Mnoge kompanije misle da će ih cyber osiguranje zaštititi od finansijskih gubitaka nakon napada. Međutim, mnoge police osiguranja imaju praznine. Neki zahtjevi budu odbijeni, dok drugi pokrivaju manje troškove nego što se očekuje. Direktorima za informacionu sigurnost (CISO) je ključno da razumiju rizike prije nego što dođe do napada.
Zablude o cyber osiguranju
Mit: Osiguranje će pokriti sve troškove nakon proboja.
Stvarnost: Police često isključuju ključne troškove. Neke ne pokrivaju isplate za ransomware, dok druge ograničavaju isplate za poslovni prekid.
Mit: Ako ispunjavamo sigurnosne standarde, naš zahtjev će biti prihvaćen.
Stvarnost: Osiguravajuće kompanije procjenjuju sigurnost u trenutku napada. Ako pronađu slabe tačke, mogu odbiti zahtjev.
Mit: Napadi država su pokriveni.
Stvarnost: Mnoge police ih klasifikuju kao “ratne činove”, što znači da nema isplate.
Matthew Rosenquist, CISO u Mercury Risk and Compliance, upozorava da je cyber osiguranje koristan alat, ali često pogrešno shvaćen. Previše organizacija „griješi vjerujući da osiguranje može biti efikasna zamjena ili centralni dio strategije upravljanja cyber rizicima,“ rekao je. U stvarnosti, osiguranje ne sprječava proboje ili ransomware napade – ono samo djelimično pokriva finansijske gubitke u ekstremnim slučajevima.
„Osiguranje je mehanizam za prenos rizika, a ne za njegovo smanjenje,“ objašnjava Rosenquist. Ono ne smanjuje vjerovatnoću incidenata, ali može ublažiti finansijski udar ako do njih dođe. S obzirom da troškovi cyber napada mogu dostći milione ili čak milijarde dolara, imati policu osiguranja može donijeti „vrijednu sigurnost“.
Međutim, osiguranje nije univerzalno rješenje. Police često dolaze s ograničenjima, visokim premijama i strogim sigurnosnim zahtjevima. „Osiguravači detaljno analiziraju sigurnosne mjere, postavljaju stroge zahtjeve i mogu odbiti zahtjeve ako nisu ispunjene odgovarajuće kontrole,“ rekao je. Mnoge police takođe uključuju isključenja i praznine u pokriću koje dodatno komplikuju odluku.
Kada se koristi na pravi način, cyber osiguranje ima pomoćnu ulogu, a ne primarnu. „Ono treba da nadopunjuje zaštitne mjere koje su usmjerene na izbjegavanje i minimiziranje gubitaka,“ rekao je Rosenquist, ističući da treba da bude sigurnosna mreža, a ne prva linija odbrane. „Cyber osiguranje može pružiti značajno finansijsko olakšanje, ali nikada ne bi trebalo biti prvi ili jedini sloj zaštite.“
Zašto se zahtjevi odbijaju
- Isključenja iz polise: Mnoge police ne pokrivaju napade uzrokovane slabom sigurnošću, greškama zaposlenika ili lošim backup procedurama.
- Ratni činovi: Napadi od strane stranih vlada često nisu pokriveni.
- Nejasni uslovi: Neke police koriste neprecizan jezik, što može otežati razumijevanje pokrića.
Veliki dio troškova cyber napada dolazi od pravnih troškova pregovora između pravnih timova.
„Svake godine, NetDiligence Cyber Claims Study pokazuje da značajan dio isplata od osiguranja ne ide na tehnički oporavak, već na pravne odgovornosti,“ kaže Chris Cronin, glavni konsultant i partner u Halock Security Labs. „To osiguravačima govori da njihovi osiguranici predstavljaju veliki pravni rizik u njihovom portfoliju.“
Ove pravne odgovornosti često proizilaze iz sporova o tome da li je organizacija koja je pretrpjela napad primijenila razumne mjere cyber sigurnosti. Cronin objašnjava: „Odštetni troškovi obično su rezultat pregovora između advokata – regulatora s jedne strane i advokata osiguranika s druge strane, koji se raspravljaju o ‘razumnosti’ sigurnosnih mjera.“
Zbog toga proaktivno upravljanje rizicima postaje ključna prednost. „Ako vaša kompanija upravlja rizicima na razuman način, pobjeđujete u toj debati prije nego što uopšte počne,“ rekao je Cronin. „A to vas čini manjim rizikom za vašeg osiguravača.“
Regulatori i pravnici sve više usvajaju radnu definiciju „razumne cyber sigurnosti“, koja se temelji na testu ravnoteže: procjeni troškova zaštite u odnosu na rizike za javnost. „Ne radi se o beskonačnom trošenju na sigurnost,“ objašnjava Cronin. „Radi se o dokazivanju da su vaše investicije proporcionalne rizicima koje predstavljate ljudima izvan vaše organizacije – kao što su kupci ili šira javnost.“
Ova promjena omogućava osiguravačima i osiguranicima praktičan okvir za smanjenje cyber rizika. „Ako vaša analiza rizika pokazuje tu ravnotežu, imate jak argument za razumnost, a vaši pravni troškovi se smanjuju,“ kaže Cronin.
Za osiguravače, to je također efikasan način za procjenu rizika klijenata. „Osiguravači samo trebaju pitati koji od njihovih osiguranika vode cyber sigurnosne programe koristeći principe prepoznate u prethodnim slučajevima proboja – poput Duty of Care Risk Analysis (DoCRA),“ Cronin dodaje. „To je efikasan test za razlikovanje osiguranika visokog i niskog rizika.“
Kako CISO može osigurati pokriće
- Saradnja s pravnim i timovima za upravljanje rizicima – osigurati da su police usklađene s realnim sigurnosnim praksama.
- Ispuniti i premašiti sigurnosne standarde osiguravača – koristiti snažne sigurnosne alate i dokazati dobru sigurnosnu praksu.
- Voditi detaljnu evidenciju o sigurnosnim mjerama – dokumentovati sigurnosne aktivnosti kako bi se dokazala usklađenost pri podnošenju zahtjeva.
- Pregovarati o boljim uslovima – neki CISO-i su uspjeli postići jasnije uslove i bolje pokriće kroz pregovore s osiguravačima.
„Ako to već nisu učinili, IT pružatelji usluga trebali bi ulagati u razvoj Compliance-as-a-Service modela, ne samo da bi stvorili dodatni izvor prihoda, već i kako bi izgradili status pouzdanog savjetnika,“ kaže John Pagliuca, predsjednik i CEO kompanije N-able.
Cyber osiguranje nije zaštitna mreža. CISO-i ga moraju tretirati kao dio šire strategije upravljanja rizicima. Pažljivo čitanje uslova polise, unapređenje sigurnosti i pregovaranje o boljim uslovima može pomoći kompanijama da izbjegnu skupe probleme.
Izvor:Help Net Security
