В России хотят ввести обязательное страхование от кибератак

В России хотят ввести обязательное страхование от кибератак

В России хотят ввести обязательное страхование от кибератак

В Правительстве РФ и ИТ-отрасли активно обсуждают инициативу Совфеда о введении обязательного страхования киберрисков. Рост числа атак на российские организации увеличил спрос на подобные услуги, однако базы для их унификации в стране пока нет.

Как выяснил «Ъ», на данный момент сенаторы получают обратную связь по вопросу создания механизма обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. Внести его в Госдуму планируется после создания необходимой нормативной базы.

«Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования направлена как раз на борьбу с утечками персональной информации», — сообщил журналистам член комитета СФ по конституционному законодательству и госстроительству Артем Шейкин.

Формирование правовых основ для создания ОКРУГа, по мнению сенатора, потребует изменений в налоговом законодательстве. Предстоит также создать институт оценки киберзащищенности, который позволит привлекать широкую экспертизу для определения критичности возможных потерь от кибератак.

Деятельность страховых компаний в России регулирует Банк России; там считают создание института страхования киберрисков одной из первостепенных задач по развитию информационной безопасности кредитно-финансовой сферы в ближайшие годы. Однако для установки единых требований к такой услуге нужен опыт, которого у страховщиков пока мало.

Эксперты в области кибербеза тоже видят ряд препятствий на пути к реализации инициативы. Так, замгендиректора ГК «Гарда» Рустэм Хайретдинов опасается, что внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных станет просто очередным налогом, а также вызовет всплеск страхового мошенничества или заградительных ставок.

Ему вторит Михаил Адоньев, GR-директор ГК «Солар»:

«Рынок киберстрахования тесно связан с тем, как правильно оценивать риски от кибератак. Даже в развитых странах, где такие услуги существуют уже давно, страховые компании сталкиваются со сложностями по оценке ущерба. Важна детальная проработка формирования и регулирования страхования киберрисков, направленная в том числе на гармонизацию и унификацию подходов к оценке уровня защищенности, оценки ущерба, порядку и методике расследования инцидентов, расчету страховых премий и выплат и т. п.».

До прошлого года страхование киберрисков мало интересовало российский бизнес, однако, когда число атак резко возросло, как и случаев утечек, отношение к подобным услугам стало заметно меняться. Угроза остается ощутимой, и спрос в этой сфере растет.

В «АльфаСтраховании» оценили годовой объем премий по договорам страхования киберрисков в $6-7 млн — против $7,5 млрд во всем мире. По прогнозам специалистов, российский рынок киберстрахования может вырасти до 10 млрд рублей.

В прошлом году «РТК-Солар» провела опрос среди коммерческих и госорганизаций на тему киберстрахования и выяснила следующее:

  • услугой страхования киберрисков пользуются 6% участников опроса (в основном представители сферы финансов и ИТ, реже — нефтянка и госорганы);
  • 21% респондентов планируют подписаться на услугу в ближайшей перспективе (основания — повышение уровня защищенности, способ быстрее оправиться после киберинцидента, возврат инвестиций в ИБ);
  • для трети опрошенных основным барьером для приобретения услуги является ее дороговизна.

Бесплатные VPN для Android сливают трафик и светят данные пользователей

Исследователи проверили 281 популярное бесплатное VPN-приложение из Google Play и выяснили неприятный, но закономерный факт: многие из них проваливают базовую задачу VPN — защищать трафик пользователя. Проблемные приложения суммарно установили более 2,4 млрд раз.

Проверку провели (PDF) специалисты Мичиганского университета, Университета Нью-Мексико и IIT Delhi с помощью системы MVPNalyzer.

Она создана для регулярного аудита VPN для Android и показывает, что у части таких сервисов приватность существует скорее в описании, чем в реальности.

 

У 29 приложений трафик утекал мимо зашифрованного туннеля. В 24 случаях наружу уходили DNS-запросы, по которым видно, какие сайты открывает пользователь.

Ещё шесть приложений пропускали полноценный веб-трафик вне туннеля, а четыре вообще работали без шифрования. Отличный VPN, если ваша цель — чтобы вас было видно всем.

 

Самая неприятная находка — пять приложений, которые скачивали конфигурационные файлы без шифрования. Такой файл сообщает приложению, к какому серверу подключаться. Если его можно перехватить и подменить, атакующий в той же сети, например в публичном Wi-Fi, способен перенаправить VPN-подключение на свой сервер. Пользователь увидит привычное «connected», а весь трафик пойдёт через чужие руки.

 

Слежка тоже никуда не делась. 76 приложений отправляли рекламный идентификатор устройства, а 246 связывались с известными рекламными и трекинговыми серверами. Некоторые передавали модель телефона, версию ОС, размер экрана и другие данные, из которых легко собрать цифровой отпечаток. Одно приложение, по данным исследования, отправляло даже точные GPS-координаты.

Отдельный сюрприз — слабые настройки OpenVPN. Из 108 разобранных конфигураций только одна соответствовала всем проверенным практикам безопасности. Встречались устаревшие шифры вроде Blowfish и 3DES, а в отдельных случаях шифрование фактически отключалось.

RSS: Новости на портале Anti-Malware.ru