Перейти к содержанию
Aleksandr Kulkov

Страхование рисков утечки информации и персональных данных

Recommended Posts

Aleksandr Kulkov

Добрый день, коллеги!

Со времени релиза первой версии Инфопериметра, которая активно обсуждалась на данном ресурсе и за что отдельное спасибо, прошло больше года - и мы не стоим на месте) Как и обещал, первыми информирую о новых направлениях именно участников форума.

Не секрет, что за этот год мы очень сблизились с ОСАО "Ингосстрах" и вывели на рынок два новых страховых продукта - страхование инфорисков (в новом понимании) и страхование интернет-ресурсов. Подробно об этих программах можно прочитать на http://www.infooborona.ru и http://www.reg.ru/help/insurance. Если есть вопросы по этим программам с радостью отвечу, но это тема скорее отдельного топика. Могу только сказать, что статистика обращений внушает оптимизм - и можно даже пафосно говорить что Россия готова к таким продуктам:)

Здесь же хотел осветить наши несколько далеко идущие планы. Ни для кого наверное не открою Америку в свете новой редакции закона о персданных. И в принципе по утечкам информации - все мы понимаем, что 100% механизмов защиты не существует и вряд ли технически возможно их реализовать. В связи с этим наши дальнейшие шаги на ниве страхования инфорисков нацеливаем на страхование рисков утечки информации и персданных. Но по этим вопросам есть куча открытых проблем - как отслеживать факт утечки и собирать доказательную базу инцидента и как оценить ущерб. В рамках этого мы с радостью готовы принимать в программу партнеров по разработке и выводу на рынок такого продукта. Можем уверенно говорить об эксклюзиве на первые продажи при необходимости (как пример - наш эксклюзивный партнер по страхованию сайтов - РЕГ.РУ).

В связи с этим предлагаю организацию небольшого круглого столика в нашем офисе по вопросу участия в программе, идей и предложений. Желающих окликнуться - буду рад слышать 740-5388. Александр Кульков, генеральный директор ООО "ИнфоОборона".

PS: Также на встрече, естественно, будут представители Ингосстраха и можно будет поднять вопросы также по страхованию профессиональной ответственности разработчиков DLP-решений. Ведь я думаю я не одинок в том, что очень хочу знать точный ответ на вопрос заказчика "А что будет, если всё же после внедрения системы произойдёт утечка?":)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alexgr

страхование рисков в сфере информационных технологий становится очень актуальной темой. Когда-то я пытался ставить подобный вопрос, даже сделал предварительную проработку со страховиками - но был непонят. Видимо, всякая идея должна вызреть...НО - в этом случае - поздравляю! Вы на правильном пути

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Слабое место предложения - определение страхового случая. Возмьмем любую угрозу, внутреннюю или внешнюю: взлом сети, вирусная эпидемия, утечка, утрата критически важных данных. Почти всегда можно спихнуть вину на клиента, доказать обратное будет тяжело. Человеческий фактор как ни крути виноват в большей части инцидентов.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aleksandr Kulkov

Примерно те же вопросы задаем себе и мы. Но как показывает практика нет ничего невозможного - страхование сайтов в теории год назад тоже звучало смешно, а сейчас мы планомерно запускаем две программы по этому направлению, где все аспекты учтены. На любое действие абсолютно точно существует противодействие. Казалось бы - что может быть проще чем обмануть программу автострахования - но ведь распространилась же повсеместно. Потому в этом вопросе главное не от пессимизма отталкиваться. И помнить, что в если в случае разбора инцидента всплывает факт мошенничества - то это вопрос УК, хотя и не стоит исключать группу людей, которых это не остановит.

Человеческий фактор как ни крути виноват в большей части инцидентов.

Абсолютно верно. Но, к примеру, уже существует страховая программа для топ-персонала. К сожалению не помню названия программы - могу уточнить, но суть в том, что акционеры компании могут застраховаться от действий новоприбывшего топ-менеджера, если те будут иметь негативный характер и повлекут за собой потери. И это абсолютно серьёзно) Страховые компании в курсе термина "человеческий фактор" и в принципе готовы с ним работать.

Направление интересное, потому как дает клиенту возможность не просто минимизировать риски, а и покрывать их за счет страховки в случае реализации.

Это скорее ближе к страхованию проф ответственности разработчиков или интеграторов DLP-решений. Аналогично страхованию проф ответственности аудиторов PCI DSS.

Потом встает проблема оценки ущерба и выплат. Например, как оценить ущерб от кражи клиентской базы? Компания может просто закрыться через пол года после этого.

Вот это самый большой и интересный вопрос... Государство дало нам четкое определение персданных. Но совершенно забыло дать механизмы их оценки. Вот эту вещь придется именно изобретать. Поскольку страховые компании работают по большей части с прямыми подтверженными убытками. Исключение может составить только страхование жизни - там оценка взята с потолка. Но применить такую методику к инфорискам у нас не получилось. Поэтому нужна прозрачная логическая цепочка оценки. Или механизм государственного регулирования.

С другой стороны - совершенно не обязательно пытаться одной программой покрыть все возможные риски - в этом мы уже опытным путем убедились. Для начала нужно сделать чёткую классификацию утечек информации по типам (здесь очень важно участие всех потенциально заинтересованных сторон), далее проставить напротив каждого класса степень риска - и далее планомерно делать страховые программы исходя из классов и рисков. Опять же по аналогии с сайтами - сначала мы ответили себе на вопрос "А что же в принципе может случиться с сайтом?", затем проанализировали каждый потенциальный случай и проанализировали риски, затем подготовили модель определения фактов наступления страхового случая, затем перешли к самим страховым программам. Сначала казалось нереально - сейчас всё просто и легко.

В качестве доказательной базы мне лично видится система корреляции логов, работающая в режиме чёрного ящика. Это наиболее недорогое и действенное решение по сравнению с существующими DLP-решениями. И оно позволяет практически однозначно определять факты взлома, несанкционированного доступа, вирусной активности и т.п. Здесь важно понимать, что в пакете со страховкой нельзя навешивать систему, в разы превышающую по стоимости страховку. Можно лишь оперировать скидками при условии наличия системы.

Я потому и предложил формат круглого стола для обсуждения темы. Поскольку есть реальный опыт - и его довольно много, есть западные наработки, и есть желание со стороны страховщиков сделать такой продукт. По крайней мере именно в таком режиме разрабатывалась программа страхования интернет-ресурсов. Нужно понимать, что хороший продукт - это не просто видение одной компании, а мнение отрасли в целом. И в этом мы полностью открыты и готовы к конструктивному диалогу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nones

Есть два конкретных вопроса по программе страхования сайтов:

- каким образом и кто оценивает размер ущерба в результате инцидента?

- каков лимит ответственности страховщика и как он расчитывается (на сайте есть только информация по премиям)?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×