Страхування кібер-ризиків
Протизаконна діяльність у глобальному кіберпросторі міцно займає другий рядок в рейтингу економічних злочинів, поступаючись тільки такого виду, як незаконне привласнення активів. На кіберзлочини припадає 38% економічних злочинів в секторі фінансових послуг. Жертвами шахрайства визнали себе 45% опитаних експертами PwC учасників ринку.Кіберзлочинність не знає географічних і державних кордонів. Сьогодні на планеті більше 9 мільярдів підключених електронних пристроїв, і експерти прогнозують зростання їх числа до 24 мільярдів одиниць до 2020 року.
За відомостями Європейської Комісії, нападу кіберзлочинців щодня піддається більше 1 мільйона чоловік у всьому світі. Від дій злочинців, що полюють за конфіденційними даними, постраждали, зокрема, 77 мільйонів клієнтів компанії Sony. 600 000 призначених для користувача записів Facebook блокуються кожен день після спроб хакерського злому.Світова тенденція до зростання кіберзлочинності не обійшла стороною і страні СНД.
За даними аналітичного центру компанії Zecurion, в 2011 році в світі було зареєстровано 819 випадків витоку даних. Сумарний збиток від них склав $ 20 млрд, з яких понад $ 1 млрд. припало на російські компанії. Дані дослідження свідчать про те, що почастішали випадки оприлюднення інформації про клієнтів з боку інтернет-магазинів.Загрози, пов’язані з інформаційними ризиками, так само небезпечні, як загрозу фізичним активам компанії.
Інциденти, пов’язані з витоком даних, як правило, викликають ланцюгову реакцію і завдають значної репутаційний і фінансовий збиток.Таким чином, захист інформації стає пріоритетним завданням для компаній, особливо у зв’язку з поточною тенденцією розвитку нормативно-правової бази у бік посилення відповідальності компаній за збереження конфіденційності та захист даних.
Так, внесене в квітні Європейською Комісією пропозицію про комплексну реформу закону ЄС про правила захисту інформації 1995 року, зокрема, передбачає:
– Введення єдиного пакета правил про захист даних, дійсних на всій території Євросоюзу;
– Підвищену відповідальність і підзвітність для компаній, що здійснюють обробку персональних даних (наприклад, компанії та організації зобов’язані негайно повідомляти контрольні органи в разі серйозних інцидентів, пов’язаних з несанкціонованим використанням даних, по можливості, протягом 24 годин);
– Наділення незалежних національних органів із захисту даних додатковими повноваженнями на застосування штрафних санкцій у відношенні компаній, що допускають порушення правил (такі штрафи становитимуть до 1 мільйона євро або до 2% від глобального щорічного обороту компанії).
Єврокомісія також виступила з пропозицією створити Європейський центр по боротьбі з кіберзлочинністю, що входить в Європейське поліцейське відомство (Європол) в Гаазі. Така структура стане європейським координаційним центром по боротьбі з кіберзлочинністю і зосередиться на організованій незаконної діяльності в мережі.Нерідко компанії усвідомлюють ризик, пов’язаний з незаконним доступом до даних, але не мають в своєму розпорядженні достатніми ресурсами для ефективного реагування на дії злочинців.
У цьому випадку потужним заслоном на шляху кіберзлочинності стає система страхування кібер-ризиків.Приклади зі світової практикиКомпанія EpsilonУ березні 2011 року в міжнародній компанії Epsilon, що базується в США, був зафіксований інцидент коли до блоку клієнтської інформації Epsilon був отриманий доступ за допомогою несанкціонованого проникнення в систему електронної пошти компанії.
На момент інциденту в компанії підкреслювали, що «розкрита інформація обмежувалася виключно адресами електронної пошти та / або іменами клієнтів. Ретельна перевірка дозволила визначити, що загроза розповсюдження будь іншої особистої інформації відсутня ».У зв’язку з цим компанія Marks & Spencer (M & S), яка є клієнтом компанії Epsilon, була змушена попередити своїх клієнтів про можливе використання їх персональних даних в шахрайських цілях.
Клієнтів попередили, що вони можуть отримувати небажані повідомлення, однак, як підкреслювалося, у компанії «ставилися вкрай серйозно до забезпечення конфіденційності їх особистої інформації» і мали намір «продовжувати докладати всіх зусиль для захисту особистої інформації».На той момент представники Офісу комісара з інформаційних питань Великобританії заявили про початок розслідування відносно факту порушення Закону про захист даних Великобританії.
Серед інших клієнтів компанії Epsilon числяться такі компанії, як Hilton Hotels, Barclaycard US, Best Buy, і Capital One.Компанія BetfairУ минулому році компанія онлайн азартних ігор Betfair визнала те, що її клієнти не були проінформовані про крупної витоку даних. У 2010 році були викрадені дані, що включають 3,1 мільйона облікових записів із зашифрованими відповідями на контрольні питання, 2,9 мільйона імен користувачів, а також майже 90 000 імен облікових записів з даними про банківські рахунки.
У компанії Betfair також визнали те, що про атаку стало відомо лише два місяці потому, коли вийшов з ладу сервер в центрі обробки даних компанії на Мальті. Як стверджували представники компанії, необхідність в повідомленні клієнтів була відсутня, так як заходи по забезпеченню безпеки перешкоджали використанню даних в шахрайських цілях.
Коли стало відомо про витік, компанія Betfair поінформувала Агентство по боротьбі з особливо небезпечною організованою злочинністю, а також Австралійську федеральну поліцію і німецькі державні органи. У компанії дізналися про витік даних випадково – коли соціальний працівник, що забрав конфіденційні паперові документи на будинок, був потім пограбований.Компанія Global PaymentsУ березні 2012 року було оголошено, що процесинговий центр Global Payments, що знаходиться в Атланті, став жертвою «несанкціонованого доступу» в систему.
Про це були повідомлені правоохоронні органи та фінансові установи.Оператори платіжних систем MasterCard, American Express, Visa, і Discover Financial Services підтвердили, що вони стали жертвами інциденту, разом з банками та іншими представниками клієнтської бази.Після публікації повідомлення про інцидент у ЗМІ акції MasterCard впали на 1,8%, а акції Visa – на 0,8%, навіть незважаючи на той факт, що аналітики висловлювали сумніви в тому, що цим компаніям погрожували позови з боку контролюючих органів.
За повідомленнями, жертвами могли стати близько 10 мільйонів власників карт по всьому світу, проте компанія негайно повідомила, що кількість постраждалих клієнтів склало 1,5 мільйона жителів виключно в Північній Америці. Представники компанії повідомили, що були вкрадені дані Track2, а не особисті дані клієнтів, і що в компанії вважали, що витік даних вдалося локалізувати.Досвід страхової компанії Chartis в США.
Інцидент «нелояльних співробітників».
На компанію було подано позов до суду після того, як один із співробітників присвоїв конфіденційну інформацію, що надійшла від конкурента. Страхові виплати за даним інцидентом склали близько $ 200 000.
Інцидент «Хакерська злом».
Хакери отримали доступ до комп’ютерних систем 26 готелів та могли отримати імена та номери кредитних карт приблизно 480 000 клієнтів. Страхові виплати на врегулювання наслідків інциденту склали більше $ 980 000.
Інцидент «Помилка / Халатність».
Застрахований ненавмисно розмістив у відкритому доступі на своєму сайті конфіденційні дані більше 42 000 студентів. Батьки одного з потерпілих подали позов до суду про порушення права на приватне життя. Крім того, за підсумками інциденту Федеральна Торгова Комісія (ФТК) почала розслідування на предмет дотримання застрахованим Акту ФТК, що забороняє спотворення фактів при обробці конфіденційних даних. Страхові виплати на судові витрати склали близько $ 250 000.
Інцидент «Втрачене / вкрадене обладнання».
Застрахований втратив носії з інформацією про медичну страховку і номери соціального страхування. Страхове відшкодування на витрати по утриманню call-центру та моніторингу репутації застрахованого склало $ 400 000.