Geekly articles weekly

Seguro cibernético no mercado russo



Não, não se trata de esportistas eletrônicos que querem se segurar contra machucados com o mouse ou com a visão estragada por um monitor ruim. Vamos falar sobre seguro de risco cibernético usando a tecnologia de TI.

No contexto do rápido desenvolvimento de tecnologias digitais e da crescente complexidade da infraestrutura de TI das empresas, também é notável um aumento significativo no número de crimes cibernéticos. De acordo com o Ministério da Administração Interna , em 2018, houve 92% a mais do que em 2017. Não é surpreendente que questões de proteção contra os riscos de perda de dados, tempo de inatividade, ataques de hackers ou vazamento de informações confidenciais se tornem mais relevantes e o seguro contra riscos cibernéticos pareça uma maneira razoável de minimizar os danos.

As empresas queriam saber o que garante a proteção dos dados processados ​​pelo provedor de serviços e como é proposto minimizar os danos caso o ataque não possa ser interrompido.

O procedimento para garantir riscos cibernéticos parece complicado e complicado, porque além da organização de seguros, uma certa empresa de auditoria de segurança da informação também deve ser incluída no contrato, que avaliará os riscos e preparará conclusões para a companhia de seguros. Mas no mercado de seguros russo já existem ofertas para um seguro cibernético abrangente.

O que as companhias de seguros oferecem


Alpha Insurance

A Alpha oferece o produto AlfaCyber aos seus negócios . O contrato pode ser concluído com todos ou com certos tipos de perigo cibernético. Se desejado, o cliente pode escolher um dos pacotes de seguro padrão ou formar um indivíduo, levando em consideração as características do negócio e as necessidades individuais. Os pacotes básicos da política cobrem os riscos de perda e distorção de dados (incluindo vírus de criptografia), software e a divulgação de dados pessoais e incluem a investigação e o diagnóstico de ataques cibernéticos.

Além disso, a política pode fornecer proteção contra riscos: perda de informações; roubo de propriedade intelectual; uso indevido de recursos de computação; extorsão; desfalque de fundos; violação de confidencialidade e divulgação de dados pessoais; danos à propriedade, vida e saúde de terceiros; danos à reputação da empresa; perda, morte ou dano a produtos acabados, matérias-primas, materiais; interrupção na atividade.

O custo do seguro depende de um conjunto de riscos, do valor segurado e dedutível, bem como do tipo de atividade do segurado e dos resultados da avaliação de risco.

Aig

A empresa, que foi uma das primeiras a aplicar uma abordagem ampla e unificada às ameaças cibernéticas, desenvolveu o programa de seguros CyberEdge para proteger os dados pessoais na empresa das conseqüências de seu vazamento ou uso ilegal. Para ajudar as empresas a se protegerem contra roubo de identidade, hackers, erros humanos e muito mais, a AIG fornece aos clientes acesso a serviços de empresas especializadas em segurança cibernética e investigações de crimes cibernéticos, consultoria jurídica e relações públicas anti-crise. De fato, é uma ferramenta conveniente para evitar perdas e superar as consequências do vazamento de dados.

O seguro inclui cobertura obrigatória e adicional. Obrigatório inclui:

  • Perdas por violação de dados
  • Investigação administrativa sobre dados
  • Custos de resposta por violação de dados.
  • Responsabilidade pelo conteúdo da informação.
  • Extorsão virtual.
  • Interrupção de rede

A cobertura adicional inclui a responsabilidade pelo conteúdo das informações, extorsão virtual, perdas por falhas na rede como resultado de um mau funcionamento do sistema de segurança e compensação por lucros cessantes.
A AIG não registrou um único caso de contato com o cliente devido à infecção pelos vírus WannaCry ou Petya, mas esses casos também causaram um crescente interesse dos clientes no serviço de seguro de risco. “Após os incidentes, vemos um interesse crescente em serviços de seguro de risco cibernético e atualmente estamos negociando com várias empresas. No entanto, quanto maior o negócio, mais complicado e mais longo o orçamento é aprovado. Portanto, pode levar muito tempo para concluir um contrato,
- disse o chefe do departamento de seguro contra riscos financeiros da AIG Rússia, Vladimir Kremer .

Allianz

A Allianz desenvolveu seu produto de seguro contra riscos cibernéticos, o Allianz Cyber ​​Protect. A apólice oferece seguro contra as seguintes categorias de risco:

  • Responsabilidade civil pela perda de dados pessoais e financeiros de clientes;
  • Perdas incorridas pelo próprio segurado devido a tempo de inatividade, extorsão cibernética;
  • Cobrir os custos da investigação de incidentes e assistência de especialistas forenses.

“A crescente demanda por seguro cibernético nos EUA já está em estágio ativo, pois as leis de proteção de dados ajudam a orientar as empresas, e as mudanças regulatórias e os níveis crescentes de responsabilidade proporcionam crescimento acelerado em outros países”, comenta Nigel Pearson, responsável pelo seguro cibernético da Allianz Global Corporate & Specialty (AGCS). "Estamos testemunhando uma tendência geral para o estabelecimento de regimes regulatórios de proteção de dados mais rigorosos, que estão repletos de ameaças de multas graves em caso de vazamento de informações".

Regulamentação estadual


Até o momento, não existem padrões no campo do seguro cibernético, e a legislação é pouco desenvolvida em termos de determinação da responsabilidade por violações e crimes no campo da segurança da informação.

Mas, no futuro próximo, a situação deve mudar. O projeto nacional “Economia digital da Federação Russa” prevê várias medidas destinadas a popularizar o seguro voluntário de riscos à segurança da informação e aprimorar a cultura cibernética. Além disso, o projeto inclui uma proposta para estudar a possibilidade de usar benefícios fiscais para o seguro de risco cibernético.



Algoritmo de seguro contra riscos cibernéticos


Como é o procedimento de seguro cibernético? Para responder a essa pergunta, adotamos um sistema de informação com um sistema de proteção de dados já criado. Pode ser um sistema de armazenamento de dados pessoais, um sistema estadual com um certificado de conformidade com os requisitos de segurança da informação ou outro sistema de informações com recursos de segurança selecionados com base na razoabilidade e proporcionalidade dos custos.

Nesse caso, a empresa precisará seguir as seguintes etapas:

  • Escolha de uma companhia de seguros que ofereça um serviço abrangente de seguro de risco cibernético;
  • Seleção de uma organização especializada para realizar uma auditoria da segurança da informação (dentre organizações credenciadas por uma companhia de seguros);
  • Auditoria de SI e avaliação de riscos (conduzida por uma organização especializada);
  • Definição de casos de seguro;
  • Determinação do tamanho da cobertura e prêmios de seguro;
  • Formação de um contrato para um serviço abrangente de seguro cibernético.

Se a empresa ainda não criou um sistema de proteção ou não atende aos requisitos da legislação russa sobre proteção, a etapa preliminar será criar um sistema de proteção ou colocar um sistema de informações com um provedor de serviços com a conclusão de um contrato para o armazenamento de informações confidenciais.

Tipos de Riscos de Seguros


Na prática mundial, existem vários riscos que podem receber parcial ou totalmente a cobertura do seguro:

  • O risco de apropriação indébita e uso de informações confidenciais pelos funcionários da empresa e seu uso;
  • O risco de um hacker obter informações sobre números de cartão de crédito ou contas de clientes da empresa;
  • O risco de roubo de fundos de contas bancárias ou títulos de uma conta de um depositário;
  • O risco de roubo de dados e fundos de cartão de crédito;
  • O risco de perda ou divulgação de informações devido a erro do funcionário;
  • Uma quebra no trabalho da empresa, sua rede de computadores, seu site;
  • Perdas associadas à publicação de informações falsas ou difamatórias no site do segurado;
  • O risco de perder um meio tangível contendo informações confidenciais.



Cobertura de seguro


Em quase todos os casos de seguro, a questão mais difícil é a questão da estimativa confiável do custo das informações perdidas.

Além disso, ao avaliar informações como um ativo intangível e ao receber uma compensação de seguro, não são descartados problemas com nossa legislação tributária, que não deixarão de designar todo o valor da compensação de seguro como lucro e tributá-la. Esta questão ainda não foi resolvida no nível de esclarecimentos do Ministério das Finanças.

Além disso, nem tudo é claro com o pagamento da cobertura do seguro, calculado como o valor das despesas incorridas para restaurar o direito violado. Será bastante difícil provar a necessidade de fazer uma ou outra despesa ou seu tamanho; portanto, é aconselhável prescrever uma lista aproximada dessas despesas e os limites de seus custos em contratos de seguro.

A cobertura do seguro pode incluir:

  • Perdas devido a violações de dados pessoais ou informações corporativas;
  • Perdas como resultado de uma longa interrupção no funcionamento da rede;
  • Perdas e despesas resultantes da divulgação pública de dados pessoais ou informações corporativas;
  • Dinheiro pago para limitar ou encerrar um risco de segurança que poderia causar uma perda;
  • Cobertura de custos de investigação pelas autoridades reguladoras;
  • Serviços de resposta em caso de vazamento de dados, restauração da reputação pessoal, briefing em caso de vazamento de dados pessoais, bem como despesas com notificações e monitoramento relacionados a vazamento de informações;
  • Cobrir os custos associados à restauração, recoleta ou reconstrução de informações após vazamento ou uso não autorizado de dados;
  • Os custos do segurado em juízo;
  • Despesas de gerenciamento de crises;
  • Danos a terceiros.

Conclusões


Apesar do relativamente jovem mercado de seguros de serviços cibernéticos, já existem soluções complexas e integradas. Espera-se que os provedores de nuvem em breve forneçam serviços de seguro de responsabilidade. O Cloud4Y, além das garantias oferecidas pelo contrato de nível de serviço, já está pronto para oferecer aos clientes uma maneira conveniente de garantir os riscos de colocar infraestrutura e serviços na nuvem.

Source: https://habr.com/ru/post/pt454278/

More articles:


All Articles