Запитайте бізнес-лідерів про те, що їх найбільше турбувало в 2023-му та на початку цього року (як це щороку робить комерційний страховик Allianz), і найпоширеніша відповідь – програми-вимагачі, витоки даних та інші кіберзагрози.

Ці побоювання не безпідставні. Згідно з дослідженням, проведеним за підтримки Apple, кількість витоків даних у США за перші дев’ять місяців 2023 року зросла майже на 20 відсотків порівняно з усім 2022 роком. Кількість атак з використанням програм-вимагачів зросла на 95% у порівнянні з 2022 роком. Такі атаки можуть скомпрометувати дані клієнтів або унеможливити ведення бізнесу для компаній на тривалий час. 

Хто платить за усунення наслідків таких атак? Що ви та ваша компанія можете зробити, щоб захистити себе? Однією з відповідей на обидва питання є страхування кібер-відповідальності.

 

Що таке страхування кібер-відповідальності?

 

Страхування кібер-відповідальності захищає вашу компанію у випадку втрати або витоку даних через зловмисні атаки на ваші комп’ютери або сервери (хмарні або локальні). Залежно від типу страхування, ваша страхова компанія може також допомогти вам захистити себе в судових процесах, які є наслідком кібератак або інших інцидентів, пов’язаних з даними.

 

Існує два різних типи страхування кібер-відповідальності: Перший тип – це покриття від першої сторони, і він зазвичай включає фінансове відшкодування прямих витрат, пов’язаних з порушенням, в тому числі

  • Юридичні послуги;
  • Відновлення та заміна втрачених даних;
  • Втрачений дохід від бізнесу;
  • Сповіщення клієнтів, включаючи витрати на колл-центр;
  • PR;
  • Шахрайство та вимагання, пов’язані з витоком даних;
  • Судові послуги з виявлення та усунення вразливостей у програмному та апаратному забезпеченні;
  • Збори, штрафи та пені.

З іншого боку, покриття перед третіми особами захищає вас у випадку, якщо на вашу компанію подадуть до суду через порушення. Зазвичай воно покриває

  • Виплати вашим клієнтам;
  • Судові позови та врегулювання;
  • Судові витрати;
  • відшкодування збитків та судові рішення;
  • витрати на ведення бухгалтерського обліку.

На сайті Федеральної торгової комісії для малого бізнесу є чудові ресурси з кібербезпеки та страхування, які стануть у нагоді компаніям будь-якого розміру. Ці ресурси включають тести, які допоможуть вам оцінити ваші ризики, а також поради щодо прийняття рішення про страховий захист.

 

Вимоги до страхування кібер-відповідальності

 

Перш ніж надати майже будь-який вид страхування, страховики вимагатимуть від вас виконання певних вимог. У випадку страхування кібербезпеки постачальник, швидше за все, не надасть покриття, якщо ви не зможете продемонструвати, що ви вжили заходів для захисту своєї мережі, обладнання та даних. Ці кроки можуть включати

  1. Ефективні політики кібербезпеки;
  2. Процеси, що забезпечують наявність на пристроях найновіших оновлень програмного забезпечення;
  3. постійне навчання користувачів найкращим практикам безпеки;
  4. Плани резервного копіювання, відновлення та аварійного відновлення;
  5. Певна форма виявлення та реагування на кінцеві точки (EDR).

Більшість страхових компаній вимагатимуть від вас провести базовий аудит безпеки самостійно або замовити аудит безпеки у третьої сторони, перш ніж надати вам пропозицію. Також, швидше за все, вам потрібно буде задокументувати всі виправлення, які ви зробили після первинного аудиту. 

Під час проведення такого аудиту важливо охопити пристрої, які мали доступ до ресурсів організації, але не перебувають під прямим контролем компанії (наприклад, BYOD): Згідно з дослідженням Microsoft, близько 90 відсотків успішних атак з використанням програм-вимагачів розпочалися саме з таких пристроїв.

 

Кібер страхування, MDM та EDR

 

Як видно з наведеного вище списку, багато ризиків безпеки можна зменшити, якщо користувачі пройдуть належне навчання та дотримуватимуться необхідних політик, а також якщо адміністратори проведуть таке навчання та сформулюють ці процеси. Але автоматизація може допомогти ще більше.

Зокрема, ваше рішення MDM може забезпечити належне оновлення всіх кінцевих пристроїв і застосування специфічних для вашої компанії налаштувань і політик безпеки. Це включає в себе автоматичне розповсюдження необхідних оновлень програмного забезпечення та системи безпеки, забезпечення дотримання протоколів паролів та увімкнення FileVault. Така автоматизація може, в свою чергу, довести страховику, що ви виконуєте його вимоги щодо безпеки.

MDM також може допомогти, встановивши програмне забезпечення EDR на кінцевих точках Mac. Після встановлення EDR буде активно сканувати ці пристрої на наявність кібер загроз і, якщо виявить їх, автоматично усуне їх і, таким чином, мінімізує збитки. (“Автоматично” – це важливо: оскільки страхові компанії посилюють вимоги до покриття відповідальності, вони, ймовірно, вимагатимуть автоматичного усунення наслідків, а також розгортання EDR, яке користувачі не зможуть втрутитися).

Після реєстрації пристроїв у вашій системі MDM ви можете автоматизувати всі ці кроки безпеки, гарантуючи, що політики компанії дотримуються, а відповідне програмне забезпечення EDR встановлено на кожному пристрої, і все це без безпосередньої взаємодії з користувачем.

Страхування кібер-відповідальності є важливою інвестицією для будь-якої компанії, великої чи малої. Воно забезпечує фінансову безпеку в разі катастрофічної втрати даних. Крім того, його вимоги допоможуть гарантувати, що ваші мережеві та апаратні ресурси будуть максимально захищені. Рішення MDM та EDR самі по собі не є гарантією того, що ви отримаєте таке покриття. Але разом вони можуть допомогти переконати операторів, що ви робите правильні кроки для захисту свого парку Apple.

Оригінал статті на сайті kandji