КЛЮЧЕВЫЕ ВЫВОДЫ ВВОДНАЯ ЧАСТЬВЫЗОВЫ ВРЕМЕНИ: ПРИЧИНЫ И СЛЕДСТВИЯ Как кибер-атаки могут нанести физический урон? «Герой» десятилетия В безопасности ли системы SCADA (system control and data acquisition) Ущерб данным Впервые обнаруженные уникальные вирусы Облачные технологии и IOT (интернет вещей) КТО АТАКУЕТ? ПОРТРЕТ ТИПИЧНОЙ АТАКИ Кого атакуют? ЗАКОНОДАТЕЛЬСТВО ЧТО ДЕЛАТЬ ПРИ УБЫТКЕ?КАК ЗАЩИТИТЬ СЕБЯ?СТРАХОВАНИЕ Текущее состояние рынка страхования от кибер рисков в России Трудности страхования Описание страхового продукта Какова процедура андеррайтинга и заключения договора страхования? Семь раз отмерь… Примеры убытков

46791011111314161720222324242525262728

СОДЕРЖАНИЕ

TIM

ELIN

EРОССИЯ

РАСПРОСТРАНЕНИЕ ВИРУСА WANACRYPT0R 2.0

ВИРУСНАЯ АТАКА НА БАНКОМАТЫ

МАСШТАБНАЯ АТАКА НА TOП10 РОССИЙСКИХ БАНКОВ

КИБЕРВЫМОГАТЕЛЬСТВО У «БАНКА САНКТПЕТЕРБУРГ»

УТЕЧКА ПЕРСОНАЛЬНЫХ ДАННЫХ И SMS УОПЕРАТОРА «МЕГАФОН

12 МАЯ 2017

МАРТ 2017

ДЕКАБРЬ 2016

ИЮЛЬ 2015

2011

3

КЛЮЧЕВЫЕ МОМЕНТЫ1

2

3

4

5

Самым критичным последствием для организаций, кто столкнулся с потерей данных,является возможная потеря бизнеса. После инцидента компании вынужденыпредпринимать меры для сохранения доверия клиентов и уменьшения возможныхубытков в долгосрочной перспективе.

Большинство инцидентов вызвано преступными или злонамеренными атаками.Такие инциденты требуют наибольшее количество времени для обнаруженияи нейтрализации. Как результат, по ним самые высокие убытки в пересчете на однупотерянную запись. В 2016 году для бизнеса средняя стоимость одной украденнойзаписи вылилась в $158 убытка. И эта величина имеет тенденцию к росту, так нашиспециалисты считают, что уже через пару лет размер убытка достигнет $200-300на одну запись. Ущерб от кибер-атак может распространяться на сами данныеи противоправные действия с ними в дальнейшем, так и причинить физический уронсистемам и оборудованию и вызвать остановку деятельности агрегата или всегобизнес-процесса.

Риск Business Interruption (BI), убытков вследствие перерыва в деятельности, составляет60% выплат на сегодняшний день в классическом страховании. Таким образом, акцентпри принятии решения о способах снижения убытков следует сместить в эту сторону.

Существует прямая зависимость между скоростью обнаружения и нейтрализацииутечки и стоимостью урегулирования. С каждым годом такие расходы растут,что говорит о необходимости инвестиций в технологии защиты данных и развитиявнутренней экспертизы для сокращения времени реагирования и обнаружения утечки.

Усовершенствования политик контроля данных, планы реагирования на инциденты,назначение CISO (Chief Information Security Officer), программы обучения и повышенияквалификации сотрудников и стратегия управления непрерывностью бизнеса (businesscontinuity) по-прежнему являются действенными методами экономии затрат.

потенциального ущерба – вот итог работыкиберпреступников за прошлый год.

2 000 000 000

280 ТРЛН.

ЗАПИСЕЙ

ДОЛЛАРОВ

4

Превентивные меры по организации безопасности данных по-прежнему являются самымлогичным и действенным инструментом снижения вероятности и возможного ущерба откибер атак.

Для снижения убытков после инцидента применяется страхование. И пусть текущий спросроссийского потребителя почти на нуле, директора Mainsgroup уверены в скором слометренда и активном росте спроса на кибер-страхование. По нашим оценкам к 2025 году рынокдостигнет 1 млрд страховых премий. Этому есть множество предпосылок.

Прогноз. Рынок страхования кибер-рисковРоссии 2016-2025 (руб, AGR%)

1 200 000 000

1 000 000 000

800 000 000

600 000 000

400 000 000

200 000 000

0

140%

120%

100%

80%

60%

40%

20%0%

2016 2017 2018 2019 2020 2021 2022 2023 2024 2025

Страховая премия AGR

5

ВВОДНАЯ ЧАСТЬКак часто ваши данные и системы подвергались атаке? Вы уверены, что очередное сообщениеот банка или сервисных служб – это не попытка взлома? Насколько вы и ваша компанияадаптировались к новым реалиям цифрового мира?По сообщениям ФСБ на российские информресурсы в 2016 году было совершено более 70 млнатак, что почти в 3 раза превысило аналогичный показатель за 2015 год.

Group-IB, Фонд развития интернет-инициатив и компания Microsoft выяснили, что в 2015 годуущерб экономике России от киберпреступности составил 203,3 миллиарда рублей или 0,25%от ВВП. 92% крупных коммерческих компаний, госструктур, а также предприятий малогои среднего бизнеса столкнулись с кибератаками разной степени сложности.По итогам 2016 года Россия заняла второе место в мире по числу известных случаев утечек.В исследуемый период было зарегистрировано 213 случаев утечки конфиденциальнойинформации из российских коммерческих и государственных организаций. Число«российских» утечек по сравнению с данными 2015 года выросло на 80%. (источник: Infowatch)

Крупным компаниям ликвидация одного хакерского нападения обходится в 11 миллионоврублей, средним и малым - в 1,6 миллиона. Такие данные приводятся в исследовании Allianz,и делается вывод, что 67 процентов отечественных компаний не готовы к кибератакам.

На международном уровне масштабы утечек и, как следствие, сопутствующих финансовыхпотерь поистине огромны — по данным компании FireEye, только на участников однойхакерской группировки FIN6 пришлась компрометация 20 млн кредитных карт, что принеслохакерам более 400 млн долл. США.

ОБЪЕМ ПОТЕРЬ ОТ УТЕЧКИ ДАННЫХ ЗА ЧЕТЫРЕ ГОДА ВЫРОС ПОЧТИНА 30 ПРОЦЕНТОВ, ДОСТИГНУВ 4 МИЛЛИОНОВ ДОЛЛАРОВ НА ОДИН ИНЦИДЕНТ. ТАКИЕ ДАННЫЕ ПРИВОДИТ IBM SECURITY.

По оценке ФСБ, мировой ущерб от хакерских атак, совершенных за последние годы,составляет от $300 млрд до $1 трлн. По словам замначальника Центра информационнойбезопасности ФСБ России Николая Мурашова, это соответствует от 0,4 до 1,5% мирового ВВП.

«И эти показатели имеют тенденцию к неуклонному росту», — подчеркнул он.Несмотря на наличие огромного количества информации и предупреждений, многиекомпании остаются совершенно незащищенными, когда дело касается кибер-рисков.Относительно небольшое количество компаний включило вопросы кибер безопасностикак критичные в повестке риск-менеджмента. Вероятно такая ситуация вскоре поменяется,и этому во многом будет способствовать изменение законодательства.

6

7

ВЫЗОВЫ ВРЕМЕНИ:ПРИЧИНЫ И СЛЕДСТВИЯДля любого предприятия и малого, и крупного кибер-угроза опасна двумя категориямипоследствий: во-первых, это возможный физический ущерб оборудованию или продукциии остановка производства вследствие сбоя. Во-вторых, это потеря информации и, как следствие,ущерб репутационный и финансовый.

В современном мире риски, связанные с IT– это уже вопрос гораздо шире компетенцийIT- департамента компании. Сегодня каждый сотрудник – это и объект потенциальной угрозыи первичный рубеж защиты информационного поля компании. Неизбирательный характератаки WannaCry показывает, что каждый может быть объектом, независимо от своего рода дея-тельности или организации. Поэтому первична работа с сотрудниками, их обучение и повышение уровня сознательности.

Мы переживаем эру расцвета цифровых технологий, с каждым годом все больше услуги продуктов подвергаются автоматизации или создаются в цифровом мире с нуля. Сегодняпрактически все новые вещи, что нас окружают, имеют встроенные компьютеризированныефункции и выход в интернет. То же касается автоматизации процессов при покупкеи пользовании услугами или организации работы крупного предприятия.По результатам ежегодного исследования Allianz Risk Barometer, которое проводится средидиректоров и риск-менеджеров крупных предприятий о наиболее опасных рисках, что онивидят для развития и работы своих предприятий, уже третий год подряд кибер-рискиподнимаются по рейтингу и в 2017 году в Европейском регионе – куда входит Россия – заняливторую строчку сразу после риска перерыва в деятельности.

Данная статистика красноречиво свидетельствует о том, что развитие технологий помимоположительного эффекта на бизнес процессы является одним из ключевых страхов дляуправленцев.

ТОП 10 Бизнес-рисковпо регионам в 2017 г.:Европа

1 35% 1 (53%)

2017 2016 Тренд

Перерыв в бизнес-деятельности (включая перерывыв цепочке поставок)

2 32% 3 (40%)Кибер-инциденты (кибер-пре-ступность, поломка IT-системы, кража данных итд.)

3 32% 2 (52%)Развитие рынков (нестабиль-ность, повышенная конкуренция, новые игроки, поглощения и слияния, стагнация рынка, коле-бания рынка)

4 28% 4 (39%)Изменения в правовом поле (смена правительства,экономические санкции,протекционизм итд.)

5 23% 5 (31%)Макроэкономическое развитие (программы жесткой экономии, рост цен на товары, дефляция, инфляция)

6 21% 6 (31%)Природные катастрофы (шторм, наводнение, землетрясение итд)

7 16% 10 (17%)Политические риски (война, терроризм, итд)

8 15% 8 (22%)Пожар, взрыв

9 12% 7 (29%)Потеря репутации/ценности бренда

10 12% 9 (19%)Новые технологии (повышенная взаимозависимость, нанотехно-логии, искусственный интеллект, 3D-принтеры, дроны итд)

Источник: Allianz Global Corporate & Specialty на основании проведенного опроса (516 опрошенных)

8

ТОП 10 Бизнес-рисковпо регионам в 2017 г.:Россия

1 52% 1 (54%)

2017 2016 Тренд

Изменения в правовом поле (смена правительства, экономическиесанкции, протекционизм итд.)

2 37% 3 (39%)Макроэкономическое развитие (программы жесткой экономии, рост цен на товары, дефляция, инфляция)

3 33% 6 (21%)Перерыв в бизнес-деятельности (включая перерывы в цепочке поставок)

4 26% 2 (50%)Развитие рынков (нестабиль-ность, повышенная конкуренция, новые игроки, поглощения и слияния, стагнация рынка, коле-бания рынка)

5 22% 5 (25%)Пожар, взрыв

6 19% 9 (7%)Человеческие ошибки

7 19% 7 (14%)Политические риски (война, терроризм, итд)

8 19% 3 (39%)Кража, мошенничество, коррупция

9 11% 9 (7%)Природные катастрофы (шторм, наводнение, землетрясение итд)

10 7% 8 (11%)Кибер-инциденты (кибер-пре-ступность, поломка IT-системы, кража данных итд.)

ВЫЗОВЫ ВРЕМЕНИ:ПРИЧИНЫ И СЛЕДСТВИЯ

Источник: Allianz Global Corporate & Specialty на основании проведенного опроса (516 опрошенных)

КАК КИБЕРАТАКИ МОГУТ НАНЕСТИФИЗИЧЕСКИЙ УРОН?

При словах кибер-риски или кибер-атаки чаще всего в голове появляются ассоциации с кражей или порчей виртуальных данных. К сожалению, такой сценарий далеко не единственный и зачастую кибер-инцидент опасен последствиями физического урона.Вот лишь несколько примеров того, как атака на компьютерную систему может явиться причиной физиче-ского повреждения:

СПУФИНГ (SPOOFING) отправка ложных данных на датчикКогда датчик или сенсор выполняет критичную роль для безопасного функционирования системы, ложные данные с датчика могут обмануть систему управления, вызывая потенциально опасные действия. Примером могут служить показания термостата, которые обычно предотвращают перегрев агрегато. Путем подмены показаний термостата система может быть принудительно перегрета, а процессы остановлены. Другие примеры включают ложную интерпретации GPS, электронных карт или маяков, которые направляют нави-гационные системы самолетов, автомобилей, и, по сути, любого объекта, зависимого от геолокации. От-правка ложных данных может привести к потере объекта и даже более трагическим последствиям.

ГИСТЕРЕЗИС (HYSTERESIS) принуждение к циклическому поведениюКак только злоумышленник получает контроль над системой, например, на каком-либо предприятии, вред может быть вызван запуском и остановкой систем быстрыми циклами. Это приводит к износу оборудова-ния, повреждению подшипников, перегреву, взрыву электрических предохранителей и потенциальной петле обратной связи. Наиболее явным примером такого инцидента служат испытания 2007 года, проводи-мые Национальной Лабораторией Айдахо. В результате эксперимента было выявлено, что кибер-атакана генератор электроэнергии 2,25 мегаватт (МВт) может нанести физический ущерб устройству. Уязвимость в программном обеспечении генератора была названа «Аврора». Эта уязвимость не только может нанести ущерб генератору и окружающим зданиям от огня, но также и длительное отключение питания, которое может вызвать значительные перерывы в деятельности предприятия.

ОТКЛЮЧЕНИЕ (DISCONNECTION) остановка функции устройстваПростое прерывание подключения физической системы к системе управления может быть достаточным, чтобы вызвать ее повреждение или полный выход из строя. Наиболее яркое следствие такого отказа систе-мы – это остановка целого процесса, что может вызвать большие финансовые потери, а иногда и вовсе тре-бовать замену целых агрегатов, не предназначенных для простоя. В качестве примера можно привести отключение системы управления зданием с помощью DoS-атаки. Не имея возможности подключитьсяк Интернету, не удалось запустить систему отопления для многоквартирного дома.

ПРИВОДЫ (ACTUATORS) Управление физическими компонентамиПриводы открывают и закрывают клапаны, блокируют и разблокируют двери, управляют руками робота, меняют высоту элеронов, приводят ускорители автомобилей, применяют тормоза и управляют многими другими процессами. Пульт дистанционного управления рабочими механизмами потенциально является источником убытков либо ввиду остановки их работы, либо из-за перевода их работы в небезопасный режим. Например, кибер-атаки могут открыть клапаны и управляемые насосы для злонамеренного спуска воды, сточных вод и газоснабжения. Существует очевидный потенциал для преднамеренных аварий, возни-кающих в транспортных системах, производстве, промышленных процессах и других системах, где приводы с дистанционным управлением являются неотъемлемой частью операционного процесса. Промышленные и производственные системы, как правило, имеют алгоритмы безопасности и отказоустойчивые механиз-мы, но они далеко не всегда разработаны против злонамеренных действий, и отдельные хакеры нашлиспособы проникнуть даже в хорошо продуманные системы безопасности.

9

100%

«ГЕРОЙ» ДЕСЯТИЛЕТИЯ

STUXNET по сути, первый в истории вирус, способный причинять вред не только данными программному коду, но реальный физический ущерб машинам и оборудованию. В Иране, напри-мер, червь привел к выходу из строя большого количества центрифуг, используемых для обогаще-ния урана. Изначально червь целился на систему PLC (контроллеров) Simatic производства Siemens. Для нас,в России, это означает, что, например, вирус может легко вывести из строя сверхскоростные поезда «Сапсан», которые полностью построены на системах Simatiс.

В 2013 году иранские хакеры получили доступ в дамбе в 20 милях от Нью Йорка. Есть мнение, что эта атака и ряд последующих атак на американские банки были ответами на вирус Stuxnet (The Telegraph). Хотя Физического урона дамбе не было нанесено, атака демонстрирует уязвимость национальной критической инфраструктуры. И хотя принято считать, что американский рынок один из наиболее продвинутых с точки зрения распространения систем IT-безопасности, даже Национальное Агентство Безопасности (NSA) не справилось с атакой .

Сапожник без сапог13 августа 2016 года группа хакеров, известная как ShadowBrokers, предложила на аукцион за Биткоины зашифрованный архив, который содержал набор инструментов кибер-хакера. Все бы ничего, но этот инструментарий был захвачен у т.н. Equation Group – элитного подразделения кибер-хакеров Националь-ной Службы Безопасности США, United States National Security Agency (NSA).Если эти инструменты действительно были получены из NSA, то ShadowBrokers либо взломали NSAи украли инструментарий, либо инсайдер NSA слил данные. В октябре 2016 года появилось очередной сообщение от ShadowBrokers, что аукцион был отменен, а в сеть просочилось еще 300 файлов IP-адресов, предположительно раскрывающих таргетинг и маршрутизацию NSA.

Выброшенная в сеть часть архива содержала 15 эксплойтов, 13 имплантатов и 11 инструментов, в первую очередь несколько «нулевых» эксплойтов для проникновения в отраслевые брандмауэры, такие как Cisco ASA, Fortinet FortiGate и Juniper SRX, а также другие инструменты для проникновения в корпоративные сети. Размещение таких инструментов в публичном доступе означает, что любые недобросовестные хакеры могут использовать их для доступа к сетям многих компаний, работающих с данными брандмауэрами.Разработчики брандмауэра и фирмы, занимающиеся безопасностью, потратили несколько недель,чтобы выпустить патчи для обновления систем безопасности и принять меры против этих эксплойтов.

Есть лигарантия защиты?

НЕТ10

В БЕЗОПАСНОСТИ ЛИ СИСТЕМЫ SCADA(SYSTEM CONTROL AND DATA ACQUISITION)

УЩЕРБ ДАННЫМ

Не стоит заблуждаться насчет систем SCADA, они хоть и не предназначены для постоянного доступав интернет, но имеют связь с другими устройствами. На некоторых предприятиях связь осуществляется посредством второй сетевой карты на АРМе для дистанционного контроля и сбора статистики, на других – GSM-модемом для удаленной техподдержки или диспетчеризации и т.д. В некоторых случаях АСУ ТПи ERP-система предприятия вообще бывает «в одном флаконе»… Способов выхода во внешний мир много, и это непринципиально… главное – сам факт: многие промышленные сети связаны с сетями общего доступа на постоянной или временной основе. (По мнению Павла Волобуева из Digital Security)

Примером уязвимости систем SCADA может служить Кибер-атака на электрическую сеть Украины.23 декабря 2015 года три региональных энергораспределительных предприятия в Украине сообщилиоб отключениях в обслуживании примерно 225 000 клиентов. Отключения были вызваны внешними злоу-мышленниками, которые внедряли вредоносное ПО посредством фишинговой атаки, получая доступ к компьютерам компаний и дистанционно управляя системам промышленного контроля для отключения силовых выключателей подстанции, общего отключения питания. По меньшей мере 30 подстанций на 110 кВ и 35 кВ были отключены в течение трех часов. Сотрудники правительства Украины обвинили россий-ские службы безопасности в инциденте.

Событие выявило потенциал для возможных кибер-атак и уязвимость национальной критической инфра-структуры. Схожая угроза серьезно воспринимается западными правительствами и национальными агент-ствами по кибербезопасности во всем мире.

Следователи рассматривают еще одну подозрительную кибер-атаку на системы SCADA сети подстанций 330 кВ в Киеве, что вызвало 75-минутное отключение питания в северной части Киева в декабре 2016 года, в один из наиболее холодных месяцев в стране.

Одной из актуальных проблем для владельцев данных является то, что они часто не имеют контроля над тем, куда их данные действительно попадают. Поставщики услуг управляют данными, и многие из этих поставщиков используют субподрядчиков для выполнения определенных задач. Это реальность взаимосвя-занного мира, в котором мы живем: данные хранятся в разных местах, находящихся вне контроля и досягае-мости для владельца данных. Методы преступников аналогичны, независимо от того, где происходит взлом данных. Целями таких кибератак часто являются компании, которые хранят большие объемы данных для себя или для третьих сторон.

Наиболее частые кражи данных включают в себя личную информацию, такую как имена, адреса, номера кредитных карт и счетов, номера полисов медицинского страхования, PIN-коды, номера социальногострахования и другую финансовую информацию большого числа лиц.

Мотивы Хакера могут быть разнообразными: шуточными, политическими, религиозными или, чащевсего - финансовыми.

11

ЦЕНЫ НА УСЛУГИ НА ЧЕРНОМ РЫНКЕ

ЗАЧЕМ ХАКЕРУ ВАШИ ДАННЫЕ? НАПРИМЕР, ЧТОБЫ ПРОДАТЬ ИХ

ПЛАТЕЖНЫЕ КАРТЫ

Одна карта

Одна карта со всеми данными (Fullz)

Скидывание магнитной полосы 1&2 PIN

$0,5-$30

$20-$60

$60-$100

СЕРВИСЫ

Сервис медиа потоков

Аккаунты бонусных программ отелей (100К баллов)

Аккаунт бонусных миль авиакомпании (10К миль)

Аккаунты в такси с депозитом

Подарочные online сертификаты

Подарочные сертификаты в ресторан

Авиабилеты и брони в отелях

DDoS сервис – менее 1 часа, средняя цель

DDoS сервис – более 24 часов средние и сложные цели

Выделенный защищённый хостинг (в месяц)

$0.10-$10

$10-$20

$5-$35

$0.5-$1

20%-60% от реальной цены

20%-40% от реальной цены

10% от реальной цены

$5-$20

$10-$1000

$100-$200

ВИРУСЫ

Базовый троян с поддержкой

Крадущий пароли троян

Банковский троян на андроиде

Генератор Макросов

Вирус-шифрователь

Комплект для вымогательства

$100

$25-$100

$200

$5

$20-$40

$10-$1800

12

13

ЦЕНЫ НА УСЛУГИНА ЧЕРНОМ РЫНКЕ

ВПЕРВЫЕ ОБНАРУЖЕННЫЕУНИКАЛЬНЫЕ ВИРУСЫ

СЕРВИСЫ ПО ПЕРЕВОДУ СРЕДСТВ

АККАУНТ

ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Обналичивание

Банковский онлайн аккаунт

Ритейловый аккаунт

Аккаунт в облачном сервисе

Индивидуальность (имя, дата рождения,номер соцстраховки)

Сканы паспорта и других документов

10%-20%

0.5%-10% от баланса счета

$20-$50

$6-$10

$0.1-$1.5

$1-$3

В период с 2015 по 2016 год был замечен значительный рост (0,5%)в количестве впервые обнаруженных уникальных вирусов.

По данным Symantec

274m 355m 357m

2014 2015 2016

ОБЛАЧНЫЕ ТЕХНОЛОГИИ И IOT(ИНТЕРНЕТ ВЕЩЕЙ)

ПРИМЕРЫ НЕДАВНИХ ОТКЛЮЧЕНИЙОБЛАЧНЫХ СЕРВИСОВ

Широкое распространение облачных решений еще больше усложняет проблему кибербезопасности.Отсутствие прозрачности является проблемой в децентрализованной среде, поскольку фирмы сталкивают-ся с вопросом, какие облачные сервисы используются, кто несет ответственность и как поставщик обеспе-чивает сохранность данных. Облачные системы также уязвимы для новых типов вредоносных программ, которые могут искать виртуальные среды для заражения. Приложения для обмена файлами даже с сильны-ми стандартами безопасности подвержены взлому, поскольку пользователи могут непреднамеренно сами являться причиной высокой подверженности атакам, например, путем использования общих паролей.

IoT (интернет вещей) и облачные технологии - потенциальные жертвы киберпреступников. Стремление перевести все устройства в online зачастую заставляет оставить мысли о безопасности на потом. Это было очевидно на примере CloudPets: плюшевых медведей, подключенных к Интернету. «CloudPets» от Spiral Toys - это мягкие игрушки, которые позволяют детям и их родителям обмениваться записанными сообщени-ями через Интернет. Однако исследователь Трой Хант обнаружил, что компания хранит данные о клиентах в незащищенном MongoDB, который легко обнаружить в Интернете. Это раскрыло более 800 000 учетных данных клиентов, включая электронные письма и пароли, и более 2 миллионов записанных сообщений. Хант сказал, что даже несмотря на то, что учетные данные были защищены с использованием безопасной функции кэширования bcrypt, большое количество паролей было достаточно слабым, чтобы можно былоих расшифровать.

Этот случай иллюстрирует, как комбинация IoT и облака может подвергать риску данные клиентов. Многие устройства IoT собирают персональные данные и полагаются на облачные сервисы для хранения этих данных в онлайн хранилищах. Если эти базы данных не защищены должным образом, конфиденциальность и безопасность клиентов подвергаются риску.

По данным SAP и Forester рынок облачных сервисов в России вырастет до 50 млрд. рублей к 2020 году. Средний прирост рынка 21%

ОТКЛЮЧЕНИЯ ПЛАТФОРМ (IAAS) ДАТА

Web-сервис Amazon (AWS) – 5-ти часовое отключение

Web-сервис Amazon (AWS) – 5-ти часовое отключение

Отключение облачного сервиса Google: вычислительныйдвигатель повсеместно отключился на 18 минут. В качествекомпенсации пользователям вернули по 10-25% отих месячного счета

Отключение приложений

Microsoft Office 365 – отключился на несколько дней

Yahoo Mail не был доступен в течение нескольких дней

Отключение Облака SaaS

Охранная система, основанная на облачном сервисеSymantec отключилась на 24 часа

Февраль 2017

Сентябрь 2015

Апрель 2016

Январь 2016

Декабрь 2013

Апрель 2016

14

ПРИВОДЫ (ACTUATORS) Управление физическими компонентамиПриводы открывают и закрывают клапаны, блокируют и разблокируют двери, управляют руками робота, меняют высоту элеронов, приводят ускорители автомобилей, применяют тормоза и управляют многими другими процессами. Пульт дистанционного управления рабочими механизмами потенциально является источником убытков либо ввиду остановки их работы, либо из-за перевода их работы в небезопасный режим. Например, кибер-атаки могут открыть клапаны и управляемые насосы для злонамеренного спуска воды, сточных вод и газоснабжения. Существует очевидный потенциал для преднамеренных аварий, возни-кающих в транспортных системах, производстве, промышленных процессах и других системах, где приводы с дистанционным управлением являются неотъемлемой частью операционного процесса. Промышленные и производственные системы, как правило, имеют алгоритмы безопасности и отказоустойчивые механиз-мы, но они далеко не всегда разработаны против злонамеренных действий, и отдельные хакеры нашлиспособы проникнуть даже в хорошо продуманные системы безопасности.

По данным Symantec компании в среднем используют 928 облачных сервисов. Хотя CIO думают, что только 30-40.

Массовая киберпреступность остается сильной, несмотря на усилия по борьбе с ней. Атакующие адаптиро-вали свои методы распространения вредоносных программ. В частности, использование JavaScript-загруз-чиков и вредоносных загрузчиков макросов в файлах Office было широко распространено и составляло более 7 миллионов попыток заражения в 2016 году. Хотя общее число краж данных оставалось неизменным по сравнению с 2015 годом, количество похищенных личных данных значительно увеличилось. В 2016 году было похищено почти 1,1 миллиарда личных данных, и эта цифра значительно увеличилось с 563,8 миллио-нов, похищенных в 2015 году. В 2016 году было выявлено почти 100 миллионов ботов, что на семь процентов больше, чем в 2015 году.

СРЕДНЕЕ КОЛИЧЕСТВО ОБЛАЧНЫХ ПРИЛОЖЕНИЙ, ИСПОЛЬЗУЕМЫХОДНОЙ ОРГАНИЗАЦИЕЙ. ПРОЦЕНТ ДАННЫХ В ОБЩЕМ ДОСТУПЕ

ВРЕМЯ НЕОБХОДИМОЕ ДЛЯВЗЛОМА УСТРОЙСТВА IOT(ИНТЕРНЕТА ВЕЩЕЙ)

774

25% 23% 25%

JUNEDEC2015 2016 2016

JANJUN JULDEC

841 928

МИНУТЫ2

15

КТО АТАКУЕТ? ПОРТРЕТ ТИПИЧНОЙ АТАКИ

РАСПРЕДЕЛЕНИЕ УТЕЧЕК ПО ВЕКТОРУ ВОЗДЕЙСТВИЯ, 2016 Г РАСПРЕДЕЛЕНИЕ УТЕЧЕК ПО ИСТОЧНИКУ, 2016 Г

По данным Infowatch В 2016 году было зарегистрировано 540 (38,2%) утечек информации, причиной кото-рых стал внешний злоумышленник. В 873 (61,8%) случаях утечка информации произошла вследствие дей-ствий внутреннего нарушителя .

В 2016 году в 36% случаев виновниками утечек информации были действующие (33,9%) или бывшие (2,1%) сотрудники организаций. Более чем в 2% случаев была зафиксирована вина руководителей (топ-менед-жмент, главы департаментов и отделов) и системных администраторов. Доля утечек, случившихся на сторо-не подрядчиков, чей персонал имел легитимный доступ к охраняемой информации, составила 6% .

Внешние атаки

38,2%

61,8%

Внутренний нарушитель Руководитель Системныйадминистратор

Сострудник Бывшийсострудник

Подрядчик Внешнийзлоумышленник

33,9%

55,4%

0,4%2,2%

2,1%

6,1%

16

КОГО АТАКУЮТ?В распределении утечек по регионам в 2016 году традиционно первую позицию по количеству заняли США (838 случаев или 57% от всех произошедших). Россия вновь оказалась на уже привычном втором месте. При этом в 2016 году на долю России пришлось 213 случаев компрометации данных — почти в два раза больше, чем годом ранее.

РАСПРЕДЕЛЕНИЕ УТЕЧЕК ПО СТРАНАМ, 2016 Г

США

РОССИЯ

ВЕЛИКОБРИТАНИЯ

КАНАДА

УКРАИНА

ГЕРМАНИЯ

АВСТРАЛИЯ

ИНДИЯ

ЯПОНИЯ

КИТАЙ

ИРЛАНДИЯ

100 200 300 400 500 600 700 800 900

17

КОЛИЧЕСТВО ИНЦИДЕНТОВ ПО ОТРАСЛЯМ

Услуги – это самая подверженная актам отрасль в мире согласно данным Symantec за 2016 год. На этот сектор приходится 45% всехинцидентов. За ним следует Финансы, Страхование и Недвижимость с долей в 22%. Глядя на более детальную разбивку по категориям предприятий, мы увидим, что услуги в финансовом секторе лидируют по количествуслучаев кибер-атак, за ними сразу следуют медицинские услуги. В обоих секторах персональная и связанная с конкертной личностью информация является очень чувствительной и вызывает немало интереса у злоумышленников

ТОП10 ОТРАСЛЕЙ ПО КОЛИЧЕСТВУИНЦИДЕНТОВ В 2016

ТОП10 ПОДОТРАСЛЕЙ ПО КОЛИЧЕСТВУИНЦИДЕНТОВ В 2016

1 452 44.2Services

Rank Breaches %Industry

2 226 22.1Finance, Incurance & Real Estate

3 116 11.3Manufacturing

4 84 8.2Retail Trade

5 75 7.3Transportation & Public utilities

6 32 3.1Wholesale trade

7 20 2.0Construction

8 8 0.8Mining

9 6 0.6Public Administration

10 3 0.3Nonclassifiable Establishment

1 248 24.2Business Services

2 115 11.2Health Services

3 71 6.9Depository institutions

4 62 6.1Nondepository institutions

5 42 4.1Comminications

6 41 4.0Insurance Carriers

7 38 3.7Engineering&Management Services

8 34 3.3Miscellaneous Retail

9 25 2.4Wholesale Trade-Durable Goods

10 23 2.2Holding&Other Investment Offices

Rank Breaches %Industry

18

19

Топ-10 отраслей и подотраслей, разбитых по количеству похищенных записей, в значительной степени отражают приведенные выше цифры. Так на сферу услуг приходится 90% украденных записей и лидирует в этой категории – услуги для бизнеса.

ДАННЫЕ ПО СТРАНАМСоединенные Штаты занимают лидирующую позицию в рейтинге по количеству инцидентов и укра-денных записей. И это неудивительно.США имеют большую численность населения, повсеместно применяют высокие технологии и имеют большое количество компаний, базирующихся там. В США также существуют строгие законодательные требования по поводу нарушения данных и раскрытия информации о них. В странах с более простыми или отсутствием законодательных требований статистика по нарушению данных часто занижается.

Глядя на объем украденных в США данных нужно держать в голове тот факт, что 90% записей были укра-дены всего в восьми крупнейших взломах данных.Аналогичным образом, в России за большую часть выявленных нарушений отвечали два крупных инци-дента. Оба произошли с Mail.Ru. Одно нарушение выявило 57 миллионов адресов электронной почты,а во втором - 25 миллионов учетных записей пользователей на онлайн-форуме были скомпрометированы.

ТОП10 ОТРАСЛЕЙ ПО КОЛИЧЕСТВ УКРАДЕННЫХ ЗАПИСЕЙ В 2016

ТОП10 ПОДОТРАСЛЕЙ ПО КОЛИЧЕСТВУУКРАДЕННЫХ ЗАПИСЕЙ В 2016

1 914,382,512 90.1Services

Rank Identities %Industry

2 56,782,089 5.6Manufacturing

3 13,173,167 1.3Retail trade

4 9,758,832 1.0Mining

5 7,963,470 0.8Construction

6 6,243,712 0.6Transportation&Public Utilities

7 3,554,225 0.4Finance,insurance&real estate

8 2,051,635 0.2Wholesale Trade

9 1,198,971 0.1Public Administration

10 685 0.1Nonclassifiable Establishment

1 786,918,569 77.5Business Services

Rank %Industry

2 85,200,000 8.4Moution Pictures

3 49,299,205 4.9Printing&Publishing

4 27,001,398 2.7Personal Services

5 10,694,512 1.1Miscellaneous Retail

6 9,746,241 1.0Coal Mining

7 8,216,181 0.8Engineering&Management Services

8 7,932,817 0.8Special Trade Contractors

9 6,838,017 0,7Health Services

10 5,304,054 0,5Communications

Identities

КОЛИЧЕСТВО УКРАДЕННЫХ ЗАПИСЕЙПО СТРАНАМ В 2016

1 791,820,040United States

Rank Country

2 85,312,000France

3 83,500,000Russia

4 72,016,746Canada

5 30,000,051Taiwan

6 11,344,346China

7 10,394,341South Korea

8 8,301,658Japan

9 6,595,756Netherlands

10 6,084,276Sweden

Identities

ЗАКОНОДАТЕЛЬСТВОИсторически Европа и США всегда были наиболее «продвинуты» с точки зрения законодатель-ства в области защиты персональных данных. В настоящее время Европа сталкивается с серьезны-ми изменениями в законе о конфиденциальности данных GDPR (General data protection regulation), который вступит в силу 25 мая 2018 года. GDPR применяется напрямую и заменит все существующие национальные законы о защите данных в государствах-членах ЕС. Еще одна часть недавнего законодательства ЕС - это Директива по сетевой и информационной безопасности (NISD), принятая 6 июля 2016 года. NISD является «директивой» и поэтому требует, чтобы стра-ны-члены ЕС внесли соответствующие изменения в свои национальные законы, в течение 21 месяца с момента его принятия, то есть до мая 2018 года.

В Европе, за исключением определенных отраслей (например, телекоммуникационных компа-ний), в настоящее время отсутствует обязанность сообщать о нарушении безопасности данных. Это может объяснить, почему в Европе значительно меньше зарегистрированных случаев наруше-ния безопасности данных в сравнении с США. Но меньшее количество зарегистрированных слу-чаев не обязательно означает, что нарушения регулярно не встречаются в Европе.

GDPR уполномочивает регулирующие органы взимать штрафы в размере до 4% годового оборота компании, чье хранилище было взломано, или 20 миллионов евро, в зависимости от того, что больше. В соответствии с новым Положением о защите данных общего пользования Европейского союза (ЕС), которое вступит в силу в 2018 году, европейские компании столкнутся со значитель-ными штрафами, если они не смогут защитить данные. Фирмы также должны иметь возможность удалить часть или все данные пользователя из своих систем, если эти данные больше не актуаль-ны или не необходимы, что может быть затруднительно, если данные фрагментированы в разных организациях и / или существует ограниченная видимость информации, хранящейся на внешних ресурсах.

Важный момент, который относится в том числе к Российским компаниям: GDPR фокусируется на защите персональных данных везде, где бы они ни хранились. Это относится ко всем, кто хранит или обрабатывает данные европейских субъектов, включая обработку данных, реализуемую за пределами ЕС, в том числе в России. Соответственно, ожидается, что GDPR будет оказывать самое непосредственное влияние на будущие нарушения данных. Поэтому в этой публикации мы фоку-сируемся на влиянии этого нового законодательства, которое в основном ожидается в области требований к уведомлениям и нормативных штрафах.

В России законодательство в области данных пока сосредоточено в Законе «О персональных данных» №152-ФЗ от 27.07.2006 года, Законе «Об Информации, технологиях и защите информа-ции» №149-ФЗ, Постановлении Правительства «Положения об обеспечении безопасности пер-сональных данных» №781, 687, 211, Указах Президента «Об утверждении перечня конфиденци-альной информации» №188, «О мерах по обеспечению информационной безопасности» №351,а также статьях УК РФ (№159.6, 272, 273, 274) и КоАП РФ.

20

47 государственных законов + множественные предложения по внедрению новых законов на рассмотрении в конгрессе

На данный момент очень ограниченные обязатель-ства, вытекающие из национальных законов

Оповещение обязательно, но с учетом важных исключений (см. таблицу на стр.6.)

Оповещение не обязательно

Нет обязательств по закону, однако ожидается внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону, однако ожидается внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону, однако ожидается внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону

Нет обязательств по закону, однако ожидается внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону, однако ожидается внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону, однако ожида-ется внедрение разумных мер управления по смягчению последствий

Нет обязательств по закону

Требуется несколькими государственными законами – чаще всего предлагается 1-2 года бесплатного мониторинга

Кредитный мониторинг в стиле США запрещен в континентальной Европе, но разрешен в Соединен-ном Королевстве

Кредитный мониторинг в стиле США запрещен в континентальной Европе, но разрешен в Соединенном Королевстве

Нет обязательств по закону

Рассчитываются компаниями, выпускающими кредитные карты и, в конечном итоге, накладываются на взломанную компанию

Рассчитываются компаниями, выпускающими кредитные карты и, в конечном итоге, накладывают-ся на взломанную компанию

Рассчитываются компаниями, выпускающими кредитные карты и, в конечном итоге, наклады-ваются на взломанную компанию

Рассчитываются компаниями, выпускающими кредитные карты и, в конечном итоге, накла-дываются на взломанную компанию

Индивидуальные и коллективные иски. Движется к признанию исков от пострадавших без подтверждения понесенных материальных потерь

Индивидуальные иски, исключая коллективные иски в американском стиле, на территории ЕС. Ограничения в коллективных исках потребителей в некоторых странах.Соединенное Королевство: разрешена подача иска за эмоциональный стресс

Индивидуальные иски, исключая коллективные иски в американском стиле, на территории ЕС. Допускаются иски за материальный и нематери-альный ущерб. Ограничения в коллективных исках потребителей в некоторых странах.

Индивидуальные иски. Допускаются иски за материальный и нематериальный ущерб.

47 государственных законов + несколько федеральных законов На данный момент только на основании националь-ных законов

До 2% от годового оборота но не менее 10 млн. Евро. (возможно до 4% и 20 млн. Евро при нарушении основных принципов Акта о защите персональных данных)

За обработку персональных данных в случаях, не предусмотренных законода-тельством в области персональных данных, либо обработку персональных данных, несовместимую с целями сбора персональных данных, если эти действия не содержат уголовно наказуемого деяния (повлечет предупреждение или наложение штрафа на граждан в размере от 1000 рублей до 3000 рублей, на должностных лиц - от 5000 рублей до 10000 рублей, на юридических лиц - от 30000 рублей до 50000 рублей.Нарушение правил эксплуатации средств хранения, обработки или передачи охраняемой компьютерной информации либо информационно-телекоммуника-ционных сетей и оконечного оборудования, а также правил доступа к информа-ционно-телекоммуникационным сетям, повлекшее уничтожение, блокирование, модификацию либо копирование компьютерной информации, причинившее крупный ущерб, -наказывается штрафом в размере до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо ограничением свободы на срок до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

ОПОВЕЩЕНИЕ

РАССЛЕДОВАНИЕ

СВЯЗИС ОБЩЕСТВЕННОСТЬЮ

КРЕДИТНЫЙМОНИТОРИНГ

РЕГУЛЯТИВНЫЕШТРАФЫ

КОНТРАКТНЫЕШТРАФЫ

ОТВЕТСТВЕННОСТЬПЕРЕД ТРЕТЬИМ

ЛИЦАМИ:ГРАЖДАНСКИЕ

ИСКИ

США ЕС СЕЙЧАС ЕС В 2018 РОССИЯ

21

ЧТО ДЕЛАТЬ ПРИ УБЫТКЕ?Очень важно при инцидентах, связанных с потерей или порчей данных, быстро обнаружить и ликвидиро-вать источник атаки. Эксперты IBM в своем исследовании вывели закономерность, которая явно свидетель-ствует о прямой зависимости между временем на расследование и суммой ущерба.Время для выявления и ликвидации взлома данных напрямую влияет на размер ущерба.Для оценки эффективности систем противодействия и минимизации ущерба при кибер-атаках использу-ются показатели Среднего Времени для Обнаружения (СВО) и Среднего Время для Ликвидации (СВЛ). Первый параметр помогает организациям понять время, необходимое для обнаружения инцидента, а второй – измеряет время, которое требуется для разрешения ситуации и полного восстановления работы систем.На рисунке приведены данные о среднем времени для обнаружения и среднем времени для ликвидации взлома. В своем исследовании IBM опросили 383 компании в 12 странах и выяснили, что предприятиям требуется около 201 дня для выявления инцидента. При этом разброс параметров колеблется в коридоре от 20 до 569 дней. А среднее время на ликвидацию составляет 70 дней (при коридоре от 11 до 126 дней).

Что означают эти цифры на практике? Как было отмечено выше, есть прямая зависимость между временем реакции на кибер-инцидент и финансовыми потерями, которые несет организация. Так была выявлена линейная зависимость для времени обнаружения инцидента: неспособность быстро выявить утечку данных или конфиденциальной информации приводит к более высоким затратам и необходимости наличия плана реагирования на инциденты. Если СВО составляло менее 100 дней, средняя стоимость мероприятий по обнаружению составляла 3,23 млн. USD. Если СВО превышало 100 дней, средняя стоимость составила 4,38 миллиона USD.

ОТНОШЕНИЕ МЕЖДУ СРЕДНИМ ВРЕМЕНЕМИ СРЕДНИМ РАЗМЕРОМ ЗАТРАТ НА ОБНАРУЖЕНИЕ

201

$3.23 млн$4.38 млн

70

250

200

150

100

0

$5.00

$3.00

$1.00

Среднее время сдерживанияСреднее время обнаружения

22

Что же касается систем безопасности, то безупречной защиты не существует, и компании, занимаю-щиеся безопасностью, всегда чаще реагируют на новую атаку, а не проактивно предотвращают ее.

Однако есть способы существенно снизить опасность заражения системы. Что же для этого нужно:

Для оценки качества защиты и получения конкретных рекомендаций полезно обратиться к специа-лизированным компаниям, которые проведут полную диагностику, найдут слабые места и посоветуют инструменты и меры снижения уязвимостей.

Итак, мы выяснили, что превентивные меры важны, но не дают 100% гарантии, именно поэтому важно подумать о минимизации возможного ущерба, если все же атаку не удалось остановить. Для таких случаев есть продукты страхования кибер-рисков, о которых мы подробнее поговорим в следующем разделе данного Исследования.

ТОЛЬКО КОМПЛЕКСНЫЙ ПОДХОД СПОСОБЕН ПОДГОТОВИТЬ ЛЮБУЮ КОМПАНИЮ К ВЫЗОВАМ СОВРЕМЕННОСТИ

ПРЕДПОЛАГАЕМЫЙ РАЗМЕР ЗАТРАТНА УРЕГУЛИРОВАНИЕ ВЫБРАННЫХ КИБЕРИНЦИДЕНТОВ

По данным экспертов Лаборатории Касперского, на ликвидацию последствий одного инцидента, связанного с нарушением информационной безопасности, крупные россий-ские компании тратят 11 млн руб. , а средний и малый бизнес — 1,6 млн руб.

Не менее интересен «информационный эффект», связанный с внешними утечками. Любая крупная утечка требует от пострадавшей организации публичной реакции. Далеко не всегда пресс-службам организаций удается с честью решить эту задачу. Иногда утечка выступает поводом для отставки руководителей организации, государственных служа-щих.

Утечка одного единственного документа может поставить под угрозу сам факт существо-вания или смысл деятельности организации. Как правило, виновниками таких утечек становятся представители высшего руководства организации и иные привилегированные пользователи. Отметим, что как раз доля утечек информации по вине последних в 2016 году существенно выросла.

КАК ЗАЩИТИТЬ СЕБЯ?

Взлом данных

Компрометированныесистемы

Нарушениеконфиденциальности

Незаконноепроникновение

602 5.87 572

36 9.17 100

234 10.14 750

49 19.99 710

Всего 921 7.84 750

Тип инцидента Количествоинцидентов

Средний размер затрат (USD в млн.)

Максимальный размер затрат (USD в млн.)

Регулярно делать копии файлов, хранящихся на серверах и устройствах;

Постоянно обновлять ПО систем безопасности на любых устройствах, включая мобильные;

Регулярно обновлять операционную систему компьютера, такие обновления включают патчи с последними обнаруженными уязвимостями системы, которые могут быть использованы злоумыш ленниками;

Важно удалять подозрительные электронные письма, особенно те, что содержат ссылки или вложе ния;

Убедиться, что используемые пароли действительно уникальны и сложны и не повторяются с другими устройствами, а также регулярно обновляются.

23

СТРАХОВАНИЕ

Некоторые эксперты считают, что страхование кибер-рисков пока мало популярно. Если перед руководством компании стоит выбор, потратить бюджет на улучшение систем безопасности или страховое покрытие, выбирают, как правило первый вариант.

Осведомленность о кибер рисках в Европе остается намного ниже, чем в США. Согласно опросу, проведенному Swiss Re в сотрудничестве с IBM в 2016 году, 39% корпораций, опрошен-ных в Северной Америке, планируют купить страхование от кибер рисков, в то время, как только 27% европейских корпораций имеют такие планы. Пока всего 12% информации в гло-бальном масштабе защищены страхованием, еще многое предстоит улучшить, чтобы сделать наше «информационное общество» более устойчивым. Опрос специалистов по вопросам без-опасности показал, что только четверть фирм используют подробные количественные модели оценки кибер риска, в то время как 60% компаний в континентальной Европе никогда не оце-нивали возможные финансовые последствия и сценарии кибернетических атак.

Зная, что ИТ-безопасность - это ахиллесова пята компаний, которые обрабатывают и хранят личные данные, совету директоров рекомендуется делать кибербезопасность приоритетной темой в своей повестке дня и регулярно пересматривать их страховое покрытие по рискам Cyber и D&O (ответственность директоров и должностных лиц).

В США рынок кибер-страхования существует уже больше десяти лет. Основные игроки — Allianz, Lloyd’s, AIG, Chubb и пр. По оценкам PwC, одна треть американских компаний уже приобрела такие страховки, к 2020 году этот рынок достигнет $7,5 млрд.

С 2012 года на Российском рынке международные страховые компании начали предлагать адаптированные к Российской действительности продукты по страхованию кибер рисков, основанные на международных вордингах (правилах страхования). Одновременно с этим начал формироваться первый спрос на данный продукт среди дочерних предприятий международных компаний, расположенных в России. В 2017 году Национальная перестраховочная компания обратила внимание на данный страховой продукт и собрала рабочую группу, посвященную вопросам развития страхования кибер рисков в России. В состав рабочей группы вошли крупнейшие игроки российского страхового рынка: Ингосстрах, Allianz, АльфаСтрахование, AIG, а также представители страховых брокеров.

Существует мнение, что покупка полиса страхования кибер рисков должна стать обязательной, по крайней мере для возмещения убытков в части ответственности перед третьими лицами и для некоторых ключевых отраслей, которые подвергаются высокому риску нападений, такие как: компании финансового сектора и авиакомпании. Эта точка зрения отражается в данных опроса Swiss Re более чем 75% респондентов стра-ховщиков и не связанных со страхованием компаний. Сторонники обязательного покрытия утверждают, что это побудило бы фирмы вкладывать средства в кибербезопасность. В то же время противники этой точки зрения подчеркивают, что применение такого режима, если это вообще возможно, будет административно обременительным. Кроме того, некоторые опасаются, что это создаст моральный риск, а компании будут полагаться на страхование вместо того, чтобы инвестировать в повышение безопасности.

ТЕКУЩЕЕ СОСТОЯНИЕ РЫНКА СТРАХОВАНИЯОТ КИБЕР РИСКОВ В РОССИИ

24

ТРУДНОСТИ СТРАХОВАНИЯ

Одной из сложностей для развития страхования кибер рисков в России является ограниченная информация о фактических и предполагаемых убытках. Отсутствуют исторические данные о кибер-инцидентах, из которых можно экстраполировать информацию о будущих убытках (частота наступления убытков, включая неудачные атаки, их масштаб). Компании могут даже не знать, когда на них нападают, не говоря уже о систематическом сборе данных о причиненном ущербе. Эта ситуация усугу-бляется отсутствием общепринятой структуры для сбора информации о кибер-ин-цидентах. Кибер-угрозы не так легко идентифицировать, как физические угрозы, так как кибер преступления гораздо проще спрятать. Корпорации могут неохотно публиковать информацию об атаках из-за нежелания признавать ошибки в безопас-ности, потенциального репутационного влияния на будущие продажи, а также неже-лания привлекать новые атаки.

Другой сложностью является возможная кумуляция риска. Кибер риски часто очень взаимозависимы: одна скомпрометированная система может повысить уязвимость других систем в рамках одной компании. Для крупных международных компаний инциденты в области кибербезопасности могут открыть все программное обеспече-ние, IT-системы и инфраструктуру для атаки. Кроме того, обычно существует моно-культура IT: многие организации склонны использовать аналогичное программное обеспечение, программы безопасности и другую компьютерную инфраструктуру. В результате успешная атака на одну компанию подразумевает, что другие становятся уязвимыми для одной и той же атаки.

Характер кибер риска означает, что одно кибер событие может инициировать мно-жественные претензии в соответствии с различными договорами страхования (на-пример, репутационный риск, материальный ущерб, профессиональная ответствен-ность, а также ответственность директоров и должностных лиц). Одно и то же собы-тие может также служить причиной множественных претензий от нескольких клиен-тов по различным договорам страхования, распространяющимся на разные геогра-фические регионы. Взаимосвязь ИТ-систем означает, что кибер-инциденты могут покрываться несколькими страховыми продуктами и независимыми друг от друга договорами страхования в цепочном механизме, аналогичном покрытию CBI (Contingent Business Interruption* ).

*Покрытие перерывов в производстве на собственном предприятии по причине остановки пред-приятий контрагентов вниз и вверх по цепи поставок

Чаще всего покрытие по полису страхования кибер рисков состоит из трех основных секций:

СЕКЦИЯ I Ответственность перед третьими лицами за утрату данных и/илиинформацииПо данной секции возможно возмещение финансового вреда третьему лицу, чьиданные компания хранила в своей системе, но по причине неосторожности иликибератаки у нее произошла утечка данных или нарушение конфиденциальностихранимой информации.

СЕКЦИЯ II Прямой ущерб компании от перерыва в производстве и других событийПо данной секции осуществляется возмещение прямых убытков компании отперерыва в производственной деятельности, который вызван полной иличастичной недоступностью компьютерной системы. Такая недоступность можетбыть вызвана кибератакой, а в некоторых случаях даже техническим сбоем иличеловеческой ошибкой.Также некоторые полисы включают в себя покрытие убытков от кибервымогательства.

СЕКЦИЯ III Возмещение различных расходов, связанных с кибер рисками.По данной секции компания может получить возмещение расходов, связанных стребованиями по стандартам безопасности данных индустрии платежных карт PCIDSS;возмещение расходов на перевыпуск скомпрометированных платежных карт, атакже на мониторинг транзакций по счетам пострадавших субъектов данных итретьих лиц;возмещение расходов на реагирование в кризисных ситуациях: расходы наорганизацию колл-центра, расходы на антикризисный PR, расходы науведомление пострадавших и ряд других расходов.

ОПИСАНИЕ СТРАХОВОГО ПРОДУКТА25

от перерывов в производстве, если в компании не происходило полной иличастичной недоступности компьютерной системы, например, просто проис-ходит утечкаданных;

от перерывов в производстве, если произошло отключение электричества,интернета, спутникового или иного телекоммуникационного оборудования, котороенаходится вне зоны контроля предприятия (представляется стороннимиорганизациями); от перерывов в производстве, если в компьютерной системе используетсянелицензионное программное обеспечение;

причиненные имуществу, жизни и здоровью третьих лиц;

причиненные третьим лицам и компании в ходе недобросовестного,неправомерного и/или умышленного поведения;

причиненные третьим лицам по тем событиям, о которых компании былоизвестно до момента заключения договора страхования.

Отсутствие стандартизованного языка в полисах страхования кибер рисков затрудняет длякомпаний приобретение желаемого страхового покрытия у нескольких страховщиков, хотяв настоящее время существует ряд инициатив по внедрению общих стандартов на рынкеВ частности РНПК активно внедряет собственные андеррайтинговые стандарты и, являясьобязательным звеном для перестрахования, может стать катализатором такого процесса.

КАКОВА ПРОЦЕДУРА АНДЕРРАЙТИНГАИ ЗАКЛЮЧЕНИЯ ДОГОВОРА СТРАХОВАНИЯ?

Какие события не покрываются стандартным договоромстрахования кибер рисков?

УБЫ

ТКИ Отправной точкой для организаций, рассматривающих вопрос приобретения данного вида страхования,

является проведение страховщиком оценки существующих в компании рисков. Страховая компания может сделать это самостоятельно на основании заполненной анкеты клиента или с привлечением сторонних экспертов.

Для того, чтобы определить и согласовать объем покрытия, требуемого от договора страхования, а также не потеряться в тонкостях текста договора крайне полезно привлечь лицензированного страхового брокера. Как и в случае с «обычным» страхованием брокер проконсультирует по наиболее подходящим областям покрытия, сообщит об исключениях и дополнениях, а также поможет адаптировать покрытие и условия к имеющемуся бюджету.

К счастью, продукт страхования от кибер рисков является достаточно новым на рынке, поэтому страховщи-ки готовы проявлять гибкость в наборе рисков и исключений в договоре.

26

СЕМЬ РАЗ ОТМЕРЬ…

1 456

2

3

Компании, рассматривающие для себя покрытие кибер рисков, должны хорошо проанализировать текст договора и полноту покрытия, прежде чем подписывать полис и платить страховую премию. История знает очень много примеров, когда компании покупали страховой полис и были в полной уверенности в защите своих рисков. Разочарование настигало их в момент наступления убытка, когда страховое событие попадало под исключения из покрытия.

О ЧЕМ СЛЕДУЕТ ЗАДУМАТЬСЯ:

ВОПЕРВЫХ, является ли страхование кибер рисков чем-то, что требуется или хочет организа-ция? Каковы преимущества для бизнеса перевешивают ли они издержки? Это решение, которое служба информационной безопасности или CISO не может принять в одиночку. Более того, на деле, это должно быть решение, определенное бизнесом.

ВОВТОРЫХ, почему страхование кибер рисков используется или рассматривается как вари-ант минимизации риска? Большинство полисов охватывают крупные инциденты или события, а не ежедневные перерывы или рядовые проблемы. Если выплата по полису будет произведена только после того, как инцидент произошел, при этом сильно повлияв на бизнес, или вовсе привел бизнес к невозможности продолжать деятельность, то это может быть не лучший вариант для минимиза-ции выявленных рисков.

ВТРЕТЬИХ, может ли организация действительно удовлетворять требованиям страховой ком-пании, как потенциального клиента по страхованию кибер рисков? Может ли организация пере-числить свои основные активы - как физические, так и цифровые - их местоположение, защиту на месте, потенциальный список угроз, подход и результаты управления рисками и любые инциденты, с которыми он ранее сталкивался? Может ли организация заявить страховщику, что ее сеть, прило-жения и IT -система не заражены какой-либо вредоносной программой, векторах атак, известных уязвимостей или других проблем в начале и на протяжении действия полиса?

Помните, что если происходит инцидент, и обнаруживается, что перечисленные проблемы возник-ли до начала действия Договора, при этом не были решены и доведены до сведения Страховщика, то Страховщик может объявить полис недействительным, когда он необходим больше всего.

ВЧЕТВЕРТЫХ, что дает полис? Помимо финансовых выплат по иску, предлагает ли страхов-щик услуги, инструменты и поддержку, которые организация не имеет или не может получить по той же цене? Предлагаются ли они другими действующими страховыми полисами?

ВПЯТЫХ, как будет взаимодействовать страхование кибер рисков с цепочками поставок орга-низации? Будет ли полис покрывать любые убытки, которые могут произойти, потому что у постав-щика произошел инцидент?

ШЕСТОЕ И ОКОНЧАТЕЛЬНОЕ это репутация, знания и финансовое состояние страхов-щика. Страховщик быстро реагирует и выплачивает убытки по страховому случаю, или он оспарива-ет все претензии?Как и в случае любого страхования предприятия должны задуматься о покрытии, которое они хотят получить. Следуя вышеуказанным шагам, предприятия могут оставаться бдительными в относитель-но новой и неопределенной отрасли.

27

28

1) Пример с недоступностью сети Мегафона хорошо подходит для мотивации клиентов по кибер-рискам: долгосрочный перерыв в работе сети, низкий уровень дозвона, и как результат - недополученная выручка. По информации в прессе сбой произошел из-за программно-го обеспечения и оборудования от компании Hewlett Packard, что вполне подходит под условия договора страхования.

«Мы приняли решение выплатить компенсацию до 20 млн руб. клиентам, которые остались в этот день без возможности совершать звонки и пользоваться мобильным интернетом», — заявил генеральный ди-ректор Yota Владимир Добрынин.

РБК. ТЕХНОЛОГИИ И МЕДИА, 20 МАЯ

ПРИМЕРЫ УБЫТКОВ:

292) Пример кейса: Это была вторая половина дня пятницы, когда первые признаки проблем компьютерной безопасности возникли у компании, оказывающей профессиональные услуги в Сиднее. Запущен зараженный zip-файл, якобы от клиента, и код мошенника начал работать в алфавитном порядке через файлы бизнеса, блокируя каждый из них.Управляющий директор, не захотевший публично идентифицироваться, буквально вытащил вилку компью-тера из розетки и позвонил поставщику IT-услуг. Вместо того, чтобы платить выкуп, компания решила вос-становиться из резервной копии.Поставщик IT-услуг регулярно утверждал, что его резервные копии были в порядке и безопасны. Но когда пришло время, резервная копия не сработала, и было потеряно более семи месяцев работы в файлах.С июня бизнес должен был тщательно воссоздать файлы из электронных писем и вложений. Это стоило около 10 000 долларов США из расчета стоимости часов, потраченных на восстановление, но сложно оце-нить стоимость ущерба репутации.«В следующий раз я могу заплатить [выкуп]», - говорит управляющий.

3) Один из наиболее хорошо освещенных убытков произошел с Target, крупным американским ритейлером, потерявшим почти 40 миллионов записей кредитных карт и персональных данных почти 70 миллионов клиентов, после взлома их корпоративной сети. Взлом вылился в непомерные расходы на восстановление после инцидента и защиту в суде. Общая сумма ущерба составила порядка 250 млн. долларов США, при этом около 90 млн. из них были возмещены страховыми компаниями по Договорам кибер-страхования. Не были возмещены только сопутствующие расходы на восстановление системы/данных, потери от перерыва в бизнес-деятельности и расходы на расследование.

4) В феврале, Anthem (второй крупнейший страховщик в медицинском страховании в США) раскрыл информацию о том, что, возможно, у порядка 80 миллионов клиентов была украдены персональные данные, включая информацию о кредитных картах. Расходы на оповещение потерпевших могли израсходовать 100 миллионов долларов лимита по договору страхования c заключенному с AIG.Также переживают и страхов-щики, покрывающие риски ошибок и упущений Anthem, так как есть вероятность, что они будут нести ответственность за иски, поданные по итогам взлома.

5) В марте американский страховщик Premera, объявил, что в Мае 2014 года претерпел хакерскую атаку, которая затронула почти 11 миллионов клиентов. По информации из открытых источников видно, что 100% из 15 млн. долл. , первого леера, было покрыто компанией Beazley.

6) По итогам кибер-атаки на британского мобильного ритейлера Carphone Warehouse (обнародованная в Августе) более чем у 2,4 млн клиентов были украдены персональные данные. Андерайтеры прогнозируют финансовые потери в размере 5-10 миллионов фунтов (7,8-15,6 млн.Евро). Компании может также быть выставлен штраф на сумму в 500,000 фунтов, при условии, что будет доказано, что компания не предприня-ла достаточных мер для сохранности данных. С учетом того, что у Carphone, на момент наступления инци-дента, не было полиса страхования кибер-рисков, эффект на страховщиков будет оказан минимальный.

7) Кибер-атака на Sony в 2014 году была застрахована лишь частично – с лимитом ответственности страхов-щика по полису в 60 млн. долл. На данный момент точная сумма убытка еще не известна, но прогнозируется, что он превысит 200 млн. долл. , не включая убытки от потери репутации и отношений в отрасли.

ПРИМЕРЫ УБЫТКОВ:

РЕАЛЬНЫЙ КЕЙС

«РНПК – молодая компания, но уже в течение первого года компания подверглась хакерской атаке, которая привела к потере части данныхоперационного дня. Деятельности компании не был нанесен ущерб, однако, безусловно, были понесены затраты по восстановлению систем –предыдущие дни из back-up системы и повторный ввод информации за текущую операционную сессию. Полного или частного прекращения деятель-ности компании не произошло. Но произошедшее, увы, уже пост-фактум заставило осуществить новые настройки безопасности информационной системы компании, ввести дополнительные требования к сотрудникам, работающим с внешним контентом, развернуть дополнительные модули информационной безопасности.

ПОТРЕБНОСТЬ К ОСОБОЙ ФОРМЕ ЗАЩИТЫ МЫ ОЩУТИЛИ НА СЕБЕ.Сейчас мы обсуждаем модель возможной проверки систем на предмет уязвимости, правда, надо признать, что это можно сравнить с измерением температуры у больного – нужна не статика, а динамика, нужно наблюдение за состоянием пациента, потому что в постоянно меняющемся мире кибер-угроз статичная проверка уязвимости системы не дает ответов на все вопросы или уверенности в защите ИТ: на определенный момент –да, но на некоторую перспективу – уже нет. И в этой связи система проверки уязвимости, универсальная, легко донастраиваемая, а также система кибер-страхования является инструментом не обеспечения информационной безопасности, но имущественной защиты интересов страхователяот расходов, которые ему придется понести в случае атаки, ущерба и необходимости восстановления информационной системы или базы данных.Мы, как национальный перестраховщик, взаимодействуем с рынком, чтобы создать продукт, который можно широко распространить на рынке,чтобы сформировать этот рынок, а дальше делать более специализированные продукты под отдельных страхователей или отрасли бизнеса.Любые идеи важны и будут находиться в копилке знаний для защиты и предотвращения угроз или выплаты возмещения по факту нанесения ущерба.»

30

НИКОЛАЙ ГАЛУШИНГенеральный директорРоссийская Национальная Перестраховочная Компания

ИСПОЛЬЗУЕМАЯ ЛИТЕРАТУРА1. https://rg.ru/2017/04/23/poteri-biznesa-ot-kiberatak-v-rf-sostavili-bolee-10-mln-rublej-v-god.html

2. https://www.infosecurity-magazine.com/slackspace/smart-aga-ovens-hijacked-by-text

3. http://tass.ru/ekonomika/4249459

4. http://www.computerweekly.com/news/450411923/Australian-organisations-forced-to-take-cyber-insurance-seriously?es_p=3823886

5. https://dsec.ru/ipm-research-center/article/bezopasnost_scada_stuxnet_chto_eto_takoe_i_kak_s_nim_borotsya_/

6. http://www.telegraph.co.uk/news/worldnews/northamerica/usa/12063048/Iranian-hackers-breached-New-York-dam-causing-White-House-alarm.html

7. https://dsec.ru/ipm-research-center/article/bezopasnost_scada_stuxnet_chto_eto_takoe_i_kak_s_nim_borotsya_/

8. http://www.telegraph.co.uk/news/worldnews/northamerica/usa/12063048/Iranian-hackers-breached-New-York-dam-causing-White-House-alarm.html

90 ICS-CERT, 2016. 91 Lee, Asante and Conway, 2016. 92 Zetter, 2016. 93 Constantin, 2016.

Lewis, James A. , 2012, “Cybersecurity, Threats to Communications Networks, and Private-sector Responses,” Testimony to House Committee on Energy and Commerce, Subcommittee on Communications and Technology, February 8, 2012, submission by Center for Strategic and International Studies. Loukas, George, 2015, “Cyber-Physical Attacks: A Growing Invisible Threat,” Butterworth-Heinemann, ISBN 978-0-12-801290-1. Los Angeles Times, 2016, “Hollywood hospital pays $17,000 in bitcoin to hackers,” FBI investigating, February 18, 2016. Malwarebytes Lab, 2016, “Look Into Locky Ransomware,” March 1, 2016. Marsh, Global Insurance Market Index, Q3 2016. Meserv, J. “Staged cyber attack reveals vulnerability in power grid,” CNN, September 26, 2007. Miller, C. (a), “Battery Firmware Hacking: Inside the innards of a Smart Battery,” July 27, 2011. Miller, C. (b), “Battery Firmware Hacking.” Millman, Rene, “How Vulnerable are Smart Buildings to Cyber Hacks?” IFSEC Global, March 29, 2016. Moritz, S. and Womack, B. , “Verizon Explores Lower Price or Even Exit From Yahoo Deal,” Bloomberg Technology, December 15, 2016. Murdock, J. , “Turkey: Political hacktivist leaks 'citizen database' containing 50 million personal records,” International Business Times, April 4, 2016. NetworkWorld, 2015, “Which cloud providers had the best uptime last year?” Cloud providers are becoming more reliable, but some still had downtime issues,” Jan 12, 2015. NetworkWorld, 2016, “And the cloud provider with the best uptime in 2015 is…Amazon’s cloud bests those of Microsoft and Google by this reliability test,” Jan 7, 2016. Newman, L.H. , “What We Know About Friday’s Massive East Coast Internet Outage,” Wired, October 21, 2016. Oregon State University, “Lithium Battery Safety and Handling Guide,” Enterprise Risk Services, Environmental Health & Safety, December 2013. ORF, 2016, Bundeswehr: Cyber security, the German way, Observer Research Foundation, Isabel Skierka, October 20, 2016. Palmer, E. , “Panama Papers: Simon Cowell and Jackie Chan among celebs named in Mossack Fonseca leak,” International Business Times. , April 7, 2016. Paul, “Industrial Control Vendors Identified in Dragonfly Attack,” The Security Ledger, July 4, 2014. Paul, “Update: Let’s Get Cyberphysical: Internet Attack shuts off the Heat in Finland,” The Security Ledger, November 8, 2016. Polityuk, P. , Vukmanovic, O. and Jewkes, S. , “Kiev power outage in December was cyber attack: Ukrenergo,” Reuters, January 18, 2017. Positive Technologies, “Security Trends & Vulnerabilities Review: Industrial Control Systems,” 2016. PwC, 2015, “Cyber insurance market set to reach $7.5 billion by 2020,” September 15, 2015. Rawlinson, K. , “HP Study Reveals 70 Percent of Internet of Things Devices Vulnerable to Attack,” HP, July 29, 2014. Response, S. S. (2014, 06 30), “Dragonfly: Western Energy Companies Under Sabotage Threat,” Retrieved February 11, 2015, from Symantec. Richman, D. , “Cloud computing revenues jumped 25% in 2016, with strong growth ahead, researcher says,” Geek Wire, January 4, 2017. Rigzone, Worldwide Offshore Rig Utilization. Riley, M. and Katz, A. , “Swift Hack Probe Expands to Up to a Dozen Banks Beyond Bangladesh,” Bloomberg Technology. Ronda, R. A. , “NPC: Victims of data leak may file suit,” Philstar Global, January 8, 2017. Rounela, S. , “English summary about DDOS attacks,” Valtia, 2016. SC Media, 2016, “Finns have their heating systems knocked offline by a DDoS attack,” November 9, 2016. Security News Desk, “Securing critical infrastructure from virtual and physical threats,” November 24, 2016.Security, 2015, “47% of the World’s Credit Card Fraud Happens in the US,” June 1, 2015. Starwood, 2016, Letter From Our President, January 22, 2016. Statistica, 2017, IoT Number of Connected Devices Worldwide. Strohm, C. , “New York's Little Dam Sends Super-Sized Warning of Cyber-AttackCyber attacks,” Bloomberg Technology, March 20, 2016. Sullivan. B. , “Amazon, Microsoft, IBM And Google Growing 30 Percent Faster Than Next 20 Cloud Providers,” Silicon, August 1, 2016. Symantec Security Response, “SWIFT attackers’ malware linked to more financial attacks,” Symantec Official Blog, May 26, 2016. Temperton, J. , “The Philippines election hack is 'freaking huge',” Wired, April 14, 2016. The Guardian, 2016, “Tesco cyber-raid raises serious questions over UK banks’ security,” November 12, 2016. The Hacker News, 2016, World’s largest 1 Tbps DDoS Attack launched from 152,000 hacked Smart Devices; Sept 27, 2016. The Merkle, 2016; “Muni First Targeted By Ransomware, Now Faces Extortion Demand By Same Hackers,” November 29, 2016. The Register, 2016, “National Cyber Security Centre to shift UK to 'active' defence: Cyber chief calls for 'offensive' weapons,” September 19, 2016. U.S. Energy Information Administration (2016), “Commercial Buildings Energy Consumption Survey (CBECS) – 2012 CBECS Preliminary Results,” [Online]. United States District Court For the Central District of California February 2009 Grand Jury. US Department of Energy, “Transforming the Nation’s Electricity System: The Second Installment of the Quadrennial Energy Review,” January 2017. US Department of Homeland Security, National Cybersecurity and Communications Integration Center, ICS-CERT Year in Review, Industrial Control Systems Cyber Emergency Response Team, 2015. Van der Walt, C. , “Four Lessons to Learn From the SWIFT Hacks,” Info Security, August 3, 2016. Williams, Katie, 2016, “Judges struggle with cyber crime punishment,” The Hill, 01/09/16. Woolf, N. , “DDoS attack that disrupted internet was largest of its kind in history, experts say,” The Guardian, October 26, 2016. World Shipping Council, (2016a), “Global Trade | World Shipping Council,” [online] Worldshipping.org. World Shipping Council, (2016b), “Ports | World Shipping Council,” [online] Worldshipping.org. York, K. , “Dyn Statement on 10/21/2016 DDoS Attack,” Dyn. Zetter, K. , (2014), “Countdown to Zero Day: Stuxnet and the Launch of the World's First Digital Weapon,” New York, NY, USA: Crown Publishing Group. Zetter, K. , “Everything We Know About Ukraine’s Power Plant Hack,” Wired, January 20, 2016. Zetter, K. , “That Insane, $81M Bangladesh Bank Heist? Here’s What We Know,” Wired, May 17, 2016. Zetter, K. , “Why Hospitals Are the Perfect Targets for Ransomware,” Wired, March 30, 2016

31

Отказ от ответственности.Материал, содержащийся в настоящей публикации, разработан исключительно с целью предоставления общей информации. Обращаем внимание, что информация в отношении страхового покрытия и условий страхования предоставлена исключительно для ознакомления, не является исчерпывающей и не представляет собой предложение страхования. Мнения, выраженные в этом документе, являются исключительно мнениями авторов, и все содержимое этого документа написано исключительно в объеме знаний и понимания авторов. Этот документ подготовлен с ознакомительной целью. Цитаты из этого документа должны копировать ссылку на него на сайте www.mainsgroup.ru, а также содержать пометку с названием документа. Этот документ не предоставляет юридические консультации и не явля-ется основанием для какого-либоюридического действия. Вы должны проконсультироваться со своим собственным адвокатом по вопросам, затрагивающим ваши собственные законные интересы. Несмотря на то, что было сделано все возможное, для обеспечения точности информации, информация предоставляется без каких-либо гарантий любого рода в отношении ее точности, а авторы или ООО «МСБК» не несет ответственности за какие-либо ошибки или пропуски. © 2017 Mains Insurance Brokers & ConsultantsВсе права защищены.www.mainsgroup.ru