Ubezpieczenie cybernetyczne nie jest już czymś, co firmy mogą kupić i zapomnieć. W miarę jak oprogramowanie ransomware, phishing, naruszenia bezpieczeństwa poczty biznesowej i ataki wspomagane sztuczną inteligencją stają się coraz bardziej powszechne, ubezpieczyciele zmieniają swoją rolę. Nie tylko płacą odszkodowania po incydencie. Teraz decydują, czy organizacja jest wystarczająco bezpieczna, aby w ogóle ubezpieczyć się.
Lekcja jest jasna z miasta Hamilton w Ontario. W lutym 2024 r. miasto ucierpiało z powodu ataku oprogramowania typu ransomware, który zakłócił usługi w całej gminie. Hamilton odmówił zapłaty okupu w wysokości 18,5 miliona dolarów i przywrócił podstawowe usługi w ciągu 48 godzin, ale problem w niektórych systemach pozostawał tygodniami. Rok później dostawca ubezpieczeń cybernetycznych odrzucił roszczenia miasta, gdy śledczy odkryli, że kilka wydziałów nie wdrożyło uwierzytelniania wieloczynnikowego dla pracowników uzyskujących dostęp do systemów wewnętrznych.
Ten szczegół miał znaczenie. Zgodnie z polityką ochrona może zostać unieważniona, jeśli naruszenie będzie powiązane z brakiem podstawowych mechanizmów kontroli bezpieczeństwa, w tym MFA. Innymi słowy, ubezpieczenie nie zastąpiło bezpieczeństwa. Doświadczenie miasta pokazało, że zakres ochrony zależy od tego, czy organizacja może udowodnić, że przestrzegała minimalnych standardów wymaganych przez ubezpieczyciela.
Staje się to nowym modelem cyberubezpieczeń. Ubezpieczyciele odchodzą od pasywnego gwarantowania ubezpieczeń na rzecz aktywnej oceny bezpieczeństwa. Chcą wiedzieć, czy firma posiada usługę MFA, wykrywanie i reagowanie na punkty końcowe, rejestrowanie, terminy instalowania poprawek, testowane kopie zapasowe, segmentację, szkolenia pracowników i procedury reagowania na incydenty. Firma, która nie może przedstawić dowodów na przeprowadzenie tych kontroli, może zostać obciążona wyższymi składkami, węższym zakresem ubezpieczenia lub całkowitym odrzuceniem.
Termin nie jest przypadkowy. Cyberataki stają się coraz łatwiejsze do przeprowadzenia i trudniejsze do powstrzymania. Generacyjna sztuczna inteligencja obniżyła barierę umiejętności atakujących, dzięki czemu wiadomości e-mail phishingowe są bardziej przekonujące i umożliwiają ataki na większą skalę. Kompromis dotyczący firmowej poczty elektronicznej pozostaje jednym z najczęstszych źródeł roszczeń, ponieważ atakuje ludzi, a nie tylko systemy. Nawet organizacje posiadające silne narzędzia peryferyjne mogą zostać zdemaskowane, jeśli pracownicy zostaną oszukani, nadmierna wiara w tożsamość lub niespójne stosowanie kontroli.
Dlatego audyty przeprowadzane przez ubezpieczyciela mają obecnie tak duże znaczenie. Zmuszają firmy do traktowania cyberbezpieczeństwa jako wymiernego wymagania biznesowego. Zespoły ds. bezpieczeństwa muszą dokumentować kontrole, udowadniać, że systemy są monitorowane, przeprowadzać ćwiczenia, przechowywać dowody odnowień i wykazywać, że ryzyko jest zmniejszone. Może to być frustrujące, ale tworzy również dyscyplinę. Dla wielu organizacji, zwłaszcza małych i średnich przedsiębiorstw, wymogi ubezpieczeniowe mogą być impulsem, który w końcu umożliwi sfinansowanie i wdrożenie podstawowych kontroli.
Zapory sieciowe są nadal ważne, ale nie wystarczające. Zapora sieciowa może monitorować ruch, blokować podejrzany dostęp i zmniejszać ryzyko narażenia na krawędzi sieci. Ale nie może wyeliminować ryzyka. Błędne konfiguracje, kradzież danych uwierzytelniających, luki dnia zerowego, ataki na łańcuch dostaw, zagrożenia wewnętrzne i błędy ludzkie mogą nadal prowadzić do naruszeń. Nawet silne zabezpieczenia techniczne nie są w stanie automatycznie pokryć szkód prawnych, finansowych, operacyjnych i reputacyjnych powstałych w wyniku udanego ataku.
W tym miejscu cyberubezpieczenie nadal ma wartość. Jeśli polityka zareaguje, może sfinansować dochodzenia kryminalistyczne, porady prawne, wsparcie w zakresie public relations, negocjacje w sprawie okupu, usługi odzyskiwania danych oraz straty wynikające z przerw w działalności. Ubezpieczyciele mogą również zapewnić dostęp do sprawdzonych partnerów zajmujących się reagowaniem na incydenty, których wiele firm miałoby trudności ze znalezieniem szybko w czasie kryzysu. W przypadku poważnego naruszenia koordynacja może skrócić przestoje i ograniczyć całkowite szkody.
Firmy nie powinny jednak zakładać, że każde roszczenie zostanie zaspokojone. Odmowa roszczeń często ma miejsce z powodu wprowadzenia w błąd, wykluczeń, nieujawnionego ryzyka lub niespełnienia warunków polisy. Jeżeli organizacja twierdzi, że wszędzie korzysta z usługi MFA, ale tego nie robi, lub twierdzi, że przetestowała kopie zapasowe, które nigdy nie zostały zatwierdzone, ubezpieczyciel może zakwestionować roszczenie. Polisa nie jest już tylko dokumentem finansowym. Jest to umowa bezpieczeństwa.
Szerszy rezultat jest taki, że firmy ubezpieczeniowe stają się nieformalnymi organami regulacyjnymi w zakresie cyberbezpieczeństwa. Ustalają minimalne standardy poprzez gwarantowanie i odnawianie umów, szczególnie w przypadku organizacji, którym brakuje dojrzałych programów bezpieczeństwa. Sytuacja ta prawdopodobnie będzie się utrzymywać w miarę dalszej skali zagrożeń opartych na sztucznej inteligencji, a ubezpieczyciele będą próbowali kontrolować własne narażenie.
Cyberubezpieczenia wciąż mają znaczenie. Należy ją jednak traktować jako część strategii ryzyka, a nie jako substytut bezpieczeństwa. Organizacje, które najlepiej odniosą korzyści z ubezpieczenia, to te, które mogą udowodnić, że wykonały podstawy: chroniły tożsamość, monitorowały systemy, szybko instalowały poprawki, szkoliły pracowników, tworzyły kopie zapasowe krytycznych danych i testowały swoje plany reagowania, zanim zrobią to atakujący.
