Geekly articles weekly

Cyberversicherung auf dem russischen Markt



Nein, es geht nicht um E-Sportler, die sich mit der Maus gegen Blutergüsse oder Sehstörungen durch einen schlechten Monitor versichern möchten. Lassen Sie uns über Cyber-Risikoversicherungen mit IT-Technologie sprechen.

Vor dem Hintergrund der rasanten Entwicklung digitaler Technologien und der zunehmenden Komplexität der IT-Infrastruktur von Unternehmen ist auch ein deutlicher Anstieg der Zahl der Cyberkriminalität zu verzeichnen. Nach Angaben des Innenministeriums waren es 2018 92% mehr als 2017. Es ist nicht verwunderlich, dass Fragen des Schutzes vor den Risiken von Datenverlust, Ausfallzeiten, Hackerangriffen oder dem Verlust vertraulicher Informationen relevanter werden und die Cyber-Risikoversicherung ein vernünftiger Weg ist, um Schäden zu minimieren.

Die Unternehmen wollten wissen, welche Garantien der Dienstleister für den Schutz der verarbeiteten Daten bietet und wie vorgeschlagen wird, den Schaden zu minimieren, wenn der Angriff nicht gestoppt werden kann.

Das Verfahren zur Versicherung von Cyber-Risiken erscheint umständlich und kompliziert, da neben der Versicherungsorganisation auch eine bestimmte Wirtschaftsprüfungsgesellschaft für Informationssicherheit in den Vertrag aufgenommen werden sollte, die Risiken bewertet und Schlussfolgerungen für die Versicherungsgesellschaft erstellt. Auf dem russischen Versicherungsmarkt gibt es jedoch bereits Angebote für eine umfassende Cyberversicherung.

Was Versicherungsunternehmen anbieten


Alpha-Versicherung

Alpha bietet seinem Unternehmen das Produkt AlfaCyber an. Der Vertrag kann aus allen oder aus bestimmten Arten von Cyber-Gefahren geschlossen werden. Auf Wunsch kann der Kunde eines der Standardversicherungspakete auswählen oder eine Einzelperson unter Berücksichtigung der Merkmale des Geschäfts und der individuellen Bedürfnisse zusammenstellen. Die Grundpakete der Richtlinie decken die Risiken des Verlusts und der Verfälschung von Daten (einschließlich Verschlüsselungsviren), Software und der Offenlegung personenbezogener Daten ab und umfassen die Untersuchung und Diagnose von Cyberangriffen.

Die Richtlinie kann auch Schutz vor Risiken bieten: Informationsverlust; Diebstahl von geistigem Eigentum; Missbrauch von Rechenressourcen; Erpressung; Unterschlagung von Geldern; Verletzung der Vertraulichkeit und Offenlegung personenbezogener Daten; Schäden an Eigentum, Leben und Gesundheit Dritter; Schädigung des Rufs des Unternehmens; Verlust, Tod oder Beschädigung von Fertigprodukten, Rohstoffen, Materialien; Unterbrechung der Aktivität.

Die Versicherungskosten hängen von der Höhe der Risiken, der Versicherungssumme und dem Selbstbehalt sowie der Art der Tätigkeit des Versicherten und den Ergebnissen der Risikobewertung ab.

Aig

Das Unternehmen, das als eines der ersten Unternehmen einen umfassenden und einheitlichen Ansatz für Cyber-Bedrohungen anwendete , entwickelte das CyberEdge- Versicherungsprogramm, um personenbezogene Daten im Unternehmen vor den Folgen ihrer Weitergabe oder illegalen Nutzung zu schützen. Um Unternehmen vor Identitätsdiebstahl, Hackern, menschlichen Fehlern und vielem mehr zu schützen, bietet AIG Kunden Zugang zu Diensten von Unternehmen, die auf Ermittlungen im Bereich Cybersicherheit und Cyberkriminalität, Rechtsberatung und PR gegen Krisen spezialisiert sind. In der Tat ist es ein praktisches Werkzeug, um Verluste zu vermeiden und die Folgen von Datenlecks zu überwinden.

Die Versicherung beinhaltet obligatorischen und zusätzlichen Versicherungsschutz. Obligatorisch beinhaltet:

  • Datenverletzungsverluste
  • Verwaltungsuntersuchung in Bezug auf Daten
  • Antwortkosten für Datenverletzung.
  • Verantwortung für den Inhalt der Informationen.
  • Virtuelle Erpressung.
  • Netzwerkausfall

Zusätzliche Deckung umfasst die Haftung für den Inhalt von Informationen, virtuelle Erpressung, Verluste aufgrund von Netzwerkausfällen infolge einer Fehlfunktion des Sicherheitssystems und die Entschädigung für entgangenen Gewinn.
AIG verzeichnete keinen einzigen Fall von Kundenkontakt aufgrund einer Infektion mit den WannaCry- oder Petya-Viren, aber diese Fälle verursachten auch ein wachsendes Interesse der Kunden an der Risikoversicherung. „Nach den Vorfällen sehen wir ein wachsendes Interesse an Cyber-Risikoversicherungsdiensten und verhandeln derzeit mit einer Reihe von Unternehmen. Je größer das Unternehmen, desto komplizierter und länger wird das Budget genehmigt. Daher kann der Abschluss einer Vereinbarung viel Zeit in Anspruch nehmen.
- sagte der Leiter der Abteilung für Finanzrisikoversicherungen bei AIG Russia Vladimir Kremer .

Allianz

Die Allianz hat ihr Cyber-Risikoversicherungsprodukt Allianz Cyber ​​Protect entwickelt. Die Police bietet eine Versicherung gegen folgende Risikokategorien:

  • Zivilrechtliche Haftung für den Verlust persönlicher und finanzieller Daten von Kunden;
  • Schäden, die der Versicherte selbst aufgrund von Ausfallzeiten und Cyber-Erpressung erleidet;
  • Deckung der Kosten für die Untersuchung von Vorfällen und Unterstützung durch Forensiker.

„Die wachsende Nachfrage nach Cyber-Versicherungen in den USA befindet sich bereits in einem aktiven Stadium, da Datenschutzgesetze als Leitfaden für Unternehmen dienen und regulatorische Änderungen und zunehmende Verantwortung in anderen Ländern zu einem beschleunigten Wachstum führen“, kommentiert Nigel Pearson, verantwortlich für Cyber-Versicherungen bei Allianz Global Corporate & Specialty (AGCS). "Wir beobachten einen allgemeinen Trend zur Einführung strengerer Datenschutzbestimmungen, die mit der Gefahr schwerwiegender Bußgelder im Falle von Informationslecks behaftet sind."

Staatliche Regulierung


Bisher gibt es im Bereich der Cyberversicherung keine Standards, und die Gesetzgebung ist hinsichtlich der Bestimmung der Haftung für Verstöße und Straftaten im Bereich der Informationssicherheit schlecht entwickelt.

Aber in naher Zukunft sollte sich die Situation ändern. Das nationale Projekt „Digitale Wirtschaft der Russischen Föderation“ sieht eine Reihe von Maßnahmen vor, die darauf abzielen, die freiwillige Versicherung von Informationssicherheitsrisiken bekannt zu machen und die Cyberkultur zu verbessern. Das Projekt enthält auch einen Vorschlag zur Untersuchung der Möglichkeit, Steuervorteile für Cyber-Risikoversicherungen zu nutzen.



Algorithmus für Cyber-Risikoversicherungen


Wie sieht das Cyber-Versicherungsverfahren aus? Um diese Frage zu beantworten, verwenden wir ein Informationssystem mit einem bereits erstellten Datenschutzsystem. Dies kann ein Speichersystem für personenbezogene Daten, ein staatliches System mit einem Zertifikat über die Einhaltung der Informationssicherheitsanforderungen oder ein anderes Informationssystem mit Sicherheitsmerkmalen sein, die auf der Grundlage der Angemessenheit und Verhältnismäßigkeit der Kosten ausgewählt werden.

In diesem Fall muss das Unternehmen die folgenden Schritte ausführen:

  • Auswahl einer Versicherungsgesellschaft, die einen umfassenden Cyber-Risikoversicherungsservice anbietet;
  • Auswahl einer Expertenorganisation für die Durchführung einer Prüfung der Informationssicherheit (unter den von einer Versicherungsgesellschaft akkreditierten Organisationen);
  • IS-Audit und Risikobewertung (durchgeführt von einer Expertenorganisation);
  • Definition von Versicherungsfällen;
  • Bestimmung der Höhe des Versicherungsschutzes und der Versicherungsprämien;
  • Vertragsabschluss für einen umfassenden Cyber-Versicherungsdienst.

Wenn das Unternehmen noch kein Schutzsystem geschaffen hat oder die Anforderungen der russischen Schutzgesetzgebung nicht erfüllt, besteht der erste Schritt darin, ein Schutzsystem zu schaffen oder ein Informationssystem bei einem Dienstleister mit dem Abschluss eines Vertrags über die Speicherung vertraulicher Informationen zu platzieren.

Arten von Versicherungsrisiken


In der Weltpraxis gibt es mehrere Risiken, die teilweise oder vollständig versichert werden können:

  • Das Risiko der Veruntreuung und Verwendung vertraulicher Informationen durch Mitarbeiter des Unternehmens und deren Verwendung;
  • Das Risiko, dass ein Hacker Informationen über Kreditkartennummern oder Kundenkonten des Unternehmens erhält;
  • Das Risiko des Diebstahls von Geldern von Bankkonten oder Wertpapieren von einem Konto bei einer Verwahrstelle;
  • Das Risiko des Diebstahls von Kreditkartendaten und Geldern von diesen;
  • Das Risiko des Verlusts oder der Offenlegung von Informationen aufgrund von Mitarbeiterfehlern;
  • Eine Unterbrechung der Arbeit des Unternehmens, seines Computernetzwerks, seiner Website;
  • Verluste im Zusammenhang mit der Veröffentlichung falscher oder diffamierender Informationen auf der Website des Versicherten;
  • Das Risiko, ein materielles Medium mit vertraulichen Informationen zu verlieren.



Versicherungsschutz


In fast allen Versicherungsfällen ist die schwierigste Frage die Frage nach einer zuverlässigen Schätzung der Kosten für verlorene Informationen.

Darüber hinaus sind bei der Bewertung von Informationen als immaterieller Vermögenswert und beim Erhalt einer Versicherungsentschädigung Probleme mit unserer Steuergesetzgebung nicht ausgeschlossen, die es nicht versäumen, den gesamten Betrag der Versicherungsentschädigung als Gewinn zu kennzeichnen und zu besteuern. Diese Frage wurde auf der Ebene der Klarstellungen des Finanzministeriums noch nicht geklärt.

Auch bei der Zahlung des Versicherungsschutzes ist nicht alles klar, berechnet als die Höhe der Kosten, die zur Wiederherstellung des verletzten Rechts anfallen. Es wird ziemlich schwierig sein, die Notwendigkeit der einen oder anderen Ausgabe oder ihrer Größe nachzuweisen, daher ist es ratsam, eine ungefähre Liste dieser Ausgaben und die Grenzen ihrer Kosten in Versicherungsverträgen vorzuschreiben.

Der Versicherungsschutz kann Folgendes umfassen:

  • Verluste aufgrund von Verstößen gegen personenbezogene Daten oder Unternehmensinformationen;
  • Verluste infolge einer langen Unterbrechung des Netzbetriebs;
  • Verluste und Aufwendungen aufgrund der öffentlichen Offenlegung personenbezogener Daten oder Unternehmensinformationen;
  • Barzahlung zur Begrenzung oder Beendigung eines Sicherheitsrisikos, das andernfalls zu einem Verlust führen könnte;
  • Deckung der Ermittlungskosten durch die Regulierungsbehörden;
  • Reaktionsdienste im Falle eines Datenverlusts, Wiederherstellung des persönlichen Ansehens, Unterrichtung im Falle eines Verlusts personenbezogener Daten sowie Kosten für Benachrichtigungen und Überwachung im Zusammenhang mit Informationslecks;
  • Deckung der Kosten für die Wiederherstellung, erneute Erfassung oder Rekonstruktion von Informationen nach einem Leck oder einer nicht autorisierten Verwendung von Daten;
  • Die Kosten des Versicherten vor Gericht;
  • Krisenmanagementkosten;
  • Schäden an Dritten.

Schlussfolgerungen


Trotz des relativ jungen Marktes für Cyber-Service-Versicherungen existieren bereits komplexe integrierte Lösungen. Es wird erwartet, dass Cloud-Anbieter in Kürze Haftpflichtversicherungen anbieten werden. Zusätzlich zu den Garantien, die das Service Level Agreement bietet, ist Cloud4Y bereits bereit, Kunden eine bequeme Möglichkeit zu bieten, die Risiken von Infrastruktur und Diensten in der Cloud zu versichern.

Source: https://habr.com/ru/post/de454278/

More articles:


All Articles