Conference).
Страхование директоров и должностных лиц (D&O) является наиболее распространенным инструментом возмещения убытков для обеих групп, и 70% опрошенных CISO из списка Fortune 1000 сообщают, что они покрываются им.
Келли Риттенберри Кулхейн, соучредитель CM Law, заявила CSO, что этот вывод вызывает обеспокоенность как у руководителей службы безопасности, так и у средних работодателей, учитывая, что средние или транснациональные организации сталкиваются с аналогичными рисками.
«Хотя сложность и масштаб операций могут различаться в средних компаниях, риски кибербезопасности — программы-вымогатели, утечки данных, сбои в соблюдении нормативных требований — одинаково серьезны», — говорит Риттенберри Кулхейн. «Без возмещения убытков CISO рискуют личной ответственностью, что может отпугнуть высококвалифицированных специалистов от принятия этих ролей».
В результате средние организации подвергают себя большему риску, не предлагая защиту от личной ответственности главному руководителю по безопасности, которого они нанимают.
Страхование D&O для CISO растет
У CISO есть потенциал для более чем одной «системы безопасности», первой из которых являются положения о возмещении убытков компании — правила, обычно встроенные в учредительный договор и уставы компании.
«Формулировка положений о возмещении убытков компании должна быть правильно составлена — обычно это достигается с помощью генерального юрисконсульта и голосования совета директоров — для обеспечения возмещения убытков CISO наравне с каждым другим директором или должностным лицом компании», — объясняет Джон Петерсон из World Insurance Associates, поставщика страхования ответственности за практику трудоустройства.
Вторая «система безопасности» для CISO — это полис страхования ответственности директоров и должностных лиц (D&O), приобретаемый компанией CISO через страхового брокера. Даже когда у компании есть страхование D&O, Петерсон советует CISO ознакомиться с этими полисами, чтобы убедиться, что они охвачены как «застрахованное лицо».
Согласно последнему отчету CISO Compensation Report от IANS Research + Artico Search, включение CISO в полисы страхования D&O растет.
Более 50% CISO в США и Канаде получили эту страховую льготу в рамках своего компенсационного пакета, согласно изданию исследования 2025 года. Этот показатель вырос с 40%, которые сообщили, что получили такую защиту в прошлогоднем издании CISO Compensation Report.
Каждый пятый CISO также сообщил IANS Research, что у них есть доступ к внешним юристам — обычно для расследований или аудитов.
Вопрос возмещения убытков
Однако Райан Гриффин, руководитель отдела кибербезопасности в США у страхового брокера McGill and Partners, отмечает, что разница между страхованием D&O и прямым соглашением о возмещении убытков часто неправильно понимается.
«Наиболее важным инструментом защиты CISO является соглашение о возмещении убытков с их работодателем», — объясняет Гриффин. «Полис D&O — это то, за счет чего компания платит, чтобы защитить своего должностного лица, но соглашение о возмещении убытков — это то, что фактически юридически гарантирует эту защиту».
Без официального соглашения о возмещении убытков CISO подвергаются большому риску, предупреждает Гриффин.
«Они будут нести ответственность за покрытие собственных расходов на юридическую защиту, вынуждая их полагаться на личные сбережения или личный полис страхования «зонтик», — говорит Гриффин CSO. «Помимо финансовых потерь, их карьера может быть серьезно подорвана».
Гриффин добавляет: «Принудительные действия, даже если они в конечном итоге будут отклонены, могут привести к штрафам, которые запретят им занимать должности должностных лиц в публичных компаниях на годы, что серьезно ограничивает будущие перспективы трудоустройства».
Игра в обвинения
Центральным вопросом также является подотчетность, которая почти всегда ложится на плечи человека, считающегося «ответственным за безопасность», по словам Кенрика Баньялла, президента и соучредителя RB-Cyber Assurance.
«Будь то CISO из компании из списка Fortune 500 или единственный ИТ-директор производственной фирмы со 100 сотрудниками, когда что-то идет не так, кто-то должен за это ответить», — говорит Баньялл, бывший детектив-констебль полиции Торонто.
Разница между транснациональной корпорацией и средней компанией заключается не в уровне риска, а в ресурсах, говорит Баньялл.
В то время как CISO крупных компаний часто имеют доступ к юридическим командам и консультантам по кризисным связям с общественностью, чтобы помочь им защититься, средняя фирма часто имеет одного или двух человек — возможно, больше — выполняющих несколько функций, таких как соблюдение нормативных требований, ИТ и безопасность.
Это может стать проблемой, поскольку «регулирующие органы, клиенты и даже суды не снизят свои ожидания только потому, что компания меньше», — говорит Баньялл.
«Без юридической защиты CISO сталкиваются со значительными личными и профессиональными рисками», — сказал Баньялл. «Их могут обвинить в системных сбоях, находящихся вне их контроля — таких как устаревшие системы, на замену которых никогда не выделялось бюджета, или бизнес-подразделения, которые отказываются внедрять средства контроля безопасности, потому что они «слишком нарушают работу».
Дело SolarWinds продолжает отбрасывать тень
Предъявленный SEC в 2023 году иск против CISO SolarWinds Тимоти Брауна по обвинению в введении инвесторов в заблуждение и неточном сообщении о мерах кибербезопасности поставщика, далеко не единичный случай. Несмотря на то, что окончательное отклонение этого громкого дела сняло непосредственные опасения по поводу того, что многие CISO могут быть привлечены к личной ответственности за инциденты безопасности, проблема далеко не решена.
«Руководители в области кибербезопасности все чаще несут ответственность за нарушения и их устранение», — говорит Риттенберри Кулхейн из CM Law. «Регулирующие органы, акционеры и суды указывают пальцем на CISO в исках — даже когда они действовали добросовестно».
Средние компании, как правило, имеют более ограниченные юридические ресурсы и ресурсы для соблюдения нормативных требований, что делает страхование возмещения убытков еще более важным в качестве потенциальной «системы безопасности» для специалистов по безопасности, работающих в средних фирмах.
«Страхование D&O всегда должно быть получено, но оно не всегда покрывает весь риск», — говорит Риттенберри Кулхейн.
Риттенберри Кулхейн, бывший генеральный юрисконсульт, ныне адвокат, чья практика специализируется на консультировании корпораций по управлению рисками и страхованию, предложил CISO контрольный список лучших практик:
- Подтвердите покрытие CISO в вашем полисе D&O
- Просмотрите лимиты полиса и исключения для кибер-претензий
- Рассмотрите возможность заключения дополнительных соглашений о возмещении убытков для CISO и руководителей службы безопасности
- Согласуйте положения о возмещении убытков с политикой реагирования на инциденты и раскрытия информации
Более подробную информацию см. в статье «Навигация по личной ответственности: рекомендации для CISO после утечки данных».
Структуры управления нуждаются в пересмотре
Роль CISO развивалась быстрее, чем защищающие ее структуры управления, по словам Баньялла из RB-Cyber Assurance.
«Теперь мы просим руководителей службы безопасности быть отчасти стратегом, отчасти технологом, отчасти специалистом по реагированию на кризисы и отчасти козлом отпущения», — говорит Баньялл. «Пока организации, особенно средние, не осознают этого и не создадут соответствующие юридические и договорные гарантии, мы будем продолжать видеть, как талантливые лидеры колеблются, принимая эти роли, в результате чего организации любого размера не получают необходимого им руководства в области технологий и информационной безопасности».
«CISO не просто защищает сеть — он защищает репутацию бизнеса, его доверие и его будущее», — добавляет Баньялл. «Эта ответственность заслуживает защиты».
Автор – John Leyden
