Имран Ахмад
Партнер, Miller Thomson LLP
Ранее этим летом, когда Университет Калгари стал жертвой атаки программы-вымогателя, он публично заявил, что приобретенная им киберстраховка оказалась неоценимой в борьбе с последствиями атаки. Без сомнения, организации все чаще обращаются к страхованию, которое может помочь им в случае кибер-инцидентов. Согласно недавнему отчету PwC Согласно отчету, к 2020 году рынок киберстрахования утроится и достигнет 7,5 млрд долларов США.
С учетом этого, должна ли ваша организация получить киберстрахование? Если да, то как вы должны обосновать экономическое обоснование и какие шаги следует предпринять, чтобы убедиться, что ваша организация получает политику, которая наилучшим образом соответствует ее потребностям?
Прежде чем приобретать киберстрахование, организации должны, как минимум, предпринять следующие шаги, чтобы убедиться, что они получают правильный продукт, соответствующий их реальным потребностям. Эта оценка должна включать следующие шаги:
Оцените внутренние политики и протоколы, связанные с человеческой, физической и сетевой безопасностью, конфиденциальностью и готовностью к кибер-инцидентам.
Определите потенциальное воздействие. Это можно сделать различными способами, включая, например, ведение оценочной карты рисков подразделений/отделов бизнеса, проведение анализа пробелов в политиках и протоколах реагирования бизнеса на киберинциденты, а также разработку карты рисков, определяющей и оценка ключевых рисков конфиденциальности и информационной безопасности.
Рассмотрите различные сценарии киберинцидентов (от «легких» до «катастрофических») и сравните затраты, связанные с каждым сценарием, на основе отраслевых сопоставимых данных.
Просмотрите текущие страховые полисы компании, чтобы определить, что покрывается, а что нет.
На основе этой оценки бизнес сможет определить типы киберрисков, от которых он готов застраховаться (например, конфиденциальность и сетевая безопасность, ответственность регулирующих органов, антикризисное управление, перебои в работе сети, покрытие информационных активов, вымогательство и т. д.). ). Кроме того, эти шаги продемонстрируют страховщику, что организация предприняла шаги для понимания своего киберпрофиля, а также могут помочь снизить страховые взносы, связанные с любой киберполитикой.
Как правило, киберстрахование обеспечивает покрытие убытков первой стороны и ответственности третьей стороны. Покрытие убытков первой стороной будет включать следующее:
Это покрывает расходы на расследование киберинцидентов, уведомление регулирующих органов, пострадавших клиентов и обеспечение кредитного мониторинга.
Покрытие для ответа на требование хакера денег в обмен на разблокировку или неповреждение данных или сети компании. Наиболее распространенным примером являются атаки программ-вымогателей , число которых значительно увеличилось в 2016 году.
Покрытие для экспертов по восстановлению или восстановлению данных, потерянных после инцидента.
Возмещение упущенной выгоды или расходов, связанных с восстановлением деятельности в случае сбоя вашего бизнеса. Что касается ответственности перед третьими лицами , киберстрахование обычно предлагает следующие виды покрытия:
Покрытие для защиты и возмещения ущерба по искам о халатности, связанной с киберинцидентом.
Защита и компенсация судебных исков сторон, заявляющих о нарушении конфиденциальности из-за утечки данных.
Покрытие судебных исков стороны за повреждение ее сети в результате киберинцидента.
Покрытие действий регулирующих органов, вытекающих из киберинцидентов.
Размер организации, отрасль, в которой она работает, тип данных, которые она хранит, потенциальные риски и другие факторы будут влиять на объем покрытия киберответственности, которое они ищут. Четкое понимание своего места в спектре кибер-рисков будет иметь решающее значение для обеспечения того, чтобы бизнес получил правильное покрытие ответственности за кибер-ответственность. Это упражнение проинформирует организации при обсуждении премий и услуг, которые должны быть включены в киберполитику.
В то время как стандартные правила коммерческой ответственности (CGL), ошибки и упущения (E&O) и политики директоров и должностных лиц (D&O) могут уже предусматривать некоторые из этих страховых покрытий, если организация не проявляет осторожности, в тех политиках могут быть исключения в отношении кибер-взломов, которые может ограничить тип помощи, которая потребуется для эффективного устранения кибер-инцидентов.
Киберстрахование должно быть частью стратегии снижения рисков любой организации. Тем не менее, не все киберполитики одинаковы, и организация должна сначала оценить свои конкретные потребности, подверженность рискам, а затем договориться о наилучшем покрытии киберстрахования.
*Имран Ахмад является партнером юридической фирмы Miller Thomson LLP в Торонто и специализируется в области права кибербезопасности. С ним можно связаться по адресу iahmad@millerthomson.com.