Киберстрахование — что нужно знать?

Имран Ахмад
Партнер, Miller Thomson LLP

Ранее этим летом, когда Университет Калгари стал жертвой атаки программы-вымогателя, он публично заявил, что приобретенная им киберстраховка оказалась неоценимой в борьбе с последствиями атаки. Без сомнения, организации все чаще обращаются к страхованию, которое может помочь им в случае кибер-инцидентов. Согласно недавнему отчету PwC Согласно отчету, к 2020 году рынок киберстрахования утроится и достигнет 7,5 млрд долларов США.

С учетом этого, должна ли ваша организация получить киберстрахование? Если да, то как вы должны обосновать экономическое обоснование и какие шаги следует предпринять, чтобы убедиться, что ваша организация получает политику, которая наилучшим образом соответствует ее потребностям?

Знай, где ты стоишь

Прежде чем приобретать киберстрахование, организации должны, как минимум, предпринять следующие шаги, чтобы убедиться, что они получают правильный продукт, соответствующий их реальным потребностям. Эта оценка должна включать следующие шаги:

Оценка риска:

Оцените внутренние политики и протоколы, связанные с человеческой, физической и сетевой безопасностью, конфиденциальностью и готовностью к кибер-инцидентам.

Карта рисков:

Определите потенциальное воздействие. Это можно сделать различными способами, включая, например, ведение оценочной карты рисков подразделений/отделов бизнеса, проведение анализа пробелов в политиках и протоколах реагирования бизнеса на киберинциденты, а также разработку карты рисков, определяющей и оценка ключевых рисков конфиденциальности и информационной безопасности.

Сравнительный анализ:

Рассмотрите различные сценарии киберинцидентов (от «легких» до «катастрофических») и сравните затраты, связанные с каждым сценарием, на основе отраслевых сопоставимых данных.

Анализ пробелов в страховом покрытии:

Просмотрите текущие страховые полисы компании, чтобы определить, что покрывается, а что нет.

На основе этой оценки бизнес сможет определить типы киберрисков, от которых он готов застраховаться (например, конфиденциальность и сетевая безопасность, ответственность регулирующих органов, антикризисное управление, перебои в работе сети, покрытие информационных активов, вымогательство и т. д.). ). Кроме того, эти шаги продемонстрируют страховщику, что организация предприняла шаги для понимания своего киберпрофиля, а также могут помочь снизить страховые взносы, связанные с любой киберполитикой.

Какую защиту обеспечивает страховка?

Как правило, киберстрахование обеспечивает покрытие убытков первой стороны и ответственности третьей стороны. Покрытие убытков первой стороной будет включать следующее:

Нарушение конфиденциальности:

Это покрывает расходы на расследование киберинцидентов, уведомление регулирующих органов, пострадавших клиентов и обеспечение кредитного мониторинга.

Кибервымогательство:

Покрытие для ответа на требование хакера денег в обмен на разблокировку или неповреждение данных или сети компании. Наиболее распространенным примером являются атаки программ-вымогателей , число которых значительно увеличилось в 2016 году.

Восстановление данных:

Покрытие для экспертов по восстановлению или восстановлению данных, потерянных после инцидента.

Перебои в работе сети и дополнительные расходы:

Возмещение упущенной выгоды или расходов, связанных с восстановлением деятельности в случае сбоя вашего бизнеса. Что касается ответственности перед третьими лицами , киберстрахование обычно предлагает следующие виды покрытия:

Технология и профессиональная ответственность:

Покрытие для защиты и возмещения ущерба по искам о халатности, связанной с киберинцидентом.

Нарушение конфиденциальности:

Защита и компенсация судебных исков сторон, заявляющих о нарушении конфиденциальности из-за утечки данных.

Повреждение сети:

Покрытие судебных исков стороны за повреждение ее сети в результате киберинцидента.

Процедура регулирования конфиденциальности:

Покрытие действий регулирующих органов, вытекающих из киберинцидентов.

Другие соображения

Размер организации, отрасль, в которой она работает, тип данных, которые она хранит, потенциальные риски и другие факторы будут влиять на объем покрытия киберответственности, которое они ищут. Четкое понимание своего места в спектре кибер-рисков будет иметь решающее значение для обеспечения того, чтобы бизнес получил правильное покрытие ответственности за кибер-ответственность. Это упражнение проинформирует организации при обсуждении премий и услуг, которые должны быть включены в киберполитику.

В то время как стандартные правила коммерческой ответственности (CGL), ошибки и упущения (E&O) и политики директоров и должностных лиц (D&O) могут уже предусматривать некоторые из этих страховых покрытий, если организация не проявляет осторожности, в тех политиках могут быть исключения в отношении кибер-взломов, которые может ограничить тип помощи, которая потребуется для эффективного устранения кибер-инцидентов.

Ключевой вывод

Киберстрахование должно быть частью стратегии снижения рисков любой организации. Тем не менее, не все киберполитики одинаковы, и организация должна сначала оценить свои конкретные потребности, подверженность рискам, а затем договориться о наилучшем покрытии киберстрахования.

*Имран Ахмад является партнером юридической фирмы Miller Thomson LLP в Торонто и специализируется в области права кибербезопасности. С ним можно связаться по адресу iahmad@​millerthomson.​com.


Информация о фонде
  1. Информация о фонде
  2.   
  3. Государственный инвестиционный фонд
  4.   
  5. Частные инвестиционные фонды
  6.   
  7. Хедж-фонд
  8.   
  9. Инвестиционный фонд
  10.   
  11. Индексный фонд