Страховщики составляют рейтинги кибербезопасности для ограничения своих обязательств

Когда одна кибератака обрушила несколько крупных объектов, включая Spotify, Twitter и New York Times, это выдвинуло на первый план проблемы страховщиков, которые вынуждены были ломать голову над тем, как предсказать, окажутся ли крупные компании жертвами кибер-атаки все сразу, как дома в зоне урагана?

Распределённая атака «отказ в обслуживании» (DDoS-атака) на Dyn, регистратора доменных имен для крупных компаний по всему миру, показала, как компании в различных отраслях промышленности и различных частях мира могут быть зависимы от этой инфраструктуры.

Новое поколение стартапов кибербезопасности пытается решить проблему широкомасштабных DDoS-атак, помогая страховщикам проанализировать риски страховых полисов кибербезопасности для отдельных компаний. Это позволит страховщикам оценить и сбалансировать их портфели, чтобы они случайно не стали кибер-эквивалентом всех домов во Флориде, которые регулярно подвергаются ударам стихии.

Рынок страхования от кибератак по прогнозам вырастет до более чем $ 20 млрд. к 2025 году, по прогнозам Allianz. Поэтому страховые компании ищут возможности проанализировать быстро меняющиеся угрозы со стороны хакеров.

Стивен Бойер, соучредитель Bitsight, фирмы занимающейся составлением рейтингов по кибербезопасности, называет своими клиентами 7 из 10 крупнейших мировых компаний, оказывающих услуги по кибербезопасности.

"Я думаю, что возможность страхования от кибератак, вероятно, самая важная вещь, которая когда-либо происходила в мире кибербезопасности", - сказал он.

Страхование трасформирует эту отрасль таким же образом, как оно преобразовало нормы безопасности в строительстве и безопасность автомобилей.

Bitsight недавно объявил о формировании фонда в размере $ 40 млн., под руководством GGV Capital, чтобы расширить свою деятельность и удовлетворить желание страховщиков узнать больше о недостатках безопасности своих потенциальных и существующих клиентов.

Компания собирает данные о появлении угроз для компаний. Например, она может отслеживать опасное поведение пользователей, такое, как скачивание сотрудниками данных из одноранговой сети сайтов. Она также собирает информацию об опасных информационных запросах.

Затем она создаёт модель, ранжирующую компании по рейтингам и страховщики моут использовать эти рейтинги, чтобы решить, имеют ли право заявители на получение страхового возмещения. По словам Бойера, одной медицинской компании недавно было отказано в оформлении кибер-страхования, потому что Bitsight обнаружил рентгеновский аппарат, заражённый вредоносным программным обеспечением.

Аналитики помогают страховщикам диверсифицировать свой портфель, выделив агрегированные риски - например, когда все компании зависят от одного поставщика облачных услуг, или от поставщика услуг в области доменных имен, таких как Dyn.

"В кибер-страховании падение сайта (отказ от обслуживания) это событие, означающее, что вы понесли застрахованные убытки, так что если такая ситуация произойдёт, страховщикам придётся заплатить", - сказал г-н Бойер.

Bitsight также работает со страховыми компаниями над контролем за безопасностью застрахованных клиентов, подобно тому, как автостраховщики оснащают автомобили устройствами, чтобы отслеживать, проявляет ли водитель осторожность.

Symantec сделал дальнейший шаг со своим программным обеспечением по безопасности. Он экспериментировал со страховыми компаниями, чтобы связать своё ПО со страхованием кибербезопасности. Эти разработки могут быть использованы в малом бизнесе, которые всё чаще становится мишенью хакеров, как наиболее уязвимая сфера бизнеса.

Роксана Диволь, старший вице-президент и генеральный менеджер по веб-безопасности Symantec сказала, что компания уже использует пилотную комплектацию своего продукта Norton для кибер-страхования малого бизнеса в Японии и Европе.

"Каждый страховщик, с которым мы говорили (большинство из них входит в топ-20), видит в кибер-страховании очередную большую возможность", - сказала г-жа Диволь и добавила, что пару лет назад они начали работать над этим с очень крупными компаниями. - "Они видят в кибер-страховании новый продукт, который можно предложить как верхней, так и нижней части рынка, - малому и среднему бизнесу".

Нашумевшие кибератаки, такие как нарушение работы американского ритейлера Target, когда хакеры вошли в систему через поставщика, заставили многие крупных компании требовать от своих партнёров надежной кибербезопасности и их собственного страхования.

SecurityScorecard, стартап, появившийся при поддержке венчурного капитала Sequoia Capital и Google, разработал систему баллов безопасности для каждой компании в мире.

Сэм Кассоурмех, соучредитель и главный операционный директор SecurityScorecard, сказал, что предвидит, что крупные компании будут добавлять в контракты с поставщиками пункты, обязывающие поддерживать определённый уровень баллов SecurityScorecard.

По существу, поставщики должны будут поддерживать свой рейтинг на уровне по крайней мере 80% или выше. Если рейтинг будет менее 80% в течение более двух недель, это может привести к аудиту или отмене контракта.

Арвинд Партасаранти, исполнительный директор Cyence, инвестор которой включают IVP и частную компанию прямых инвестиций в страхование Dowling Capital, заявил, что создал свою компанию, чтобы соединить два мира:

• мир риска, где деловые люди на таких встречах, как Всемирный экономический форум, обсуждают кибербезопасность как экзистенциальную угрозу,
• и мир ИТ-индустрии, где организуются такие мероприятия, как RSA и Def Con, на которых обсуждают новые технологии:

Наша идея заключается в том, чтобы дать количественную оценку риска в долларах, а не в абстрактных рейтингах брандмауэров.

Г-н Партасаранти также видит основную задачу 2017 года в том, чтобы переключения на том, чтобы обезопасить более мелкие компании. Национальный альянс кибербезопасности США (US National Cyber Security Alliance) сообщает, что до 60% компаний малого и среднего бизнеса были вынуждены прекратить деятельность через шесть месяцев после успешных кибератак.

"Они сталкиваются с одной из самых больших проблем, не имея бюджета, технологий и услуг, чтобы справиться с нею".