Нужна ли мне киберстраховка?

Многим малым компаниям как минимум стоит рассмотреть киберстрахование, особенно если они хранят информацию о клиентах, принимают оплату картами, полагаются на электронную почту или не смогли бы нормально работать после простоя системы или инцидента мошенничества.

При этом киберстрахование не является автоматически обязательным для каждого бизнеса. Некоторые владельцы покупают его, потому что это требует клиентский договор. Другие — потому что они работают с чувствительной информацией, относятся к регулируемым отраслям или хотят получить помощь в покрытии определенных затрат на восстановление, если что-то пойдет не так.

Страхование — это только часть общей картины. Полис может помочь с некоторыми расходами после инцидента, но он не заменяет качественное ежедневное IT-управление, обучение сотрудников, резервное копирование и базовые меры безопасности. Ни один честный поставщик не обещает нулевое время простоя или «невзламываемую» сеть.

Если вы пока разбираетесь в вариантах, начните с понятного обучения и практичного IT-плана. Больше ответов на вопросы владельцев вы найдете в нашем разделе answers.

Киберсобытие может привести к затратам, выходящим за рамки устранения проблем на компьютере. Возможны простой бизнеса, счета от внешних юристов или экспертов, расходы на уведомление клиентов, потери от мошенничества с платежами, споры с поставщиками или давление со стороны клиента, чья работа была задержана.

Для некоторых компаний главный риск — не громкий взлом. Это повседневная проблема вроде компрометации почтового аккаунта, мошенничества с поддельными счетами, потерянного ноутбука, вымогательского ПО (ransomware) или резервной копии, которая не восстанавливается корректно. Даже короткое нарушение может ударить по зарплатам, планированию, запасам и доверию клиентов.

Страхование может иметь значение, потому что у малых компаний часто нет крупных денежных резервов на непредвиденное событие. Полис может помочь с покрытием части затрат, но условия очень различаются. Что именно покрывается, что исключается и какие практики безопасности страховщик ожидает от вас — все это зависит от конкретного полиса.

Требования могут исходить и извне вашего бизнеса. Некоторые клиенты, арендодатели, кредиторы и отраслевые партнеры просят наличие киберстрахования. Требования и ожидания зависят от отрасли и региона (штата).

Вам стоит настоятельно рассмотреть киберстрахование, если бизнес зависит от компьютеров, облачных сервисов, электронной почты, онлайн-банкинга или цифровых записей для работы. Это касается многих офисов, розничных магазинов, профессиональных компаний, клиник, подрядчиков и растущих семейных бизнесов.

Особенно внимательно стоит посмотреть на вопрос, если вы храните персональную информацию клиентов или сотрудников, обрабатываете платежные карты, используете инструменты удаленной работы или у вас есть поставщики, подключенные к вашим системам. Чем больше «цифровых движущихся частей», тем выше вероятность, что инцидент приведет к прямым затратам.

Оно также может понадобиться, если это прописано в договоре, или если в вашей отрасли строго относятся к вопросам приватности и документирования. Например, HIPAA (Health Insurance Portability and Accountability Act, Закон о переносимости и подотчетности медицинского страхования) применяется к некоторым медицинским организациям и бизнес-партнерам. PCI (Payment Card Industry Data Security Requirements, требования по безопасности данных платежных карт) влияет на компании, которые обрабатывают данные платежных карт. SOC 2 — это распространенная аудиторская рамка для сервисных организаций; она может стать важной, если клиенты спрашивают, как контролируются ваши системы и процессы.

Если эти термины вам незнакомы — это нормально. Цель не в том, чтобы стать IT-экспертом. Цель — понять ваши риски, а затем работать с подходящим независимым поставщиком и профессионалом по страхованию.

Поиск хорошего киберстрахования начинается с ясного понимания вашего бизнеса. Знайте, сколько у вас людей, какие устройства вы используете, какие системы критичны, какие типы данных вы храните и что произойдет, если электронная почта, файлы или биллинг будут недоступны на день или на неделю.

Также вам нужно понимать текущее состояние IT. Если вы уже работаете с MSP (managed services provider, поставщик управляемых услуг), запросите понятное резюме ваших защит. Обычно это может включать MFA (multi-factor authentication, многофакторную аутентификацию) — то есть дополнительный шаг входа, защиту конечных устройств (endpoint protection) — программное обеспечение, которое помогает защищать каждый компьютер и устройство, патчинг — установку обновлений безопасности и программ, практики резервного копирования и то, кто отвечает, когда что-то выходит из строя.

Некоторые страховщики также спрашивают про EDR (endpoint detection and response, обнаружение и реагирование на инциденты на конечных устройствах) — инструмент, который наблюдает за устройствами на предмет подозрительной активности, и про RMM (remote monitoring and management, удаленный мониторинг и управление) — программное обеспечение, которое многие управляемые IT-провайдеры используют для мониторинга состояния устройств и выполнения рутинного обслуживания. Под «endpoint» (конечным устройством) обычно понимается устройство вроде ноутбука, настольного компьютера или телефона, подключенного к системам вашего бизнеса.

Сильная настройка не гарантирует, что по требованию (claim) выплатят возмещение, а слабая настройка не всегда означает, что вы не сможете купить покрытие. Но лучшее документирование и более сильные контроли обычно делают разговор со страховщиком проще.

Не сосредотачивайтесь только на премии (premium). Узнайте, какие события покрываются, каков размер франшизы (deductible), какие исключения предусмотрены и при каких условиях покрытие действует. Некоторые полисы широкие. Некоторые — узкие. В деталях все дело.

Спросите, как полис учитывает расходы, связанные с вымогательским ПО (ransomware), простой бизнеса (business interruption), мошенничество, связанное с электронной почтой или платежами, юридическую поддержку, проведение форензической (forensic) экспертизы, восстановление данных и претензии от клиентов или партнеров. Также спросите, будут ли иначе рассматриваться инциденты с участием поставщиков, облачных приложений или ошибки сотрудников.

Логично спросить, какие практики безопасности страховщик ожидает от вас поддерживать. Типичные примеры: MFA для почты и административных аккаунтов, протестированное резервное копирование, защита устройств, контроль доступа пользователей и наличие письменных процедур. Если вы говорите, что у вас есть такие контроли, убедитесь, что это действительно так.

Если вам нужна помощь, чтобы привести в порядок вашу IT-часть до того, как вы будете выбирать полис, ознакомьтесь с нашим обзором services или get matched с независимым управляемым IT-провайдером. NodeBridge IT — это бесплатный сервис подбора. Мы не продаем страховки, не управляем системами и не получаем доступ к вашей сети.