Что требуют киберстраховщики?

Большинство киберстраховых компаний спрашивают, есть ли у вашего бизнеса несколько ключевых защитных мер, прежде чем они предложат покрытие или продлят полис. Частые примеры включают многофакторную аутентификацию, часто называемую MFA, для электронной почты и важных аккаунтов; антивирус или EDR, то есть endpoint detection and response (обнаружение и реагирование на угрозы на конечных устройствах); регулярное обновление программ (патчинг); резервные копии; и обучение персонала.

Также они часто спрашивают, как вы организуете удаленный доступ, кто имеет права администратора, тестируете ли вы резервные копии и есть ли у вас план на инциденты вроде мошенничества, ransomware (вымогательского ПО) или украденных устройств. Некоторые страховщики задают подробные вопросы в заявлении. Другие могут попросить подтверждение позже.

Главное, что нужно знать: страховщики не ищут идеала. Обычно им важно увидеть, что у вас есть разумные меры защиты, вы понимаете, что у вас настроено, и есть ответственный человек, который следит за тем, чтобы эти базовые вещи поддерживались в рабочем состоянии.

Киберстрахование может помогать с затратами после определенных инцидентов, но покрытие зависит от ответов в вашей заявке и условий полиса. Если ваш бизнес заявляет, что мера уже внедрена, но на практике это не так, это может создать проблемы при оформлении страхового случая. Именно поэтому владельцам бизнеса стоит не спешить и убедиться, что ответы точные.

Для малого бизнеса проблема не только в страховании. Те же пункты, о которых спрашивают страховщики, часто являются теми же базовыми вещами, которые в любом случае рекомендует хороший провайдер управляемых ИТ-услуг — также называемый MSP. Это практические шаги, которые снижают количество предотвратимых проблем и облегчают восстановление, если что-то все же пойдет не так.

Требования также различаются в зависимости от отрасли и штата. Медицинский офис может сталкиваться с вопросами, связанными с HIPAA — Health Insurance Portability and Accountability Act (законом о переносимости и подотчетности медицинского страхования). Бизнес, который обрабатывает платежные карты, может получить вопросы про PCI — Payment Card Industry Data Security Standard (стандарт безопасности данных индустрии платежных карт). Компания, которая продает решения более крупным организациям, может также услышать про SOC 2 — фреймворк, который многие клиенты используют для оценки мер безопасности.

Безопасность электронной почты — одна из первых областей, на которую смотрят страховщики. Обычно они хотят видеть MFA в Microsoft 365, Google Workspace и во всех облачных приложениях, где есть чувствительная информация. MFA означает, что пользователям требуется второй шаг для входа, например код из приложения или аппаратный ключ, а не только пароль.

Также они спрашивают про защиту конечных устройств. Конечное устройство — это устройство вроде ноутбука, настольного компьютера или сервера. EDR, endpoint detection and response — это более продвинутый инструмент, чем базовый антивирус. Он помогает выявлять подозрительную активность на устройствах и дает ИТ-провайдеру способ расследовать и реагировать.

Еще одна распространенная тема — патчинг. Патчинг означает установку обновлений безопасности и стабильности для операционных систем, браузеров, бизнес-программ, межсетевых экранов и других инструментов. Страховщики могут спрашивать, как быстро вы применяете критические обновления, и используются ли до сих пор неподдерживаемые системы.

Большое внимание уделяется резервным копиям. Многие страховщики хотят, чтобы резервные копии были отделены от повседневных систем и регулярно тестировались. Вы можете услышать термин 3-2-1 backup. Это означает хранение 3 копий данных, на 2 разных типах носителей, причем 1 копия хранится вне площадки (off-site) или иным образом отделена. Честный провайдер не обещает нулевой простой, неуязвимую для взлома сеть или гарантированное восстановление, но страховщикам важно увидеть, что план восстановления действительно существует.

Также важен контроль доступа. Страховщики часто спрашивают, у кого есть права администратора, как быстро удаляются бывшие сотрудники и ограничен ли и защищен ли удаленный доступ. Они могут также спрашивать, могут ли вендоры или подрядчики получать доступ к вашим системам и как контролируется этот доступ.