Geekly articles weekly

La cyberassurance sur le marché russe



Non, il ne s'agit pas d'e-sportifs qui veulent s'assurer contre les ecchymoses de la souris ou la vision gâtée par un mauvais moniteur. Parlons de l'assurance contre les risques informatiques en utilisant la technologie informatique.

Dans le contexte du développement rapide des technologies numériques et de la complexité croissante de l'infrastructure informatique des entreprises, une augmentation significative du nombre de cybercrimes est également perceptible. Selon le ministère de l'Intérieur , en 2018, il y avait 92% de plus qu'en 2017. Il n'est pas surprenant que les problèmes de protection contre les risques de perte de données, d'indisponibilité, d'attaques de pirates ou de fuite d'informations confidentielles deviennent plus pertinents, et l'assurance contre les cyberrisques semble être un moyen raisonnable de minimiser les dommages.

Les entreprises ont voulu savoir quel type de garanties la protection des données traitées est fournie par le prestataire de services et comment il est proposé de minimiser les dommages si l'attaque ne pouvait pas être stoppée.

La procédure d'assurance des cyber-risques semble lourde et compliquée, car en plus de l'organisme d'assurance, une certaine société d'audit de la sécurité de l'information devrait également être incluse dans le contrat, qui évaluera les risques et préparera des conclusions pour la compagnie d'assurance. Mais sur le marché russe de l'assurance, il existe déjà des offres de cyberassurance complète.

Ce que proposent les compagnies d'assurance


Assurance Alpha

Alpha propose le produit AlfaCyber à son entreprise . Le contrat peut être conclu pour tous ou pour certains types de cyberdanger. Si vous le souhaitez, le client peut choisir l'un des forfaits d'assurance standard ou faire un particulier, en tenant compte des caractéristiques de l'entreprise et des besoins individuels. Les packages de base de la politique couvrent les risques de perte et de distorsion des données (y compris les virus cryptographiques), des logiciels, de la divulgation des données personnelles et comprennent l'enquête et le diagnostic des cyberattaques.

De plus, la politique peut prévoir une protection contre les risques: perte d'informations; vol de propriété intellectuelle; mauvaise utilisation des ressources informatiques; extorsion; détournement de fonds; violation de la confidentialité et divulgation de données personnelles; les dommages aux biens, à la vie et à la santé de tiers; atteinte à la réputation de l'entreprise; perte, mort ou dommages aux produits finis, matières premières, matériaux; interruption d'activité.

Le coût de l'assurance dépend de l'ensemble des risques, du montant assuré et de la franchise, ainsi que du type d'activité de l'assuré et des résultats de l'évaluation des risques.

Aig

L'entreprise, qui a été l'une des premières à appliquer une approche large et unifiée aux cybermenaces, a développé le programme d' assurance CyberEdge pour protéger les données personnelles de l'entreprise contre les conséquences de leur fuite ou de leur utilisation illégale. Pour aider les entreprises à se protéger contre le vol d'identité, les pirates, les erreurs humaines et bien plus encore, AIG offre aux clients un accès aux services d'entreprises spécialisées dans les enquêtes de cybersécurité et de cybercriminalité, des conseils juridiques et des relations publiques anti-crise. En fait, c'est un outil pratique pour éviter les pertes et surmonter les conséquences des fuites de données.

L'assurance comprend une couverture obligatoire et supplémentaire. Obligatoire comprend:

  • Pertes de violation de données
  • Enquête administrative concernant les données
  • Coûts de réponse en cas de violation de données.
  • Responsabilité du contenu des informations.
  • Extorsion virtuelle.
  • Panne de réseau

Une couverture supplémentaire comprend la responsabilité pour le contenu des informations, l'extorsion virtuelle, les pertes dues aux pannes de réseau à la suite d'un dysfonctionnement du système de sécurité et la compensation des pertes de profits.
La succursale russe d'AIG n'a pas enregistré un seul cas de contact client en raison d'une infection par les virus WannaCry ou Petya, mais ces cas ont également provoqué une augmentation de l'intérêt des clients pour le service d'assurance des risques. «Après les incidents, nous constatons un intérêt croissant pour les services d'assurance contre les risques informatiques et nous négocions actuellement avec un certain nombre d'entreprises. Cependant, plus l'entreprise est grande, plus le budget est complexe et long. Par conséquent, la conclusion d'un accord peut prendre beaucoup de temps. »
- a déclaré le chef du département d'assurance des risques financiers chez AIG Russie Vladimir Kremer .

Allianz

Allianz a développé son produit d'assurance cyber-risque Allianz Cyber ​​Protect. La police fournit une assurance contre les catégories de risques suivantes:

  • Responsabilité civile pour la perte de données personnelles et financières des clients;
  • Les pertes subies par l'assuré lui-même en raison de temps d'arrêt, de cyber-extorsion;
  • Couvrir les frais d'enquête sur les incidents et l'assistance de médecins légistes.

«La demande croissante de cyber-assurance aux États-Unis est déjà dans une phase active, car les lois sur la protection des données aident à guider les entreprises, et les changements réglementaires et les niveaux de responsabilité croissants accélèrent la croissance dans d'autres pays», commente Nigel Pearson, responsable de la cyber-assurance chez Allianz Global Corporate & Specialty (AGCS). «Nous assistons à une tendance générale à la mise en place de régimes réglementaires de protection des données plus stricts, qui sont lourdement menacés d'amendes graves en cas de fuite d'informations.»

Réglementation de l'État


Jusqu'à présent, il n'y a pas de normes dans le domaine de la cyberassurance et la législation est peu développée en termes de détermination de la responsabilité pour les violations et délits dans le domaine de la sécurité de l'information.

Mais dans un avenir proche, la situation devrait changer. Le projet national «Économie numérique de la Fédération de Russie» prévoit un certain nombre de mesures visant à vulgariser l'assurance volontaire des risques de sécurité de l'information et à renforcer la cyber-culture. En outre, le projet comprend une proposition visant à étudier la possibilité d'utiliser les avantages fiscaux pour l'assurance contre les cyberrisques.



Algorithme d'assurance contre les cyberrisques


À quoi ressemble la procédure de cyberassurance? Pour répondre à cette question, nous prenons un système d'information avec un système de protection des données déjà créé. Il peut s'agir d'un système de stockage de données personnelles, d'un système étatique avec un certificat de conformité aux exigences de sécurité de l'information ou d'un autre système d'information avec des caractéristiques de sécurité sélectionnées sur la base du caractère raisonnable et de la proportionnalité des coûts.

Dans ce cas, l'entreprise devra suivre les étapes suivantes:

  • Choisir une compagnie d'assurance offrant un service complet d'assurance contre les risques informatiques;
  • Sélection d'une organisation experte pour réaliser un audit SI (parmi les organisations accréditées par une compagnie d'assurance);
  • Audit SI et évaluation des risques (réalisés par une organisation experte);
  • Définition des cas d'assurance;
  • Détermination de la taille de la couverture d'assurance et des primes d'assurance;
  • Formation d'un contrat pour un service complet de cyberassurance.

Si l'entreprise n'a pas encore créé de système de protection ou ne satisfait pas aux exigences de la législation de la Fédération de Russie sur la protection, l'étape préliminaire sera de créer un système de protection ou de placer un système d'information auprès d'un prestataire de services avec la conclusion d'un accord pour le stockage d'informations confidentielles.

Types de risques d'assurance


Dans la pratique mondiale, plusieurs risques peuvent bénéficier d'une couverture d'assurance partielle ou totale:

  • Le risque de détournement et d'utilisation d'informations confidentielles par les employés de l'entreprise et son utilisation;
  • Le risque qu'un pirate informatique obtienne des informations sur les numéros de carte de crédit ou les comptes clients de l'entreprise;
  • Le risque de vol de fonds sur des comptes bancaires ou de titres d'un compte auprès d'un dépositaire;
  • Le risque de vol de données de carte de crédit et de fonds de celles-ci;
  • Le risque de perte ou de divulgation d'informations en raison d'une erreur des employés;
  • Une pause dans le travail de l'entreprise, son réseau informatique, son site Internet;
  • Les pertes liées à la publication de fausses informations ou d'informations diffamatoires sur le site Web de l'assuré;
  • Le risque de perdre un support tangible contenant des informations confidentielles.



Couverture d'assurance


Dans presque tous les cas d'assurance, la question la plus difficile est celle de l'estimation fiable du coût des informations perdues.

De plus, lors de l'évaluation des informations en tant qu'immobilisation incorporelle et de la réception d'une compensation d'assurance, les problèmes avec notre législation fiscale ne sont pas exclus, ce qui ne manquera pas de désigner le montant total de la compensation d'assurance comme un bénéfice et de l'imposer. Cette question n'est pas encore réglée au niveau des clarifications du ministère des Finances.

En outre, tout n'est pas clair avec le paiement de la couverture d'assurance, calculée comme le montant des dépenses engagées pour restaurer le droit violé. Il sera assez difficile de prouver la nécessité de faire l'une ou l'autre des dépenses ou sa taille, il est donc conseillé de prescrire une liste approximative de ces dépenses et les limites de leur coût dans les contrats d'assurance.

La couverture d'assurance peut comprendre:

  • Les pertes dues à des violations de données personnelles ou d'informations d'entreprise;
  • Pertes résultant d'une longue interruption du fonctionnement du réseau;
  • Les pertes et dépenses résultant de la divulgation publique de données personnelles ou d'informations d'entreprise;
  • Paiement en espèces pour limiter ou mettre fin à un risque de sécurité qui pourrait autrement entraîner une perte;
  • Couverture des frais d'enquête par les autorités réglementaires;
  • Services de réponse en cas de fuite de données, restauration de la réputation personnelle, briefing en cas de fuite de données personnelles, ainsi que les frais de notification et de surveillance liés à la fuite d'informations;
  • Couvrir les coûts associés à la restauration, à la recueil ou à la reconstruction des informations après une fuite ou une utilisation non autorisée des données;
  • Les frais de l'assuré au tribunal;
  • Dépenses de gestion de crise;
  • Dommages à des tiers.

Conclusions


Malgré le marché relativement jeune de l'assurance des services informatiques, des solutions intégrées complexes existent déjà. Il est prévu que les fournisseurs de cloud fourniront bientôt des services d'assurance responsabilité. Déjà, Cloud4Y, en plus des garanties offertes par l'accord de niveau de service, est prêt à offrir aux clients un moyen pratique d'assurer les risques de placer l'infrastructure et les services dans le cloud.

Source: https://habr.com/ru/post/fr454278/

More articles:


All Articles