В России хотят ввести обязательное страхование от кибератак

В России хотят ввести обязательное страхование от кибератак

В России хотят ввести обязательное страхование от кибератак

В Правительстве РФ и ИТ-отрасли активно обсуждают инициативу Совфеда о введении обязательного страхования киберрисков. Рост числа атак на российские организации увеличил спрос на подобные услуги, однако базы для их унификации в стране пока нет.

Как выяснил «Ъ», на данный момент сенаторы получают обратную связь по вопросу создания механизма обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. Внести его в Госдуму планируется после создания необходимой нормативной базы.

«Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования направлена как раз на борьбу с утечками персональной информации», — сообщил журналистам член комитета СФ по конституционному законодательству и госстроительству Артем Шейкин.

Формирование правовых основ для создания ОКРУГа, по мнению сенатора, потребует изменений в налоговом законодательстве. Предстоит также создать институт оценки киберзащищенности, который позволит привлекать широкую экспертизу для определения критичности возможных потерь от кибератак.

Деятельность страховых компаний в России регулирует Банк России; там считают создание института страхования киберрисков одной из первостепенных задач по развитию информационной безопасности кредитно-финансовой сферы в ближайшие годы. Однако для установки единых требований к такой услуге нужен опыт, которого у страховщиков пока мало.

Эксперты в области кибербеза тоже видят ряд препятствий на пути к реализации инициативы. Так, замгендиректора ГК «Гарда» Рустэм Хайретдинов опасается, что внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных станет просто очередным налогом, а также вызовет всплеск страхового мошенничества или заградительных ставок.

Ему вторит Михаил Адоньев, GR-директор ГК «Солар»:

«Рынок киберстрахования тесно связан с тем, как правильно оценивать риски от кибератак. Даже в развитых странах, где такие услуги существуют уже давно, страховые компании сталкиваются со сложностями по оценке ущерба. Важна детальная проработка формирования и регулирования страхования киберрисков, направленная в том числе на гармонизацию и унификацию подходов к оценке уровня защищенности, оценки ущерба, порядку и методике расследования инцидентов, расчету страховых премий и выплат и т. п.».

До прошлого года страхование киберрисков мало интересовало российский бизнес, однако, когда число атак резко возросло, как и случаев утечек, отношение к подобным услугам стало заметно меняться. Угроза остается ощутимой, и спрос в этой сфере растет.

В «АльфаСтраховании» оценили годовой объем премий по договорам страхования киберрисков в $6-7 млн — против $7,5 млрд во всем мире. По прогнозам специалистов, российский рынок киберстрахования может вырасти до 10 млрд рублей.

В прошлом году «РТК-Солар» провела опрос среди коммерческих и госорганизаций на тему киберстрахования и выяснила следующее:

  • услугой страхования киберрисков пользуются 6% участников опроса (в основном представители сферы финансов и ИТ, реже — нефтянка и госорганы);
  • 21% респондентов планируют подписаться на услугу в ближайшей перспективе (основания — повышение уровня защищенности, способ быстрее оправиться после киберинцидента, возврат инвестиций в ИБ);
  • для трети опрошенных основным барьером для приобретения услуги является ее дороговизна.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WireTap: атака на Intel SGX позволяет украсть ключ за 45 минут

Группа исследователей из Технологического института Джорджии и Университета Пердью продемонстрировала атаку под названием WireTap, которая позволяет обойти защиту Intel SGX (Software Guard Extensions).

Главная особенность вектора атаки (PDF) в том, что для неё достаточно физического доступа к серверу и простого оборудования стоимостью менее $1000 — его можно собрать из подержанных деталей.

Учёные создали пассивный DIMM-интерпозер, который подключается к шине памяти DDR4. С его помощью они смогли замедлить и анализировать трафик, затем очистили кэш и получили контроль над защищённым SGX-«анклавом». Дальше дело техники: всего за 45 минут они извлекли ключ аттестации машины.

С помощью украденного ключа можно:

  • подделывать аттестацию и ломать приватность сетей вроде Phala и Secret, где хранятся зашифрованные смарт-контракты;
  • взламывать систему Crust, имитируя доказательства хранения данных и подрывая доверие к узлам сети.

По сути, это позволяет нарушить и конфиденциальность, и целостность таких сервисов.

Intel признала существование атаки, но отметила, что она требует физического доступа и использования спецустройства. А это, по словам Intel, выходит за рамки их стандартной модели угроз.

Исследователи считают, что снизить риски можно с помощью более сложного шифрования памяти, увеличения энтропии, защиты подписи в аттестации и повышения скорости шины.

Напомним, несколькими днями ранее мы рассказывали про другой вектор атаки — Battering RAM. Он работает довольно изящно — через дешёвое «железо» стоимостью всего около $50.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru