«Реальная проверка киберустойчивости и киберстрахование… — Transcript

Дискуссия о реальной проверке киберустойчивости и киберстраховании в технологическом и промышленном секторах с экспертами отрасли.

Key Takeaways

Кибератаки могут полностью парализовать работу компании, что требует серьёзного внимания к кибербезопасности.
Киберстрахование покрывает различные стадии инцидентов, включая восстановление, простой и юридические расходы.
Руководитель по информационной безопасности должен занимать ключевую позицию в управлении компанией.
Топ-менеджмент часто недооценивает риски, связанные с кибербезопасностью, особенно утечки данных.
Практические пентесты и регулярные проверки бэкапов являются критически важными для реальной оценки защищённости.

Summary

Обсуждение кейса крупной кибератаки на компанию Войска и уроков, извлечённых из неё.
Роман Фралов делится опытом восстановления после массированной кибератаки и ролью киберстрахования.
Разбор четырёх ключевых стадий кибератаки: форензика, простой и упущенная выгода, восстановление из бэкапов, юридические расходы.
Влияние кибератаки на изменение роли руководителя информационной безопасности в компании Войска.
Реакция топ-менеджмента на вопросы кибербезопасности и их восприятие реальной защищённости.
Обсуждение различий в подходах к кибербезопасности в зависимости от отрасли и специфики бизнеса.
Важность практических пентестов и привлечения внешних специалистов для проверки защищённости.
Проблемы с восстановлением из бэкапов и необходимость регулярных практик по их проверке.
Роль страхования в покрытии убытков на разных стадиях кибератаки и значимость чёткой оцифровки затрат.
Особенности коммуникации между IT-специалистами и топ-менеджментом по вопросам кибербезопасности.

Full Transcript — Download SRT & Markdown

Speaker A

Так, коллеги, давайте начинать. Добрый день. А меня зовут Алексей Лукацкий. И я представлю участников нашей дискуссии, которая посвящена, а связанной двум направлениям. Это реальная проверка киберостойчивости и киберстрахование в технологическом промышленном секторе. И мы сегодня поговорим об этой, об этих двух

Speaker A

направлениях. объединённых с экспертами в этой сфере из промышленности, из области страхования, из области кибербеза. А и я представлю Андрей Орефеев, директор по инновациям, продуктовому развитию группы компании Infoatch, Алексей Буза, руководитель направления по киберстрахованию Альфа-страхования.

Speaker A

Богданов Валентин, генеральный директор УЦСБ. Иван Еремеев, управляющий директор Страховой брокер. Роман Фралов, член совета директоров зам генерального директора Страховой дом ВСК.

Speaker A

Рустам Харидинов, вице-президент Гарда. Дмитрий Хомотов, директор ООАЙДЕКА. И Сергей Гусев, замдиректора по информационной безопасности компании Северсталь.

Speaker A

Итак, коллеги, давайте мы начнём с достаточно интересной темы, потому что изначально, когда готовилась эта дискуссия, ну, был всегда вопрос, с чего её начинать, но у нас достаточно необычный сегодня есть заход.

Speaker A

Роман Фролов, компания Войск, согласился поделиться своим кейсом, потому что, как вы, наверное, слышали, компания Войска пострадала от рук хакеров. И, наверное, это повлияло на то, как компания относится и к кибербезу, и к вопросам киберстрахования. Поэтому прошу вывести.

Speaker A

Да, презентацию вывели. И Роман, вам слово. Несколько минут, чтобы поделиться тем, что происходило и какие уроки извлекли.

Speaker A

А вот на суфлёрах нет презентации тоже. Если на суфлёра ещё вывести бы, можно на суфлёра вывести.

Speaker A

Сейчас там пока пытаются технологическую устойчивость. Ну давайте я просто тогда начну. Мы, наверное, такой, да, опыт на самом деле уникальный, потому что мы с одной стороны являемся и страховщиками, с другой стороны мы являемся компанией, которая действительно подверглась в

Speaker A

ноябре прошлого года одной из самых массированных кибератак, которая была на российском рынке. Когда утром сотрудники пришли, не работало ровным счётом ничего, не работала почта, не работала, а работал только свет. Всё, больше не работало ничего в компании, ни одна

Speaker A

интеграция. И знаете, вот пройдя вот этот опыт, мы совершенно по-другому стали смотреть не только на вопросы кибербезопасности, и они у нас переместились в призму председатель сот директоров. И если ранее у нас, э, руководитель инфобеза это был топ два,

Speaker A

топ-три нашей компании, то на сегодняшний день он является одним из членов правления, и он же является топом один. Соответственно, тоже такой интересный факт. Буквально за день до того, как у нас это всё произошло, мы сидели направлении, обсуждали, а надо ли

Speaker A

потратить на Кибербес дополнительные 100 млн руб. Да, и понятно, что все члены правления сказали: "Ну, это что, 100 млн руб. с ума сошёл. Это вообще просто нереально. Вот. А в это время уже кто-то был внутри нас. Вот. И когда утром мы

Speaker A

пришли, мы поняли, что готовы были бы и 100, и 200, наверное, и 300 млн потратить, только бы не произошло того, что было. Исходя из этого, смотрите, мы, а, вот на нашем примере хотели показать, а, как работает страхование в

Speaker A

зависимости от стадий, которые непосредственно происходят в рамках кибератаки. Если смотреть, вот первая стадия - это стадия форензики, стадия восстановления. И здесь мы говорим, что по сути полисом покрывается, начиная всё от восстановления систем по сменной работы и сверхурочной. У нас есть чёткая

Speaker A

оцифровка каждого из этого блоков. Я, наверное, публично не буду говорить по суммам, но готов потом кулуарно проговорить с каждым, кому будет интересно, каждое из этих направлений.

Speaker A

Второе направление, да, это, наверное, самая большая статья потерь - это непосредственно простой и упущенная выгода. А здесь тоже примерно по суммам оно в разы больше, чем первая стадия. По сути, у нас покрывается и остановка выдачи полисов, и потеря клиентов и

Speaker A

дохода, а также сохранение условно постоянных расходов, которые мы также несли, а, в период кибератаки.

Speaker A

Вот. Третья проблема - это восстановление информации из бэкапов. И здесь тоже могу сказать, э, то есть у меня тоже завтра будет сессия, где будут более подробно рассказывать, а что делал Инфобес, что делала IT и что непосредственно делал бизнес для того, чтобы максимально

Speaker A

быстро восстановиться, эти потери были наименьшими. Соответственно, здесь тоже надо отдавать отчёт, что даже если вы имеете нормальные, на ваш взгляд, бэкапы, то не факт, что вы из них сможете восстановиться. Поэтому одна из задач - это также постоянно делать вот

Speaker A

эти практики по восстановлению из бэкапов. Ну и четвёртый пункт, который также покрывается договором страхования, это различные юридические расходы, это различные расходы на рассылку нашим клиентам. И по сути вот эти четыре блока, они так или иначе были все задействованы у нас. Они

Speaker A

чётко оцифрованы, мы понимаем, сколько это стоит. И самое главное, мы понимаем, а что необходимо делать, если, не дай бог, это произойдёт с кем-то из наших партнёров и клиентов. У меня коротко всё.

Speaker A

Спасибо большое. Мы ещё будем возвращаться к этому кейсу. Рустем, вопрос к тебе. А вот по твоему опыту, когда идёт общение с топ-менеджментом компаний, как вообще топ-менеджмент оценивает реальную защищённость своего предприятия по тому, что руководитель Кибербеза сказал: "Зуб даю, у нас всё

Speaker A

хорошо". Либо подчётом внешних приглашённых аудиторов, либо всё-таки стараются каким-то иным образом практически проверить защищённость предприятия.

Speaker A

Ну, честно говоря, если говорить совсем о топ-менеджерах, да, они говорят, что у нас есть специальные люди, они как бы этим занимаются. То есть я бы не питал иллюзией, да, что всё-таки экиerбес - это функция IT-система, за IT-системы отвечают какие-то люди и так далее. И

Speaker A

если говорить, что бизнес хорошо понимает, это простое, да, когда начинаешь говорить про конвенциальность и целостность, да, их не особо парят, а доступность это как бы очень легко считается. Поэтому есть вещи, которые занимаются доступностью, например, антидидоз, да, и это люди очень

Speaker A

понимают. Сайт не работает 2 часа, не недополучена такая-то, э, прибыль. Вот поэтому всё, всё как бы сегментировано, да? а-а какие-то решения по защите от утечек, да, наверное, не очень интересны. Ну, что-то утекло, не утекло, а утекло используют, оштрафуют, не

Speaker A

оштрафуют, знаешь, как это вот в этом, а вы только в конце один выход, да? А так всё время непонятно. А, и в этом плане, если говорить про именно построение коммуникации, да, она, во-первых, сильно зависит от отрасли, потому что простой банка и пожар на

Speaker A

заводе - это две разных два риска, которые технологически выглядят одинаково. Что-то не сработало, да? А и в этом плане всё очень сегментировано. И такого единого ответа, что вот надо делать так и вот получится так, нет.

Speaker A

Надо выбирать как бы цели, задачи, индустрию, доступность целостности или конфиденциальность и там уже выбирать коммуникацию. Всегда можно достучаться.

Speaker A

Но спасибо, Сергей. Вопрос к тебе. А уже с точки зрения, не назовём это заказчика, с точки зрения компании, которая работает в промышленности. Вот что для вас реальная проверка защищённости? То есть вот Рустем сказал, что утечки сейчас никого не интересует. И,

Speaker A

наверное, это правда. Действительно, для большинства компаний утечки при отсутствии оборотных штрафов за прошедший год это, ну, превратилось в некий анекдот, а не в серьёзный риск, наверное. Вот что для вас сегодня реальные какие-то проблемы? И как вы доказываете, что вы защищены от этого

Speaker A

или что, наоборот, есть какие-то места для улучшения? Да, Алексей, спасибо за вопрос. Мне кажется, наверное, начну, что является реальной проверкой на сегодня. Это всё-таки практические пентеры, тимы независимые, которые приходят, ну, и, наверное, там регулярно, как своими силами, так и с привлечением

Speaker A

всё-таки высококлассных специалистов внешнего рынка. Мы себе с учётом там риски, наверное, угроз стараемся выбирать тех, которые имеют ну там хороший вес.

Speaker A

на нашем рынке. Вот это, наверное, том, что практически позволяет. Если вернуться к такой оценки, то, что вот Рустм говорит, ну, действительно, наверное, такой универсальной оценки, сколько бы там ни было для всего бизнеса сказать: "Вы защищены, ничего не придёт", никто сказать не может. Я помню

Speaker A

и твои выступления, рынок рисков кибербеза настолько много инообразно, что никто сказать досконально не можем.

Speaker A

Тем не менее, есть вещи, связанные с лучшими практиками, с инструментами, которые, ну, наверное, там в рамках консалтинга либо агентства рассказываются. Вот то, что мы можем принимать и подтягивать. Поэтому такое комби набора инструментов по своей методике, которую мы там собрали,

Speaker A

релевантны для нашей компании. Плюс вот такие независимые оценки, на мой взгляд, позволяют давать оценку о том, где мы находимся.

Speaker A

Спасибо, Алексей. Вопрос к вам. А вот насколько страховку сегодня нужна независимая реальная проверка защищённости своего клиента перед заключением договора? Или достаточно просто анкеты, чекбоксы? У меня вот здесь вот это вот это сделано, и этого достаточно для заключения страхового

Speaker A

полиса. Тут я прокомментирую. Безусловно, э для нас важно проверить клиента, да, но это касается в основном крупного бизнеса, да, то есть если мы говорим про хороший такой э чекап, про аудит, проверку надёжности клиента, реальной информационной защиты, да, а для

Speaker A

небольших лимитов, для малого среднего бизнеса достаточным фильтром является условия в оферте и, э, опросный лист.

Speaker A

Вот в данном случае рынок инфо страхования верит сейчас пока что своим клиентам, да, даёт хорошие ставки на основании этого.

Speaker A

Ну, есть вот где-то граница условная, что вот здесь мы проводим обязательную проверку. И опять же это вы проводите или привлечение внешней компании, а вот ниже этого лимита мы верим на слово и просто подписываем условно договор после заключения вот этого там заполнения

Speaker A

анкеты. Ну, на мой взгляд, здесь всё зависит от выбранных рисков компании, да, и складывающихся из них лимитов, да. То есть, если мы говорим про восстановление Форензику, да, это довольно-таки не сильно большие траты, это до 10 млн руб. лимиты, да, и

Speaker A

тут достаточно и без аудита. Что касаемо уже больших лимитов, там, где требуется от 100 до миллиарда и 3 млрд, да, там, конечно, аудит нужен, но в этом случае чаще клиенты имеют уже свои постоянные периодически проведённые аудиты сертифицированных компаний, они с радостью предоставляют

Speaker A

эти данные, чтобы получить лучшие условия. И это, безусловно, в плюс идёт. Алексей, позвольте я дополню.

Speaker A

Да. Да. А поскольку мы работаем со всем страховым рынком и со всеми клиентами, я могу сказать так, что у всех страховщиков подход сейчас разный, и все страховщики сейчас, собственно говоря, пробуют по-разному, кому как проще эти риски оценивать и что им для этого

Speaker A

нужно. У нас есть практика, когда страхки готовы брать риски и без какой-либо оценки вообще.

Speaker A

Соответственно, есть практика, когда стравщики требуют пин-тест, есть практика, когда стравщики требуют результаты аудитов, но единого подхода с точки зрения того, что дайте нам вот это, его не существует. По сути, это вопрос договорённости и вопрос становления рынка. Как только мы придём

Speaker A

до определённой точки, тогда она появится. На данный момент кто как договорится. Вот, наверное, правильный ответ на этот вопрос.

Speaker A

Ну, раз вот зашёл такой вопрос, вот сразу и Роману, Алексею, и Ивану, а есть ли реальные выплаты? А в случае наступления страхового случая в России, да, да, выплаты есть, есть и публичные выпады, есть непубличные. На самом деле страховые компании, в том числе и наши,

Speaker A

э, подписывают индей с компаниями. Да, мы не можем делиться в открытую выплатами, но выплаты, э, достигают и более 100, и 200 млн руб. И бывают небольшие выплаты, там 2 млн, 4 10, сколько потребуется, да, в данном случае страховые компании стремятся, в том

Speaker A

числе и наши, сплатить быстро, потому что чем быстрее мы среагируем на киберинцидент, чем быстрее привлечём специалистов, локализуем угрозу, и чем меньше нам нужно будет восстанавливать, тем будет лучше и нам, и клиенту, и рынку в целом.

Speaker A

Давайте я цифр вкину, если хотите. Значит, по моей информации, на рынке порядка восьми страховых случаев, которые были урегулированы. Самые кру За какой период?

Speaker A

Это за последние 2 года. Значит, самая крупная выплата закончилась убытком свыше 200 млн выплаченных. Вот, э, вторая по размеру там была чуть больше птися. Все остальные там в пределах 20-30.

Speaker A

Ну, это точно как бы к нашему случаю бы не отнеслось. там масштабы были совершенно другие бы. Я, может быть, вот буквально пару слов хотел сказать вообще к подходу к страхованию, да, вот тоже мы говорим там и киберзащита, а а я бы

Speaker A

всё-таки говорил о киберустойчивости, потому что а то, что кого-то когда-то взломают - это факт, да? То есть тут нет никакой системы защиты. У нас были соки, идиорагет, у нас было всё. Да, всё, но всё равно нашёлся ручеёк, и он всегда

Speaker A

найдётся, по которому в компанию так или иначе зайдут. И вот термин киберстойчивость наверное он характеризует, а насколько быстро и безболезненно компания может восстановиться. И мне кажется, и подход к страхованию он должен быть не как к некой там финансовой подушке, которая

Speaker A

сможет, если что, компенсировать какие-то потери, да, а вот именно такой он страховой, наполовину сервисный продукт. А как найти партнёров, которые быстро смогут провести расследование, определить там точку входа? Потому что восстанавливаться без определения там точки входа, ну, нету смысла вообще

Speaker A

никакого, да? А как быстро вы сможете собрать инженеров, которые вам позволят там сеть пересобрать, да, или ещё что-то делать? Поэтому вот я бы на страхование, и мы именно так сейчас смотрим, что это не только покрытие, но и совершенно

Speaker A

такой важный уровень сервиса. Спасибо, Валентин. Вот вопрос к тебе. По опыту работы с промышленными заказчиками. Какие ошибки они обычно допускают при проверке себя с точки зрения защищённости? То есть они также условно опираются на аудиты, бумажная безопасность, кос, мы соответствуем

Speaker A

требованиям приказов. А в реальности хакеры не читают эти документы, ломают совершенно по-другому, не так, как это написано в документах. Вот какие здесь ошибки. Хорошо бы издать закон, чтобы все соблюдали законы, да, и хакеры в том числе.

Speaker A

Было бы неплохо и были посчитаны заранее. И второй вопрос. Много ли сейчас запросов на страхование как бы киберрисков со стороны промышленности?

Speaker A

Ну давайте, да, по хорошей традиции начну со второго вопроса. Я специально, готовясь к сегодняшней необычной, на самом деле, для меня вот этой сессии, да, провёл среди некоторых наших заказчиков такой опрос: а вообще вот пользуетесь ли вы, я говорю сейчас про

Speaker A

промышленность этими услугами, я очень удивился, что многие компании, они реально уже подошли к тому, что там не просто рассматривают предложение, что может быть, может нет, а реально уже заключили договоры. И действительно, как коллеги правильно говорят, уже даже кое-где были страховые выплаты. Ну, в

Speaker A

целом, наверное, с точки зрения информационной безопасности это нормальное явление, да, мы там все помним четыре стратегии обработки рисков: минимизировать, там уклониться.

Speaker A

И одна из стратегий получается застраховаться, передать риск кому-то. И удивительно, что только вот сейчас стали про это очень громко говорить. Раньше это было с подрядчиками. Все помнят PCI и ДСС, там надо было застраховать бизнес, чтобы работать в качестве

Speaker A

аудитора. Мы эту тоже историю проходили. Именно сейчас наши заказчики, ну, наконец-то вот это четвёртую стратегию обработки рисков начали применять. Это, на самом деле, очень здорово, с одной стороны, с другой стороны не очень здорово.

Speaker A

Поясню, почему. С одной стороны вот всякие такие институты государственные и окологосударственные типа саморегулируемых организаций и так далее, они всегда имели вторую ногу, про которую вот у нас в России иногда забывает. Вторая нога - это страхование.

Speaker A

Если ты входишь в какую-то организацию саморегулируемую, там подтверждаешь своё соответствие определённым требованиям, ты что имеешь право? Ну, некоторую скидку на поле страхования, правильно?

Speaker A

Вот у нас зачастую, чтобы войти в саморегулируемую организацию, нужно выполнить кучу требований, но это тебе никаких бонусов не даст. Вот это, наверное, хорошая новость, что действительно, если ты подтверждаешь выполнение требований, если ты демонстрируешь свою зрелость в области информационной безопасности, то, вообще

Speaker A

говоря, страховая компания, ну, должна идти к тебе навстречу, да, дать тебе возможность получить этот полис или как он там правильно у вас называется, да, на более выгодных условиях. С другой стороны, есть плохая новость. Ээ киберриски они очень плохие ведь риски, на самом деле.

Speaker A

То есть, как там, у нас у безопасников позитивных рисков-то вообще в принципе не бывает, да? Это там в проектном менеджементе бывают позитивные риски. У нас все риски плохие. А если мы говорим про информационную безопасность, то знаете, чем они ещё плохие? Что вот

Speaker A

информация, она обладает определёнными свойствами. Мгновенно исчезать, мгновенно копироваться с одного места на другое. Э неконтролируемо доступ. Ну, если там в склад доступ получили или склад сгорел, об этом все узнают, да? А если к базе данных был доступ получен,

Speaker A

ну не факт, что это будет известно. Утечка произойдёт мгновенно, неизвестно, как это будет. Пожар не может мгновенно распространиться на 300 складов, которые по всей России там или по всему миру распределены. А взломать 300 центров там, не знаю, у подрядчика кого-то через

Speaker A

одну точку, да, пожалуйста, это можно сделать в считанные секунды и мгновения. Поэтому вот такие классические какие-то стахастические вероятностные подходы, когда мы говорим о равномерном распределении вот этих вот чего получается инцидентов, да, или како-то там посоновском, не знаю, что-то типа

Speaker A

такого, здесь оно может не работать. Здесь может быть нету, нету, нету. И раз такой риск с такими последствиями, что страховой это будет очень тяжело покрыть. Поэтому, наверное, вот это некоторая террора инкогнито для страховых компаний наши киберриски, которые необычные. И возвращаясь к

Speaker A

твоему первому, Алексею вопросу: "А что делать-то, как бы, да, какие меры предпринимать?" Здесь тоже есть хорошая новость, что многие компании подходят не совсем правильному пути. Мы закупим самые дорогие средства защиты, мы наймём там, не знаю, самых дорогих подрядчиков, мы купим очень много самых

Speaker A

хороших там би кирпичей, но забудем про бетон, например, да, забудем про то, что нужна там очень корректная интеграция, забудем про то, что нужен необходимый нужен постоянный непрерывный контроль и сквоздной контроль, да, за выполнением требований, причём за требованием в

Speaker A

широком смысле. Бетон же для подрядчиков плохих закупается. Ну, как бы и подрядчиков тоже надо контролировать. Причём подрядчиков как бы, как показывают вот наш опыт, там мы вот отчёт наш сок недавно выпустил примерно, я вот не знаю, верить этим значением либо нет, но

Speaker A

примерно треть взлома в крупных компаниях - это через подрядчиков либо косвенно связано с ними. Как бы статистика такая не очень приятная.

Speaker A

Поэтому, страхуя риски большой компании, да резюмируя оценивая там цену полиса и возможность потерь, надо оценивать гораздо более широкое окружение этой компании. Как вы работаете с вашими подрядчиками, какая у вас зрелость, как вы контролируете выполнение требований. А это уже там

Speaker A

одним опросникам, извините, мне кажется, не сделать, да? О'кей, спасибо. Сейчас нет, сейчас, Роман, я всем дам слово. Андрей, как бы это вот продолжение и, наверное, ты хочешь добавить ко многим из выступивших и ещё один дополнительный вопрос. Вот где именно в промышленности та грань

Speaker A

между экспериментом, который повлечёт за собой не печальные последствия в рамках проверки и действительно некой контролируемой истории? Потому что в отличие от офисных систем в промышленности цена неудачного пентеста обходится гораздо больше.

Speaker A

А, да, Алексей, спасибо. Я на самом деле хотел два вектора подчеркнуть. Значит, первый вектор, ээ, по отношению к коллегам, которые занимаются страхованием, совсем не случайно совпал.

Speaker A

Так что компания INFW провела экспертно-аналитический центр, выпустил отчёт как раз по страхованиям киберрисков. Я не знаю, видели, не видели и с такой интересной, простой мысли, что, э, объём рынка киберстрахования составляет примерно 4 млрд руб. Ну вот это порядок. Это на

Speaker A

самом деле мне интересно узнать мнение коллег в этом плане, как бы на какое их ощущение, потому что из интересного я услышал, что как бы за 2 года, то есть клиенты потратили порядка 8 млрд, а выплаты составили, ну, меньше миллиарда,

Speaker A

судя по всему. Ну, есть восемь страховых случаев там. Так вот грубо такие оценки, да. Но в принципе, ну, порядка 300, судя по всему, 250 и дальше по мелочи. Восемь кейсов максимальный 200, второй 50. Ну, то есть в массе, в сумме точно будет порядка

Speaker A

300. 300. 300, да. 300-400, да. То есть как бы у рынка потенциал есть. В общем, есть.

Speaker A

А вот всё это есть ограничительные факторы, да? То есть как бы вы не застрахуете нас от оборотных штрафов.

Speaker A

Смотрите, какой момент. Я небольшой комментарий дам по части объёма рынка, который вы сказали. Тут очень важно понимать понятие, что вы называете объёмом рынка. Если мы говорим про объём рынка, насколько мы можем застраховать потенциальный бизнес, сколько клиенты вам заплатили?

Speaker A

Если говорить про то, сколько клиенты заплатили, вот здесь надо разбивать. Есть корпоративное страхование, индивидуальный полисы, есть коробочные продукты. Если мы говорим про корпоративное страхование, я вас сейчас может быть удивлю, а может быть огорчу, этот рынок намного меньше, он до

Speaker A

миллиарда. Угу. А если мы берём всё вместе вот с этими коробками и так далее, то он около миллиарда, может быть, чуть больше. Но это и не 3, нечетыре. 3-4 млрд - это то, на какую сумму можно застраховаться.

Speaker A

А то есть, да, есть скажем так вот такая вот терминология, которая не всегда правильно интерпретируется. Поэтому, э, что сейчас делает страховой рынок? По сути, э, вот весь объём сборов по корпоративным полисам составляет порядка 500 млн, а рынок готов страховать бизнес

Speaker A

на 2-3 млрд. То есть одну компанию можно застрахать на 2-3 млрд. А теперь представьте, если вот у какой-нибудь компании произойдёт крупный инцидент, она вынесет весь рынок одним убытком.

Speaker A

Ну да, при том объёме, которого называете, это точно. Да. Вот, собственно, просто те компании, у которых эти инциденты произошли в двадца четвёртом двадцать пятом, у них не было полисов. Поэтому нет выплат.

Speaker A

Полисы полисы покупают не так много компаний. То есть на рынке порядка, наверное, 200 корпоративных полисов, вот именно, которые крупные, осознанно купленные. Вот. Вот и всё. Вот и вся математика.

Speaker A

Иван, даже если долю смотреть, да, если объём рынка там без жизни там 15 триллиона, да, примерно, да, а объём по киберискам там до миллиарда, это по сути получается меньше 1.сяной от объёма рынка, это киберстрахование, да.

Speaker A

цифры хотел привести. Понятно, на Западе гораздо быстрее это всё развивается, но вот по данным Мюнихре там в прошлом году объём рынка был порядка там 14-15 млрд долларов. В этом году, ну, по двадцать пятому году около 20-22 млрд долларов. И

Speaker A

к двадцать восьмому году планируется, что объём рынка будет более 100 млрд долларов. А мы делаем прогнозы, что у нас к двадцать седьмому, к двадцать восьмому году объём рынка составит 10 млрд руб. И понятно, что сегодня никто из промышленных предприятий серьёзно

Speaker A

вопросом страхования, вот именно с точки зрения реализации, а поговорить - это все готовы, а именно застраховать вопрос конечно крайне-крайне такой тонкий вопрос. Почему? Да.

Speaker A

Так, Дмитрий, у меня к вам вопрос. в продолжении. Вот Роман вначале очень хорошую фразу про финансовую подушку упомянул. Вот, собственно, что важнее сейчас для бизнеса, собственно, и для вас, вы же руководитель технологической компании, а у нас одна из тем, а, в том

Speaker A

числе и риски для технологических компаний и для заказчиков. это снизить риск технически, реализовав кучу защитных мер или вначале создать себе финансовую подушку на случай, если всё-таки риск произойдёт. То есть с чего начинать и есть вот эта дилемма с чего

Speaker A

начинать? Или надо и туда, и туда ломаться, или, наоборот, только в технические меры, а если они хорошие, так и страхование не нужно, да? Ну, собственно, рынок-то мы видим, что пока решает так, что технические объём рынок НГФ, ну, решений там по

Speaker A

сетевой безопасности, там других и решений намного больше, чем объём рынка страховых услуг пока. Потому что, опять же, мне кажется, всё-таки развитие технологическое решений пока выше, чем развитие вот страхования. Хотя, конечно, они должны идти рука об руку, но пока

Speaker A

находятся на прямо это, э, скажем так, по сравнению, допустим, с за зарубежными рынками и решениями на разных полюсах.

Speaker A

То есть у нас, если там есть достаточно хорошие решение по там защите конечных рабочих точек, Next Generation Firewall, там другие какие-то, ну, которые более-менее сопоставимы с западными, это импортозамещение показывает, то вот страховое, то, что обсуждали сейчас, на самом деле, оно очень сильно же

Speaker A

отличается от западного рынка. Допустим, если мы обсуждаем оценку на этапе покупки полиса, так, ну, за рубежом-то действует не так. То есть это, к сожалению, не как пожарная сигнализация, которую там оценили, что есть на складе, и она там 10 лет

Speaker A

работает до какой-нибудь проверки. А здесь же мы имеем, конечно, дело с информационной безопасностью, которая совсем по-другому. То есть сейчас у вас всё хорошо, допустим, а через месяц там, не знаю, правила изменились, изменился ландшафт угроз и стало всё совсем

Speaker A

по-другому. Поэтому, допустим, на за рубежом там часто непрерывные способы проверки защищённости, там аля онлайн-сканеры, проверки уязвимости в режиме реального времени используются.

Speaker A

Ээ, мне кажется, до того, ну, пока рыги страхования не придут к каким-то таким же более продвинутым решениям, они не смогут занять достаточно долю рынка.

Speaker A

Хотя, конечно, то, что взломают так или иначе, понятно. И поэтому, что такие услуги, как страхование, должны, по идее, занимать гораздо большую долю от объёма продаж решений.

Speaker A

А мне кажется, что я бы немножко по-другому вопрос поставил, да, вот на мой взгляд, да, мы как бы не конкурируем друг с другом, да, мы друг друга дополняем, не, ну просто, да, несколько тези совку деньги заказчика всё-таки, а я могу сказать, что если правильно

Speaker A

делать баланс между бюджетами, а я могу сказать, что даже что по нам были одни бюджеты.

Speaker A

Когда это произошло, бюджеты стали другими. Жалко, что мы только на таких уроках, на самом деле, это выучили, потому что, конечно, не хотелось бы это этого этому учиться, но так получилось.

Speaker A

Поэтому, конечно, здесь мы должны просто дополнять друг друга, потому что понятно, нельзя сделать технический риск нулевым однозначно, и нельзя просто подушку создать. И опять же здесь комплекс мер, связанных, ещё раз повторюсь, с быстрым восстановлением и так далее. Ну, тут просто более широко

Speaker A

мне надо, конечно, смотреть. Можно, можно я чуть добавлю вот этот тезис, что мне кажется, мы должны, конечно, идти рука об руку, потому что, к примеру, наличие каких-то средств защиты, оно снижало бы стоимость полиса, и так рынок бы и развивался эффективнее.

Speaker A

Спасибо, Алексей. Да, да, хотел бы добавить, да, то есть страхование киберрисков и средства защиты информации - это всё-таки разные слои устойчивости бизнеса в первую очередь. И здесь нужно понимать, да, то есть когда мы ставим такой вот выбор то

Speaker A

или то, да, то мы можем такую же аналогию провести, а что мы в машине важнее: тормоза или подушка безопасности, да? То есть это немножко то, что должно работать в синхроне. И компания, когда проверяет себя, она в первую очередь должна

Speaker A

проверить внутри будут при компроментации, утечке или взломе определённых систем или доступности сервиса, да? То есть мы, э, чаще всего осознанные клиенты, они знают по своей методологии, по DRP список своих недопустимых событий, какой убыток нанесёт то или иное недопустимое

Speaker A

событие, кто отвечает за восстановление, кто за это платит. И здесь как раз страхование идеально ложится вот в эту всю систему, когда компании доходят до зрелости э такого уровня и могут своим топом, своему управлению, своим собственникам разъяснить, как это будет работать и кто

Speaker A

отвечает за каждый этап, тогда становится понятно, да, что нужно конкретной компании. Спасибо, Андрей, добавить.

Speaker A

Слушай, я не ответил на твой вопрос по поводу пинтестов, на самом деле, в промышленности. Значит, ну, тут надо подсветить. Понятно, что Infoфовоч в основном занимается инфобезом, да, не кибербезом, поэтому как бы мой О, ты сейчас на скользкую. Да, да, да,

Speaker A

подожди, я я как бы так согласен с тобой, да, значит, но как бы из здравого смысла я понимаю, что как бы с одной стороны, да, на промышленном объекте я бы не стал делать пин-тест полноценный, потому что риск остановки конкретного

Speaker A

оборудования и потенциальной потери этого оборудования или потери от простого этого оборудования, скорее всего, непоставим. Я бы лично это делал на какой-то независимой лаборатории с одной стороны, а с другой стороны, у ФВАЧа есть второе направление, мы её называем силини линейка, которая

Speaker A

занимается НГФВ. И мы знаем, и у нас есть промышленные НГФВ. Я знаю, что все наши клиенты ставят промышленные НГФВ не в разрыв, а в режиме мониторинга. Это прямо наводит на такую самую мысль, что в целом ни один здравый безопасник не

Speaker A

пустит в свою промышленную систему что-то, что может нарушить её работоспособность, потом технологические процессы. Поэтому как бы вот эта мысль, она как бы добавляет мои логические рассуждения. Сейчас Сергей добавит.

Speaker A

Я может даже на удивление возражу. Первое, ну точно для того, чтобы проверить тот илино industrial сегмент, для этого есть, не знаю, плановые ремонты, движения, вот те статусы, когда последствия фактически не приступят. Это окна, возможности такие присутствуют.

Speaker A

Ээ, обычно плюс немножко попробую ещё ответить на вопрос, почему же промышленность не идёт в киберстрахование. Возможно, так, одна из гипотез. Э, ну, плюс-минус основные простое производство оборудования, движения, они все застрахованы достаточно большие суммы. И поэтому одним из элементов, вот насколько он

Speaker A

покрывает киберриски, в каком объёме именно там, там при условиях, движениях, но тем не менее покрытие определённое точное присутствует. Второе, там, где есть транзакционные операции, ну, не знаю, там шарыс, вот такие подразделения, там действует страхование профессиональной ответственности. То есть, если сотрудник

Speaker A

допустит, что-то сделает не то, и это приведёт тот самый человеческий фактор к реализации, то, в общем-то, полис тоже покрывает. Вопрос: весь ли это спектр или не надо при этом заниматься постоянием системы защиты? Но ответ короткий точно надо, потому что ни один,

Speaker A

ни однаковая компания точно прочекает, говорит: "Чек-лист здоров, можешь и двигаться". Поэтому тратиться на систему защиты нам всё равно тоже нужно. И поэтому дальше вот, наверное, туда рынок выравнивания, движения что-то придёт. Но сказать, что он его нет и до этого не

Speaker A

было, он точно присутствовал просто в другом виде. Спасибо, Рустем, у меня к тебе вопрос.

Speaker A

Ты общаешься с большим количеством и заказчиков, и ЦИС, и так далее. Нет ли на рынке ощущения, что сегодня страхование - это, ну, некая такая хайповая тема, но при этом, когда доходит до реального страхового случая, страховая всегда найдёт обоснование,

Speaker A

почему не выплачивать э компенсацию, потому что здесь инфа вовремя не обновили, здесь неполное покрытие. Ну, то есть мы все знаем, что стопроцентное покрытие сделать безопасности нельзя.

Speaker A

Всегда найдётся основание, почему не выплачивать. Вот нет ли опасения такой на рынке? Ровно поэтому люди не идут в страхование. А я я как бы немножко там отвечу на другой вопрос. А потому что почему люди не покупают страхование, да? Ну как бы

Speaker A

каждый не покупает каким-то своим страхам, да? То есть когда люди покупают что-то впервые, они не про продукт думают, а не про ответственность. Что-то купишь, что-то появится. С этим надо работать как психолог со страхом. А 20 секунд анекдот. Три э- мужика курят

Speaker A

сигары на палубе океанского лайнера. И один говорит: "Вот я фермер, у меня собрал урожай и сгорел урожай, но страховая всё выплатила, даже остались деньги на круиз". Вторый говорит: "У меня та же фигня, а только э намочили грунтовые воды урожай, он сгнил, и мне

Speaker A

страховая заплатила. Вот сижу". Второй говорит: "Парни, мы, товарищи по несчастью, у меня вот был в чистом поле урожай, налетело торнадо и как бы его уничтожило". Первые двое говорит: "А как ты сделал, Торнадо?" А, а на самом деле в этом зале сидит, наверное, человек, ну

Speaker A

вот тех, кого я знаю, человек 30, которые могут сымитировать инцидент, а получить страховую выплату, быстро откатиться. А когда ты людям продаёшь страхование, они говорят, что правда, если у нас что-то становится, нам выплатят. Я вот удивляюсь, как страховые это продают, потому что любой

Speaker A

кибербезопасник может сымитировать инцидент, так что не придерётся никто. Вот. И пока нет вот этого доверия, одни думают, что эти будут мошенничать, а эти думают, что эти не будут платить, да? А потому что страхование - это прежде всего про доверие. И вот это доверие

Speaker A

надо совместно создавать встречно, да, не работать через прилавок. А ну-ка покажи, что у вас есть, а это мы вас обманем. Да, вот эта тема, она как бы сейчас она хайповая, потому что стрёмная. Извините как бы за слнг. Вот.

Speaker A

И, э, реально разговоров о том, о чём, правда, как бы мы можем за любой инцидент получить бабки, потому что мы тоже продаём как провайдеры. Мы провайдеры некоторых страховых пакетов совместно. И вот больше вопросов про то, что что нам правда выплатят.

Speaker A

Спасибо. Сейчас, Валентин, я понимаю, уже пошла дискуссия. Да, я просто не, да, немножко не соглашусь с Рустемом, потому что неправильный термин страхования киберрисков. На самом деле страхуются не киберриски, а последствия от киберрисков. То есть когда предприятию уже за счёт киберриска реальный ущерб

Speaker A

нанесён, там, не знаю, деньги потеряны, оборудование вышло навсегда из строя, э тогда только можно считать, что как бы страховая будет что-то выплачивать. Если ты сымитировал инцидент, да, пожалуйста, хоть заимитируйся, да, тебе ничего не заплатят здесь. И там вообще есть ещё

Speaker A

один маленький нюанс, сейчас добавлю, что страховщички, они же тоже люди достаточно опытные и не глупые, если честно, да? То есть, допустим, нельзя застраховать штрафы, которые тебе государство платит за невыполнение требований. Нельзя не тебе, а ты государство.

Speaker A

Не тебе государство платит, а ты, государство. Ну, который, да, говорился, извини, да. То есть ты не не можешь компенсировать штрафы, которые государство тебе выставило на самом деле, да? И другие ограничения есть, которые вот такому вот, извините, прямому мошенничеству

Speaker A

страховому они даже в кибер рисках они к этому не приведут просто. Да, это невозможно. Да, Лёш, я бы на самом деле добавил что страхование как бизнес, он опирается на статистику. И ты знаешь, когда, если ты каска страхуешь, сразу смотрят

Speaker A

статистику угоняемости, статистику аварии и так далее. А по киберрискам пока такой статистики нет. И каждый придумывает свои методики, да? Насколько они рабочие, мы узнаем там через 10 лет, когда накопим статистику. И сейчас это просто реально мы идём все на ощупь,

Speaker A

навстречу друг другу. Поэтому я призываю к сотрудничеству. Сейчас Дмитрию её дам, а потом коллегам сказал бы да добавить что ну Рустм правильно сказал, что со стороны там заказчика можно легко сымитировать, но я посмотрел примеры полесов страховой киберустойчивости страховки, и там тоже,

Speaker A

допустим, есть пункты, что заказчик обязуется, что у него нет уязвимостей в информационной системе. То есть сразу же можно отказать на, если есть хоть один Цве в любом компоненте, ну, всё, отказ в выплате. То есть вопрос доверия важный, но вот мне кажется он самостоятельно не

Speaker A

сформируется. Вот тоже, что упомянули, то, что за 10 лет скопится статистика, так сейчас она не скопится. То есть пока есть такая культура замалчивания и киберинцидентов, и оценки их последствий. То есть ни страховые, скорее всего, не смогут нормально, как

Speaker A

раз это на основе цифр формулировать риски и там выставлять цену и повышать планку, потому что как раз будет, что если там максимум может там миллиарды больше, чем все клиенты заплатили. Но и на за рубежом это же тоже не само

Speaker A

появилось. То есть культура замалчивания была и там. Вот здесь, мне кажется, без воздействия регуляторов именно с той стороны, что обязать вот, допустим, там, ну, в США публичные компании, по-моему, 4 дня должны сообщить о инциденте кибербезопасности и потом сказать,

Speaker A

сколько это бы нанесло ущерб. То есть вот без этого не накопится ни статистика, ни вообще инструмент. Это и бизнесу будет сложно доказать безопасникам, что сколько это. Вот у нас же всегда есть, знаешь, же какие-то отчёты, где там, не знаю, там ущерб от

Speaker A

киберпреступлений там составил там 100 млрд ру триллинв руб, допустим, на основе чего, ну, непонятно. Никакой бизнес этому, конечно же, не верит. А вот, допустим, если это регулятор скажет обязательно каким-то компаниям э публиковать, то тогда появятся цифры.

Speaker A

Будет лучше и страховым компаниям, и клиентам, и доказывать бизнесу безопасникам в конечном роде. Ну так-то у нас есть регулятор, который обязывает уведомлять об инцидентах. Но не всё-таки без ущерба. То есть это то, что и он прав всё равно потом никому не

Speaker A

рассказывает. Дада. Да. Вот не публично. То есть то, что это ну уведомляют и уведомляют.

Speaker A

Ущерб никакой. Ну мы же всё-таки тут о деньгах непонять. Ой, спасибо. Сейчас, сейчас, сейчас. Подождите, Андрей, а потом А у меня вот некоторый контраргумент, наверное, к Дмитрию. А вот наверняка вы все слышали о том, что, то есть как бы

Speaker A

мой тезис следующий. То, что сказал Дмитрий, обозначает, что в современном мире киберстрахование надо отключить, потому что в любой современной системе есть уязвимости. Значит, простой пример.

Speaker A

И и вообще мы у меня ощущение такое, что как бы мы сейчас генералы, которые обсуждают тактику следующей войны на основании прошлой.

Speaker A

Игра в современном мире сильно изменилась. Ну, например, там Антропика, есть такая компания американская. Они нашли уязвимость во всех линуксовых операционных системах, которые позволяют получить руддоступ.

Speaker A

обычному пользователю. Уязвимость, критическая уязвимость, на самом деле во всех. Об этом никто не знал, никто её никогда не находил. Там за последнюю неделю они нашли 30 уязвимости в Хроме.

Speaker A

То есть де-факто мы находимся в состоянии, когда у вас вся ваша инфраструктура дырявая. Ну просто вы об этом не знаете и никогда не узнаете, пока ребята вот с той тёмной стороны не придут и не сделают какое-то странное дело.

Speaker A

Так вот об этом и вопрос же. Поэтому сейчас вопрос коллегам из страховых. А как быть вот такой ситуации? Ведь действительно в во многих договорах написано: если у вас это не соблюдено, значит выплат не будет. Если у вас есть

Speaker A

уязвимости, значит выплат не будет. Поэтому кто Роман Иван? А я, знаете, вот немножко тоже опять вот я не в тему всё время отвечаю, но хочу немножко по-другое сказать, да. Для меня, например, вообще непонятно, а почему кто-то что-то утаивает, да. Вот у

Speaker A

нас официальная позиция нашей компании, да, то, что мы понимаем, что это может вообще, в принципе, принести ущерб любой отрасли, любому предприятию, и мы, к сожалению, прошли через этот путь. Так почему мы не можем поделиться, как это было и что происходило на нашем примере

Speaker A

и какие у нас были потери? И я могу сказать, что вот это открытая такая позиция. Мы делимся не только там с промышленными предприятиями. Извиняюсь, нас приглашают всс выступить, да, или иб. Мы приезжаем в ВСС и ЦБ, рассказываем коллегамстраховщикам, что

Speaker A

произошло. И вот эта позиция какая-то утаивания, позиция там, не знаю, мышкования, не знаю, чего, да, или там ещё хуже там мошеннических каких-то там провокаций. Давайте мы типа застрахуйте, а мы всё равно найдём, как с вас денежки снять. Но она вообще как немножко

Speaker A

претит. Вот. А вот с точки зрения там откры открытия информации, пожалуйста, мы ещё раз говорю, готовы по шагам рассказать, что нужно делать, если такое произойдёт. К нам каждый день приезжают две-три крупных компании в центральный офис, а где на уровне собственности

Speaker A

генеральных директоров, где мы рассказываем с участием айтишников наших, инфобезников, а как это происходило и что мы делали. для того, чтобы, не дай бог, что у вас произойдёт, вы могли реагировать не так, как мы долго, а мы реально там попробуйте вот

Speaker A

эти карты там DRP есть план и можно сказать DRP план вообще он шикарный, прекрасный, но когда начинаешь реально смотреть и ты понимаешь, что там 50% не работает, да, или тоже там сказали 7DB вот это, да, я вообще, ну, далёк отойти,

Speaker A

вообще очень далёк, в принципе, но мне тоже говорит: "Бе, ну, у нас CNDB пропал". Думаю, что за синь думаю, ругается кто-то, блин. Но потом мне объяснили, да, я понял, вот у меня дом загородный, в нём там вот эти

Speaker A

автоматы, блин, да, и каждый автомат к чему-то, да, кто к розетке, к свету и так далее. И вот у меня строители делали ремонт, это выкинули карту вот этого вот этих автоматов. И я вместе у меня там с супругой вот эти CNDB карту заново

Speaker A

составлял, блин, какой какой автомат к какой розетке подходит мне. Вот я тогда вот так разобрался, что такое CNDB, поэтому понятно вот, ээ, мне кажется, давайте не будем друг от друга ничего утавить, давайте будем открытыми. И только тогда, мне кажется, вот от

Speaker A

внешних всех угроз, а угрозы они реально внешние и не внутрироссийские, да, мы как-то нормально сможем защищаться.

Speaker A

Я боюсь, что немногие компании согласятся с такой открытостью. Давайте, Иван, сейчас, знаете, чем прекрасен рынок киберстрахования сейчас? Я скажу от лица профессионального сообщества и от лица клиентов. Вот мы сейчас говорим, у нас нет статистики никакой. Это чистая правда, да? Все, никто ничего не

Speaker A

рассказывает. А если рассказывают, то без цифр. Ну, как бы такая себе статистика, да. Вот. А у нас, собственно говоря, непонятно, как оценивать риск.

Speaker A

Ты говоришь трхщику: "А что тебе надо?" Один сказал одно, другой сказал другое, третий вообще ничего не сказал. И как будто бы это всё вызывает то самое недоверие и так далее. Я, может, скажу сейчас абсурдную вещь, но она, к сожалению, она является правдой.

Speaker A

Сейчас рынок киберстрахования просто супергибкий и супермягкий. По сути, страховщики э учатся этот риск оценивать, пытаются собрать статистику и говорят: "Мы вам застрахуем вот то, что вам надо". Вот вы говорите, что там нужно там, я не знаю, где-то написано,

Speaker A

что если у вас что-то изменится, да, то страхование не сработает. Это можно переписать. продукт киберстрахования, он настраиваемый, он индивидуальный.

Speaker A

Вопрос, как к нему подойти? И этот, по сути, весь продукт - это юридический договор. И если этот юридический договор прописать в пользу клиента, то он и будет работать в пользу клиента. И фактически сейчас, как вы правильно заметили, страховщики готовы давать до 3

Speaker A

млрд, что вообще немало. скажем так, по абсолютно, на мой взгляд, с точки зрения рынка хорошим и гибким условиям и нормальным тарифам. И этим нужно пользоваться. Вы посмотрите, что сейчас происходит с классическими иска рисками, да, имущественными. Склады горят, беспилотники летают. Вы что,

Speaker A

думаете, страхщики это платят и ничего не меняют? Нет, они растят тарифы, они внедряют исключения. И сейчас купить себе нормальное покрытие по защиту там от БПЛА или там от терроризма или диверсии очень сложно. Это очень дорого и с кучи исключений. Рынок страхования

Speaker A

киберисков сейчас широкий. Туда можно напихать всё, что угодно. За 3.000 руб. предлагают ээ полис от БПЛА без выезда на объект с покрытием 3 млн.

Speaker A

Мы же говорим про крупный бизнес, где страховать надо на миллиарды, про НПЗ, про бочки огромные, про морские терминалы, где всё это горит, где всё плавится вокруг, когда беспилотник прилетает. Мы про такие риски говорим.

Speaker A

Понятно, что есть коробочные продукты, которые стоят недорого даже для малого и среднего бизнеса. Но если говорить про крупный корпорат, который мы сегодня там преимущественно обсуждаем, то здесь отличная возможность в это заходить.

Speaker A

Просто это надо правильно делать. Вот и всё. Спасибо, Алексей. Да, хотел бы дополнить. Э, есть ещё несколько тезисов в пользу как раз того, почему страховые в этом плане надёжно себя показывают и платят, да? В первую очередь на форензику привлекаются топы

Speaker A

рынка, да, то есть это топ представителев вендеров, которые имеют доверие как и у клиентов, так и у страховых компаний. И их расследования принимаются обоими сторонами, в общем-то как подтверждение э произошедшего риска, да?

Speaker A

То есть и дальше уже идёт работа с убытком. А второй момент, сейчас также есть 149 ФЗ, по-моему, да, в течение года, если нету существенных изменений, там прямо есть такой, по-моему, тезис, то это никак не влияет, в общем-то, на страховой договор, что в

Speaker A

моменте, когда вот его заключили, а там произошли некоторые изменения, да, если изменения произошли значительные помимо по мнению клиента, да, то лучше, конечно, со страховой привести переговоры и в течение года можно делать допсоглашение, что-то дополнять, можно даже лучше условия делать. Это тоже

Speaker A

возможно. Ну и самое главное, да, то есть на данный момент, если по уже каким-то доказанным случаям там киберинцидента, да, не будет какой-то вот прямо такой явной выплаты, мне кажется, это будет новость, которую услышат все, да, и компания, которая

Speaker A

позволит себя как-то некрасиво вести там с клиентами, ну, с рынка, скорее всего, ну, потеряет свою долю рынка, да. То есть здесь все компании выплачивают.

Speaker A

Ну, какая-то оптимистичная оценка. У меня другие как бы есть, э, факты. Ну, ладно. У меня, на самом деле, Сергей, вопрос к тебе. Ты упомянул про страхование профессиональной ответственности. А вот на Западе сейчас очень популярной стала история страхования профессиональной

Speaker A

ответственности ЦИСА, то есть директора по Кибербезу. Потому что очень часто бывает так, что -э руководитель Кибербеза пришёл к топам за деньгами на выполнение тех или иных требований. По защите ему отказали, а потом, собственно, его сделали крайним. Ну и,

Speaker A

собственно, страхование профессиональной ответственности как бы помогает ему, ну, выкрутиться из ситуации в определённом, как минимум, финансовом смысле. Вот если бы тебе предложили такого рода продукт страховой, ты бы согласился?

Speaker A

Вопрос с подвохом, как и все, да. Вопрос, кому сидеть потом, да? По уголовному кодексу.

Speaker A

М, ну, наверное, в целом опция интересная просто. То есть, ээ, задача ЦИС сделать всё от него возможное для того, чтобы приз не наступил. Ну, если как бы так такой возможности нет, а страховой полис покроет, наверное, там это интересная

Speaker A

опция. Вопрос пойдут, не пойдут и опять же надо нать тарифы. Спасибо, коллеги. Вот Иван, Роман, Алексей, у вас есть такого рода продукты именно в отношении там, например, руководителей IT либо руководителей кибербеза?

Speaker A

Да, такие продукты, безусловно, есть. Они, в общем-то, пошли из программы больше DНДО, страхование ответственности директоров.

Speaker A

туда включались как раз киберлиски, в том числе, аэ, и для ЦИСа тоже возможно сделать такое расширение, да, это вполне себе эффективно. Есть очень много административных мер, они довольно неприятные, да, там не очень большие штрафы на физлицо, но там есть пункты

Speaker A

не, э, отказ, э, вернее, запрет на занимание должности в течение там 5-7 лет, да. Также есть уголовные, э, разные статьи, да, и в общем-то, когда человек может столкнуться вот с такой проблемой, и к нему ещё могут очень большую

Speaker A

претензию на одно физлицо, на несколько там десятков миллионов, для него такая программа была бы в помощь.

Speaker A

Ну да, здесь мне остаётся только поддержать. Действительно, это выходит из DНДО, поэтому вот возможно, конечно, такие программы не делаются в России обычно только для ЦИСА, они обычно делаются на весь топ-менеджмент.

Speaker A

Программы страхования ответствен директоров покрывают всех руководителей. Они покрывают от фактически от любой управленческий ошибки. Поэтому для крупных промышленных групп, для крупного бизнеса, скорее всего, эта программа у них уже есть, потому что процент проникновения ННДО в крупный бизнес, он

Speaker A

высокий, э там больше 50%, если брать там топ- 10000 компаний. Вот поэтому какой-то такой истории, чтобы отдельно страховать СИС, можно её сделать. Вот это на российском рынке доступно. И этой практике уже лет 30, если говорить по-хорошему. Вот поэтому

Speaker A

вопрос такой, что мне кажется многие Цисы об этом до сих пор не задумываются у нас в России. Вот мне кажется, ещё не все до конца свою ответственность почувствовали, но в целом Да. Да, рынок это даёт такую возможность.

Speaker A

Спасибо, Андрей. Добавишь что-то? Немножко чуть-чуть другую тему хотел качнуть эту историю. А вот Ростм мне очень понравилось. Он классный тезис привёл, что стоимость страхования сильно зависит от того, из чего объект состоит.

Speaker A

Страхование, да, мы с вами говорим о цифровой инфраструктуре, ну и, например, на примере операционных систем, да, то есть мы в итоге страхуем какую-то инфраструктуру, построенную на каком-то стеке. Очень часто это стек микрософтовский. Это стек, который мы не контролируем с вами. То есть любая

Speaker A

уязвимость, которая будет найдена там, может быть, закрыта будет, может быть, закрыта не будет, может быть, закрыта для них, а не для нас, неизвестно.

Speaker A

Отсюда возникает мысль, что, скорее всего, в страховании очень правильно давать более льготные ставки для компаний которые ну импортозаместились, потому что в этой ситуации стек, э, используемый их в тех, ну, в компании, он как бы контролируется отечественной компанией. И вот как бы,

Speaker A

ну, идея понятна. И, соответственно, как бы можно оперативнее и контролируеме закрывать уязвимости при необходимости, да, при их нахождении. Вот мне интересно, что думают вот представители страховых компаний об этой мысли.

Speaker A

Ну, однозначно все там будем импорто замещение имею в виду, да, и понятно, что и вот эти Зоки, ИКИ, вот эти все объекты, которые так или иначе они есть, но понятно, что гораздо удобней страховать то, где ты знаешь конечного

Speaker A

разработчика так или иначе. И понятно, что пока, наверное, каких-то дифференциаций в рамках тарифах так или иначе нет. И я не могу сказать, что вот сами уязвимости, да, в Майкрософте или мы там обсуждали там ещё ряд программных комплексов.

Speaker A

Но понятно, что если эти уязимы, да, приведут уже к потерям на наших предприятиях, понятно, это будет как страховой, безусловно, случай. Самое главное, никому регресс не не предъявишь в данной ситуации. Ну, это как в терминах, как часто угоняется эта машина,

Speaker A

да? Понимаете, сейчас нет чётких параметров, что конкретно влияет на ценообразование. Хорошо то, что произошло импортозамещение или плохо? А есть ли какие-то минусы в том, что оно произошло? Может быть, тот софт или то ПО или то оборудование, которое дали,

Speaker A

оно не так хорошо работает? В с Может быть, может быть, я не знаю. Я говорю, для того, чтобы для страховщика это оценить на данный момент не всегда просто и не всегда однозначно. Вот поэтому, поскольку э какой-то конкретного понимания, какой фактор,

Speaker A

насколько будет влиять на страховой тариф, сейчас нету. Фактически, как я говорил, сейчас замечательное время возможности получать ту цену просто, э, скажем так, выдавая максимум подтверждения хорошего про свою компанию, которую ты можешь выдать. Вот и всё.

Speaker A

Так это и работает. К сожалению или к счастью? Спасибо, Дмитрий. Рустем, к вам вопрос.

Speaker A

А ваши компании застрахованы от инцидентов именно как продукт киберстрахования? Я не знаю точно ответа на этот вопрос.

Speaker A

Это как бы вне зоны моей ответственности. Я думаю, что нет. То есть как бы это моё экспертное мнение, но нужна помощь зала, как бы я знаю, у кого спросить. Я тебе скажу попозже.

Speaker A

Дмитрий. Ну да, мы тоже. Нет, собственно, тут же языком цифр мы говорили, что если рынок киберстрахования меньше миллиарда, а рынок ИБ в целом больше 500 млрд. То есть мы видим, что такая это очень даже маленькая маленькая маленькая часть

Speaker A

застрахована сейчас. Ну так может быть и помогать рынку страхования становиться больше, если мы всё время говорим о том, что это не сопоставимые, а идут рукообрку истории, технические как бы снижения рисков и страхования этих рисков. А у нас сейчас получается, что мы продаём

Speaker A

кучу продуктов, зачастую продаём по схеме как есть, не неся ответственность за продукт. Ну и сама компания, которая продаёт эти решения, если её взломают, а мы знаем, что там за последние, наверное, года четыре уже более двадцати кейсов взлома российских икомпаний

Speaker A

существует. Э, и в этом случае возникают риски, опять же, цепочки поставок и взлома э через Ибвентов.

Speaker A

Вот здесь, ну, логично встаёт вопрос: "А почему тогда сам вендер не страхует себя от, казалось бы, такого рода вещей?" Тем более, что для него это во многом эпиаракция, если он уверен в своей защите.

Speaker A

Ну, тут, во-первых, скорее всего, ну, какой продукт страхования, как я говорил, мне кажется, они в России ещё очень неразвиты. Во-вторых, если мы говорим вот о такой риске цепочки поставок, я боюсь, что там придётся полисто делать такого размера, которого

Speaker A

сейчас у страховых компаний они вряд ли смогут предложить, потому что, ну, мы относительно небольшая компания, но у нас клиентов столько, что это, ну, там придётся такой полис, если ответственности по клиентам распространения, то это прямо будет десятки миллиардов стоить. Такого

Speaker A

продукта просто не существует. Да, как раз можно так немножечко это как это аналогия с Next Generation фаерволов.

Speaker A

Помнить, что типа почему российские не покупали? Потому что, допустим, не было каких-то ээ по производительности параметров, там, не знаю, там 100 Гбит выше. Соответственно, вот мне кажется, сейчас пока страхование киберустойчивости, оно тоже как раз ещё недостаточной мощностью обладает.

Speaker A

Я просто хотел добавить, что мы уже говорили, что страхование - это лишь один из способов митировать риски, да, и ибо компания может себе позволить как бы митировать их другими способами, то есть защищать своими же руками как бы свою

Speaker A

инфраструктуру и тем более доступы заказчиков. Вот. И я думаю, что ИБмпании в меньшей степени как бы будут страховаться, чем полагаться на свою экспертизу, которая есть уже внутри компании.

Speaker A

Да, Вале. Да, тут на самом деле, если говорить про вендеров, то, ну, вендеры же на самом деле не работают почти с заказчиками, если так совсем уж честно.

Speaker A

То есть вендер, он встраивается некоторую цепочку поставок, да, есть где-то единичные случаи, но обычно это поставочный договор. Вот мы как интегратор, я могу сказать, что мы очень много страхуемся. То есть договор с более или менее на сложный проект, там

Speaker A

строительный, слаботочный, там вот внедрение серьёзных систем, даже где-то безопасности. Мы по дефолту имеем некоторый пункт в договоре, что мы должны застраховать свою ответственность на выполнение этого контракта. И это нормально, когда зрелый заказчик это требует, потому что это минимальное зло

Speaker A

и минимальные для нас затраты, которые мы понесём на выполнение этого контракта. Тут, наверное, к нам вопрос, делаем ли мы это проактивно, да? То есть берём любой договор, как некоторые делали, и прямо страхуем свои риски.

Speaker A

Нет, мы так не делаем. Может быть, надо об этом действительно серьёзно подумать. Но, вообще говоря, как бы страхование, оно очень сильно встроено вот в эту вот инфраструктуру работы с крупными заказчиками, да, для крупных компаний, особенно если речь идёт о крупных

Speaker A

каких-то строительных проектах, о создании новых там, не знаю, спортивных объектов и так далее, и так далее. Там страхово страхование оно вот по умолчанию уже включается. Надо ли, чтобы кибербезопасность тоже достигла, даже киберстрахование такого же уровня, что по умолчанию, если ты делаешь там проект

Speaker A

или внедряешь мешетевой экран, то транслируется эта ответственность через страхование дальше? Ну, наверное, это какой-то там послезавтрашний день, когда наш рынок дозреет до этого всего. Да, такая практика есть, если честно.

Speaker A

Например, когда банки занимаются проектным финансированием, они стали внедрять требования о том, что прежде чем в какой-то проект зайти, нужно приобрести себе там договор страхования кибери.

Speaker A

Ну там же тоже нужно понимать, что все инструменты страхования, они очень сильно связаны с инструментами фондирования, да? Не мне вам рассказывать. И соответственно есть разные способы вот такой вот защиты: банковские гарантии, какие-то обеспечительные платежи и так далее, и

Speaker A

так далее. Всё это такие элементы финансовой инфраструктуры, как и страхование тоже, да, которое позволяет ответственность, ну, в каком-то смысле размазать правильным образом.

Speaker A

Кибербезопасность к этому должна просто, ну, наверное, прийти. Это наш наша ответственность, наш уровень зрелости.

Speaker A

Спасибо. Коллеги, у меня, на самом деле, у нас осталась 1на минута, поэтому я хотел бы каждому дать буквально кратко ответить на один вопрос последний.

Speaker A

Всё-таки мы говорим о страховании. Страхование - это у нас вид деятельности, который регулируется государством. И сейчас государство начинает пытаться влезать в эту историю.

Speaker A

В пятницу было совещание в Минцифре очередное про киберстрахование. Вы знаете, есть методика э оценки ущерба от такого рода инцидентов. Очень спорная, но она есть. Центральный банк пытается, ВСС пытается в этой теме поиграться.

Speaker A

Собственно, у меня каждому из вас, начиная с Дмитрия, наверное, короткий вопрос. Если вдруг в государстве введут обязательное страхование киберрисков, как это пытались сделать в девяносто восьмом году, а я принимал участие в разработке запроекта тогда, вот вы будете считать это позитивной -э

Speaker A

новостью или негативной или надо посмотреть? Ну вот это зависит от реализации. То есть, если просто будет формально, как часто, к сожалению, некоторые, допустим, обязательные услуги в области, Дмитрий, опираясь на ваш опыт работы с государством, мы же скорее всего это как раз будет просто

Speaker A

перетекание небольшое бюджетов от реальных инструментов для защиты в страхование. То есть, ну, это если такой негативный, но в этот раз, может быть, получше будет организовано регулирование, и тогда это будет на общую пользу.

Speaker A

Спасибо, Рустм. Всё обязательное это есть налог. Просто как бы бизнес так и будет воспринимать.

Speaker A

Алексей, ну мы со своей стороны хотели бы, чтобы это был всё-таки полезный инструмент, да, чтобы это не было что-то для галочки, чтобы это не было на полке и чтобы действительно пользовались этим, да. Мы внимательно наблюдаем и тоже участвуем в дискуссиях на эту же тему.

Speaker A

Мы хотели бы, чтобы это всё-таки работало качественно для рынка и помогло бы бизнесу быть более устойчивым.

Speaker A

Спасибо, Роман. Ну, на мой взгляд, как популяризация и внедрение культуры киберстрахования - это положительный инструмент. И опять же по практике внедрения других обязательных видов. Серьёзные компании, которые реально видели риски, они сверх вот этого обязательного и выстраивали свои системы страховой защиты.

Speaker A

Спасибо Иван. Вопрос, как это будет реализовано? Если это будет реализовано так, что все будут кричать: "Мы купили полис, а нам не платят". Вот это будет не очень хорошо.

Speaker A

И, собственно, это задача крупного киберстрахования делать так, чтобы это работало. Поэтому, если мы это делаем для галочки, то, конечно же, нет. Если мы делаем какой-то реальный рабочий продукт, то 100% да. Но я слабо себя представляю, как страховщики на это

Speaker A

пойдут и за какие деньги. Спасибо, Сергей. Наверное, если создание условий, поддержка развития, то это здорово. А если это такое принуждение с не учётом каких-то аспектов, особенностей каждых из компаний, которые присутствующих, это больше будет не к добру.

Speaker A

Спасибо, Валентин. Как это, да? А какой вопрос? Да, как говорится, если мы говорим о том, чтобы страховать по дефолту всю там вс все киберриски, все киберинциденты, то это, наверное ну ну, например, в Кие, стратегических предприятиях, то, наверное, это хорошо,

Speaker A

потому что, как бы, это реальную ответственность позволит где-то монетизировать и оценивать это более серьёзно. Если мы говорим про оценку, допустим подрядчиков которые информационной безопасности занимаются, что они должны свои услуги страховать, то я, как руководитель компании Большого интегратора, скажу, что это хорошо. Мы

Speaker A

ещё один заборчик построим сверху с нашими маленькими активными конкурентами. А для рынка в целом это, конечно, плохо будет, потому что действительно, как коллеги правильно говорите, появится новый налог и новые игрки каким-то образом. Вот, наверное, так.

Speaker A

Спасибо. И Андрей. Ну, я согласен, на самом деле, что это будет восприниматься как налог, скорее всего, и для маленьких компаний. Если ты, как какой-то вендер, хочешь что-то и должен страховать свои риски, скорее всего, приведёт к тому, что количество стартапов просто

Speaker A

сократится. Ну, мне кажется, это один из основных рисков. А сокращение количества стартапов автоматом ведёт к тому, что как бы общая кибербезопасность ухудшается, потому что как бы стартапы, они призваны делать какие-то инновации в рамках, которые эффективнее защищают всю нашу инфраструктуру.

Speaker A

Спасибо большое, коллеги. И ещё раз вам спасибо за участие в дискуссии. Она посвящена достаточно не простой, но в том числе достаточно растущей теме, связанной с киберстрахованием и проверкой реальной киберзащённости промышленных технологических компаний. Я надеюсь, те, кто нас смотрел и те, кто

Speaker A

были в зале, вам было интересно, и вы подчерпнули достаточно интересный инсайт. И самое главное, цифры, которые тоже достаточно много говорят о, э, рынке, о том, куда он развивается, как он развивается, ну, и мнение коллег с разных сторон этих баррикад тоже, э,

Speaker A

подкинули вот этих дровишек в эту тему, которая будет ещё и в рамках ЦИПР обсуждаться. И я думаю, двадцать шестой год, по итогам двадца шестого года у нас появятся какие-то законодательные инициативы. И, э, эта тема, этот вид бизнеса станет более, наверное, э

Speaker A

цивилизованным и во многом похожим на то, что сейчас происходит и на Западе, потому что там есть что взять полезного.

Speaker A

Большое спасибо, коллеги, и тем, кто был в зале, и тем, кто отвечал на мои вопросы. Спасибо.

Topics:киберустойчивостькиберстрахованиекибератакапромышленный сектортехнологический секторкибербезопасностьпентествосстановление данныхуправление рискамитоп-менеджмент

Frequently Asked Questions

Что включает в себя киберстрахование при кибератаке?

Киберстрахование покрывает стадии форензики и восстановления, простой и упущенную выгоду, восстановление из бэкапов, а также юридические расходы, связанные с инцидентом.

Как изменилась роль руководителя по информационной безопасности после кибератаки в компании Войска?

Руководитель по информационной безопасности стал членом правления и занял ключевую позицию, что отражает повышение значимости кибербезопасности в компании.

Какие методы используются для реальной проверки защищённости предприятий в промышленности?

Для проверки защищённости применяются регулярные практические пентесты, как внутренние, так и с привлечением внешних специалистов, с учётом актуальных угроз и рисков.

Get More with the Söz AI App

Transcribe recordings, audio files, and YouTube videos — with AI summaries, speaker detection, and unlimited transcriptions.

App Store Google Play

Or transcribe another YouTube video here →