Может ли страхование навести порядок в хаосе кибербезопасности?
КиберстрахованиеМировые

Может ли страхование навести порядок в хаосе кибербезопасности?

робел в кибербезопасности малого и среднего бизнеса угрожает мировой экономике. Приглашенный автор Ротем Ирам, основатель и генеральный директор At-Bay. объясняет.

Раньше киберпреступность была чем-то, о чем должны были беспокоиться только крупнейшие предприятия, но это больше не наша реальность. По прогнозам, к 2025 годукиберпреступность будет стоить предприятиям 10,5 трлн долларов ежегодно, при этом число автоматизированных масштабных атак растет, которые все чаще нацелены на малый и средний бизнес (SMB).

Всемирный экономический форум сообщает, что малый и средний бизнес составляет около 70% мирового ВВП, 70% мировой занятости и 90% мировых компаний. Несмотря на их очевидную и огромную важность для общества в целом, эти предприятия чрезвычайно уязвимы для кибератак. Тем не менее, разговоры о киберрисках постоянно не позволяют расставить приоритеты малому и среднему бизнесу.

Эта проблема является системной, неотложной и потенциально пагубной в глобальном масштабе, однако поставщики программного обеспечения, поставщики средств безопасности и регулирующие органы не обращают внимания на растущий киберриск и возникающие в результате этого убытки, от которых страдают малые и средние предприятия.

Поставщики программного обеспечения несут ответственность за значительные киберриски малого и среднего бизнеса

В большинстве кибератак используется уязвимость в технологическом продукте для получения доступа к сети жертвы. Печальная реальность такова, что отрасль соглашается с появлением этих критических уязвимостей, практически ничего не ожидая от поставщика, кроме предоставления уведомления и выпуска исправлений. Средний бизнес от малого до среднего зависит от десятков технологических продуктов, каждый из которых требует обновления программного обеспечения несколько раз в год.

Вдобавок ко всему, поставщики технологий, как правило, отдают предпочтение функциональности, а не безопасности, возлагая на компании ответственность за настройку параметров безопасности по умолчанию в своем программном обеспечении. Если эти компании не знают, какие изменения внести или даже что изменения необходимы — а большинство из них этого не знают, — они неосознанно делают себя уязвимыми для простых повторяющихся кибератак, использующих программные инструменты, на которые они полагаются.

Исправление недостатков настроек программного обеспечения по умолчанию — изменение, которое добавило бы минимум работы поставщикам (которым просто нужно изменить уже доступные настройки безопасности на стандартные), имеет огромный потенциал снижения рисков для предприятий (которым больше не нужно выбирать базовую безопасность). Это практика, которую Агентство кибербезопасности и безопасности инфраструктуры США (CISA) продвигает как принципы “безопасности по умолчанию”, означающие, что программное обеспечение не требует дополнительных действий или оплаты от пользователя для обеспечения безопасности; вместо этого оно поставляется с передовыми методами обеспечения безопасности, которые уже включены и настроены “из коробки”.

За пределами крупных предприятий большинство компаний просто не располагают выделенными ресурсами и опытом в области безопасности, необходимыми для того, чтобы уделять внимание, понимать проблемы, принимать меры и регулярно поддерживать их в рабочем состоянии. Кроме того, индустрия безопасности всегда отдавала приоритет крупным предприятиям с большими бюджетами. С ростом сложности и стоимости инструментов эта тенденция только усиливается, оставляя позади малый и средний бизнес.

Это даже не учитывает частые случаи атак нулевого дня, когда предприятия взламываются до выхода исправления, что оставляет эти предприятия полностью без защиты или средств правовой защиты от уязвимости, о существовании которой они не подозревали.

Кто может разработать и внедрить стандарт безопасности программного обеспечения?

Это простая концепция: бремя обеспечения безопасности должно лежать на разработчиках программного обеспечения, а не на пользователях. Государственное регулирование – это последнее средство, когда участники рынка не в состоянии создать правильную систему стимулирования, но за это приходится платить высокую цену. К счастью, я не думаю, что нам нужно активное участие правительства, поскольку новая заинтересованная сторона в сфере безопасности – страховая отрасль – имеет наилучшие возможности для регулирования индустрии безопасности.

Исторически сложилось так, что страхование создавало и применяло стандарты снижения рисков во всех областях, которые оно охватывает, включая стандарты охраны труда и пожарной безопасности. Пассажиры автомобилей многим обязаны страховой отрасли: в 1980-х годах, несмотря на возражения автопроизводителей, страховая отрасль обратилась к федеральному правительству США в Верховный суд с требованием сделать установку подушек безопасности юридическим требованием в каждом новом автомобиле.

У индустрии киберстрахования есть аналогичная возможность использовать стандарты андеррайтинга, ценообразование и доступность страхового покрытия для привлечения поставщиков программного обеспечения к ответственности за создаваемый ими риск. Если клиенты, использующие высокорискованное или плохо настроенное программное обеспечение, платят более высокие страховые взносы или получают более ограниченное страховое покрытие, это повлияет на рынок, снижая спрос на небезопасное программное обеспечение и создавая ответственность за выбор, сделанный поставщиком.

Затем правительства и политики должны вмешаться, чтобы превратить эти стандарты страхования в требования соответствия, тем самым кодифицировав защиту бизнеса и переведя всю экономику в более безопасное будущее.

InsurSec: создание более безопасного будущего для всех предприятий

Поставщики программного обеспечения должны понимать, что поставлено на карту для малого бизнеса и экономики в целом. Забота о безопасности для всех, а не только для крупных предприятий, является необходимостью, которая принесет пользу не только их клиентам, но и их прибыли.

До тех пор, пока малые и средние предприятия продолжают бороться с дорогостоящими и сложными инструментами безопасности, с которыми они не могут работать, InsurSec может помочь им преодолеть разрыв.

Этот комплексный подход объединяет кибербезопасность и страхование в единый подход к управлению рисками. Поскольку приобретение нужных инструментов безопасности и опыта является сложным и дорогостоящим делом, страхование стало наиболее важным механизмом защиты от рисков, к которому могут обратиться предприятия малого и среднего бизнеса. Вот почему они должны сотрудничать со страховой компанией, которая не просто помогает, когда что-то идет не так, но и активно помогает им создавать надежную систему безопасности на протяжении всего срока действия их полиса, помогая предотвращать атаки еще до того, как они когда-либо произойдут.

Страхование и безопасность создают естественную обратную связь. Благодаря данным о претензиях страхование обладает уникальной способностью (и финансовым стимулом) количественно оценивать и снижать риски, что является критически важным вкладом в обеспечение безопасности. Таким образом, безопасность позволяет компаниям опережать риски и предпринимать правильные действия для снижения своей подверженности, что помогает снизить потери и повысить производительность.

admin
Author: admin