Aleksandr Kulkov

Страхование рисков утечки информации и персональных данных

В этой теме 5 сообщений

Добрый день, коллеги!

Со времени релиза первой версии Инфопериметра, которая активно обсуждалась на данном ресурсе и за что отдельное спасибо, прошло больше года - и мы не стоим на месте) Как и обещал, первыми информирую о новых направлениях именно участников форума.

Не секрет, что за этот год мы очень сблизились с ОСАО "Ингосстрах" и вывели на рынок два новых страховых продукта - страхование инфорисков (в новом понимании) и страхование интернет-ресурсов. Подробно об этих программах можно прочитать на http://www.infooborona.ru и http://www.reg.ru/help/insurance. Если есть вопросы по этим программам с радостью отвечу, но это тема скорее отдельного топика. Могу только сказать, что статистика обращений внушает оптимизм - и можно даже пафосно говорить что Россия готова к таким продуктам:)

Здесь же хотел осветить наши несколько далеко идущие планы. Ни для кого наверное не открою Америку в свете новой редакции закона о персданных. И в принципе по утечкам информации - все мы понимаем, что 100% механизмов защиты не существует и вряд ли технически возможно их реализовать. В связи с этим наши дальнейшие шаги на ниве страхования инфорисков нацеливаем на страхование рисков утечки информации и персданных. Но по этим вопросам есть куча открытых проблем - как отслеживать факт утечки и собирать доказательную базу инцидента и как оценить ущерб. В рамках этого мы с радостью готовы принимать в программу партнеров по разработке и выводу на рынок такого продукта. Можем уверенно говорить об эксклюзиве на первые продажи при необходимости (как пример - наш эксклюзивный партнер по страхованию сайтов - РЕГ.РУ).

В связи с этим предлагаю организацию небольшого круглого столика в нашем офисе по вопросу участия в программе, идей и предложений. Желающих окликнуться - буду рад слышать 740-5388. Александр Кульков, генеральный директор ООО "ИнфоОборона".

PS: Также на встрече, естественно, будут представители Ингосстраха и можно будет поднять вопросы также по страхованию профессиональной ответственности разработчиков DLP-решений. Ведь я думаю я не одинок в том, что очень хочу знать точный ответ на вопрос заказчика "А что будет, если всё же после внедрения системы произойдёт утечка?":)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

страхование рисков в сфере информационных технологий становится очень актуальной темой. Когда-то я пытался ставить подобный вопрос, даже сделал предварительную проработку со страховиками - но был непонят. Видимо, всякая идея должна вызреть...НО - в этом случае - поздравляю! Вы на правильном пути

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Слабое место предложения - определение страхового случая. Возмьмем любую угрозу, внутреннюю или внешнюю: взлом сети, вирусная эпидемия, утечка, утрата критически важных данных. Почти всегда можно спихнуть вину на клиента, доказать обратное будет тяжело. Человеческий фактор как ни крути виноват в большей части инцидентов.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Примерно те же вопросы задаем себе и мы. Но как показывает практика нет ничего невозможного - страхование сайтов в теории год назад тоже звучало смешно, а сейчас мы планомерно запускаем две программы по этому направлению, где все аспекты учтены. На любое действие абсолютно точно существует противодействие. Казалось бы - что может быть проще чем обмануть программу автострахования - но ведь распространилась же повсеместно. Потому в этом вопросе главное не от пессимизма отталкиваться. И помнить, что в если в случае разбора инцидента всплывает факт мошенничества - то это вопрос УК, хотя и не стоит исключать группу людей, которых это не остановит.

Человеческий фактор как ни крути виноват в большей части инцидентов.

Абсолютно верно. Но, к примеру, уже существует страховая программа для топ-персонала. К сожалению не помню названия программы - могу уточнить, но суть в том, что акционеры компании могут застраховаться от действий новоприбывшего топ-менеджера, если те будут иметь негативный характер и повлекут за собой потери. И это абсолютно серьёзно) Страховые компании в курсе термина "человеческий фактор" и в принципе готовы с ним работать.

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Это скорее ближе к страхованию проф ответственности разработчиков или интеграторов DLP-решений. Аналогично страхованию проф ответственности аудиторов PCI DSS.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Вот это самый большой и интересный вопрос... Государство дало нам четкое определение персданных. Но совершенно забыло дать механизмы их оценки. Вот эту вещь придется именно изобретать. Поскольку страховые компании работают по большей части с прямыми подтверженными убытками. Исключение может составить только страхование жизни - там оценка взята с потолка. Но применить такую методику к инфорискам у нас не получилось. Поэтому нужна прозрачная логическая цепочка оценки. Или механизм государственного регулирования.

С другой стороны - совершенно не обязательно пытаться одной программой покрыть все возможные риски - в этом мы уже опытным путем убедились. Для начала нужно сделать чёткую классификацию утечек информации по типам (здесь очень важно участие всех потенциально заинтересованных сторон), далее проставить напротив каждого класса степень риска - и далее планомерно делать страховые программы исходя из классов и рисков. Опять же по аналогии с сайтами - сначала мы ответили себе на вопрос "А что же в принципе может случиться с сайтом?", затем проанализировали каждый потенциальный случай и проанализировали риски, затем подготовили модель определения фактов наступления страхового случая, затем перешли к самим страховым программам. Сначала казалось нереально - сейчас всё просто и легко.

В качестве доказательной базы мне лично видится система корреляции логов, работающая в режиме чёрного ящика. Это наиболее недорогое и действенное решение по сравнению с существующими DLP-решениями. И оно позволяет практически однозначно определять факты взлома, несанкционированного доступа, вирусной активности и т.п. Здесь важно понимать, что в пакете со страховкой нельзя навешивать систему, в разы превышающую по стоимости страховку. Можно лишь оперировать скидками при условии наличия системы.

Я потому и предложил формат круглого стола для обсуждения темы. Поскольку есть реальный опыт - и его довольно много, есть западные наработки, и есть желание со стороны страховщиков сделать такой продукт. По крайней мере именно в таком режиме разрабатывалась программа страхования интернет-ресурсов. Нужно понимать, что хороший продукт - это не просто видение одной компании, а мнение отрасли в целом. И в этом мы полностью открыты и готовы к конструктивному диалогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Есть два конкретных вопроса по программе страхования сайтов:

- каким образом и кто оценивает размер ущерба в результате инцидента?

- каков лимит ответственности страховщика и как он расчитывается (на сайте есть только информация по премиям)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Обновляю: https://mega.nz/#!0FYBnRzT!Kh8GaRMVOzm99QJZX0NsDD51vDaFzPI-Vil02kw53rQ
    • Sergey22101979s
      Площадку надо свою делать и развивать её. А потом продавать места на ней. И не важно какую площадку - сайт, группу в соцсети, или что-то тому подобное.
    • homeobed
      На дому за копейки работать - дело нехитрое) Вот чтобы зарабатывать приличные деньги, на одних комментариях далеко не уедешь)
    • Mike
      Вышел McAfee VirusScan Enterprise 8.8.0 Patch 10  
    • Wenderoy
      Да, лучше удалить. Но это, разумеется, решает администрация... Я никакой не тролль, ANDYBOND прекрасно это понимает, просто именно с ним был разлад безо всякой причины, подробности приводить не буду, но теперь он старается как можно больше "навредить" мне. Собственно, вот отзывы про PS - https://www.mywot.com/ru/scorecard/provisionsecurity.ru Думаю, комментарии будут излишними. Есть очень много свидетелей, которых "примерная" администрация Provisionsecurity даже "поливала" нецензурной лексикой, у меня есть все скриншоты и т. д. И после всего этого надо подумать, а стоит ли верить таким людям? Это я в качестве отступления. Главное - то, что я устал здесь распинаться, тратя свое личное время, что идет только на руку уже упомянутым участниками форума. Все, что мне надо было доказать, я доказал, пользователи моего приложения знают и понимают мои цели и стремления, я ни от кого ничего не скрываю. Поэтому программу уже используют многие, а это значит, что дело поставлено на рельсы. Самое смешное, что на каждый мой аргумент, который я не поленился снабдить всей необходимой информацией в форме ссылок, скриншотов, записей, копий писем, сообщений лабораторий etc, в ответ мне летят одни и те же фразы: "мошенник", "вирусописатель", "тролль". Так кто же больше попадает под значение последнего слова? Просто упомяну еще пару вещей. Когда я объяснял, почему продукт детектит пустой файл, все равно меня никто не слышал. Каким же, интересно, образом мне следует растолковать это? Были приведены доказательства, что я часть баз собираю с ресурса VirusShare (благо, имеются очень хорошие источники самой разнообразной информации), где AVP в свое время почему-то пометил файл как Trojan... (где-то на предыдущих страницах все чрезвычайно подробно описано). Так вот, копируя MD5, в комплект попала и хеш-сумма пустого файла, вследствие чего как бы Вы его ни переименовывали, все рано будет сработка продукта (кстати, ее уже нет). Далее. Насчет "мошенник" и "вирусописатель". Если зимние переписки (не просто отчетов автоматического анализа лабораторий) с вирусным аналитиком McAfee ни о чем Вам не говорят, это, как говорится, не мои проблемы. Другие вендоры, да практически все (даже популярные Avast, Qihoo и др.) устанавливаются втихомолку вместе с другим ПО (DRP Solutions, различные дополнения для монетизации в пакеты дистрибутивов), но их Вы почему-то "вирусописателями"  не называете. И последнее. Насчет "мошенник". Я никого не принуждаю устанавливать KAR, каждый делает это добровольно. Лицензионное соглашение и Privacy Statment присутствуют на сайте, там все четко и ясно описано. На сервер высылаются исключительно анонимные отчеты, как и в любых других разработках аналогичного типа, не более того.  Kuranin Anti-Ransomware распространяется абсолютно бесплатно, никакой рекламы ни в продукте, ни даже на сайте, т. к. это мое хобби. Поэтому здесь не вижу ничего, связанного с мошенничеством. Это очень краткое обобщение, все мои подробные ночные отписки на однотипные бессмысленные сообщения можно посмотреть, листая предыдущие ни много ни мало двенадцать страниц. @VMS, радует, что еще есть адекватные люди, которые умеют слушать. Да, к сожалению, это не те времена, когда жизнь кипела в каждом уголке Anti-Malware и других подобных форумов. Обидно, что перевились разработчики-добровольцы, которые были очень активны в 2004-2014 годах. Сейчас в основном крупные компании все вытеснили, да есть те, кто просто сдался (Александр Калинин, его судьба мне не известна, но смею предположить, что он воплотил свое хобби в жизнь; Kerish, который, правда, стал чрезвычайно полезной утилитой Kerish Doctor, а ведь совсем немногие знают прошлое этого творения; ScreamAV, бесплатныq антивирус то ли из Индонезии, то ли с Филиппин; путем долгого анализа удалось выяснить, что создатели данного антивируса примкнули к проекту SmadAV;  SMK антивирус, когда-то известный в узких кругах; "Зоркий глаз" Петелина Александра;  AWS Core, приостановивший свое развитие и т. п.) Вообще обожаю древние сайты, особенно варианты на narod.ru и им подобные, пропахшие стариной и историей. Очень приятные ощущения, как будто бы открыл давно забытую, но вновь найденную на чердаке книгу с пожелтевшими от времени листами.  А еще очень много полезных ресурсов, которых уже нет, но они сохранились в "архиве". Все это "богатство" сложно отыскать, но зато там есть чрезвычайно много полезной информации... Вот, кстати, один из примеров: https://web.archive.org/web/20040905203536/http://www.winchanger.narod.ru:80/ Или https://web.archive.org/web/20070624081145/http://winchanger.whatis.ru:80/ Как бонус прилагаю собственную коллекцию малоизвестных продуктов любителей информационной безопасности, среди них, кстати, все вышеупомянутые образцы! https://mega.nz/#!tZBkkCKa!0WzfYt4A1zK4aCvVLtu3FLt7pfPIp7wWtyPIr9c-cbo Может, кому пригодится...