Управління ризиками постачальників у кіберстрахуванні

Компанії, які шукають кіберзахист, стоять перед дорогим вибором: Залишатися з перевіреними ІТ-постачальниками або прийняти заздалегідь схвалені страховиками альтернативи.

Одне з найскладніших рішень для компаній, які шукають кіберстрахування, – це вибір між довгостроковим, перевіреним постачальником послуг або переліком попередньо затверджених постачальників послуг з реагування на інциденти, який пропонує страховик.

Припустимо, компанія роками співпрацює з одним і тим самим місцевим постачальником ІТ-послуг. Вони мають міцні відносини, вигідні ціни та додаткову перевагу у вигляді швидкої особистої підтримки в разі потреби. Найголовніше, що постачальник досконало знає системи компанії. У контексті кібербезпеки така обізнаність може бути справжнім надбанням.

Минулого року, коли мережа клієнта зазнала атаки програм-вимагачів, ІТ-команда за лічені хвилини помітила ненормальну поведінку файлів, які дублювалися та перейменовувалися на спільному диску. Оскільки вони знали архітектуру компанії, вони не витрачали час на сканування всієї мережі. Вони знали, які облікові записи користувачів мали доступ до цього диска, які відділи підключили його локально і які машини були схильні до фішингових кліків у минулому. Протягом 15 хвилин вони відстежили активність до однієї скомпрометованої робочої станції в бухгалтерії, відключили її від мережі та заблокували уражені облікові дані, зупинивши поширення ще до початку шифрування.

Після цього випадку відносини компанії з місцевим ІТ-провайдером тільки поглибилися. Така динаміка не є чимось незвичайним, особливо серед малих підприємств. Це майже кліше: ІТ-фахівець, який стає частиною родини. Спільна історія, довіра, викувана під тиском, навіть перетинання особистих життів, діти в одній школі, вихідні на одних і тих самих барбекю. Тож коли страховик наполягає на заміні на безлику, заздалегідь затверджену альтернативу, це не просто бізнес-рішення. Це може відчуватися як особиста зрада.

Однак, коли настає час укладати договір кіберстрахування, компанія стикається з суворою реальністю: збереження свого надійного ІТ-постачальника може означати значно вищу премію, що важко прийняти в умовах, коли маржа має велике значення. Але заміна постачальника не тільки викликає особисте почуття провини. Це означає залучення незнайомої команди, початок роботи з нуля та ризик розбіжностей у роботі з іншими постачальниками.

Конфлікти або непорозуміння між постачальниками – це не тільки логістична проблема, а й ризик для безпеки. Кожен постачальник є потенційним вектором атаки, і багато з них не підпадають під дію кіберстрахування. Якщо один з них буде скомпрометований, загроза може поширитися далі. Отже, з точки зору безперервності бізнесу та управління ризиками, збереження місцевого ІТ-постачальника може здаватися найбезпечнішим варіантом. Але якщо він не входить до списку страховика, що тоді?

Страховики не знають всіх тонкощів вашої інфраструктури – ви повинні їм це показати

Страховики, що спеціалізуються на кібербезпеці, часто є більш гнучкими, ніж вважають компанії, але тільки в тому випадку, якщо вони переконані, що не вказаний у списку постачальник не створює надмірного ризику. Доведення того, що постачальник є підходящим, також демонструє, що він є надійним, що вигідно як для страхувальника, так і для страховика. Ключовим моментом є повна прозорість.

Повідомте та підкресліть сильні сторони вашого постачальника, такі як надійні засоби контролю безпеки, відповідні сертифікати, досвід реагування на інциденти та досвід роботи з вашою організацією. Якщо можливо, залучіть третю сторону для підтвердження вашої оцінки та уникнення упередженості. Якщо все зробити правильно, це може призвести до узгодженої економії або, принаймні, допомогти виправдати додаткові витрати всередині компанії.

Боротьба за те, щоб страховики прийняли несертифікованих постачальників, вказує на глибшу проблему: страховики часто не повністю розуміють специфічний профіль ризиків вашої організації. Їхній підхід є грубим, базується на приблизних оцінках, статичних анкетах, автоматизованих інструментах оцінювання та неформальних каналах зв'язку. Кіберзлочинність є мінливою та нестабільною, але страховики не мають часу чи досвіду, щоб бути в курсі подій, а також розуміти, як кожен інструмент безпеки фактично зменшує ці мінливі загрози. Поширеним засобом усунення цієї розбіжності є залучення експерта з кібербезпеки, який може виступати в ролі перекладача.

Заплутана мережа постачальників

Для компаній, які змушені об£рунтовувати вибір надійного постачальника перед своїм страховиком, цей процес також може прояснити загальну картину. Він змушує уважніше придивитися до ризиків, пов'язаних із третіми сторонами, тобто розплутати екосистему постачальників, з'ясувати, які відносини варто захищати, а які безпечніше замінити альтернативами, схваленими страховиком.

Зараз це актуально як ніколи, оскільки кількість постачальників, якими сьогодні керують організації, зросла в геометричній прогресії. Керівники, які прийшли на посаду в епоху дот-комів, часто відчувають себе дезорієнтованими. Те, що колись стосувалося лише ІТ-фахівця та місцевого інтернет-провайдера, перетворилося на екосистему з сотнями учасників, що охоплює хмарні сервіси, платформи кібербезпеки, керованих провайдерів та нішеві SaaS-інструменти.

Зростає не тільки кількість постачальників, але й їхня складність. Ризик не є адитивним, а мультиплікативним. Кожен новий постачальник підключається до інших, створюючи мережу залежностей, які рідко чітко відображаються в організації. Ці нитки заплутуються. І це заплутання є не тільки логістичною проблемою, але й розширює поверхню атаки, створюючи вразливості з кожною інтеграцією.

Кібератаки зростають з тривожною швидкістю. У третьому кварталі 2024 року компанії зазнавали в середньому 1876 кібератак на організацію щотижня – це на 75% більше, ніж у тому ж періоді 2023 року. Один скомпрометований постачальник може спричинити ланцюгову реакцію порушень у всій організації.

Справа Uber 2022 року створила чіткий прецедент: керівники служб інформаційної безпеки (CISO) більше не можуть уникнути відповідальності. Тепер вони несуть особисту відповідальність. Але це не означає, що CISO може просто взяти на себе провину і стати козлом відпущення. Регулюючі органи, включаючи SEC, FTC та органи, що контролюють дотримання GDPR, розслідують весь ланцюжок невдач: управління, нагляд ради директорів, протоколи реагування на порушення та внутрішню комунікацію.

Коли організація визнається винною після порушення, регулятори, озброєні новими правилами розкриття інформації та законами про конфіденційність даних, можуть накласти руйнівні штрафи. Репутаційний збиток може зберігатися роками. Це вже не епоха, коли "такі речі просто трапляються". Якщо це трапилося, ви несете відповідальність – і, можливо, зазнаєте руйнівних наслідків.

Кіберстрахування – це не запобіжний захід, а остання лінія захисту

З огляду на те, що екосистеми постачальників стають все більш взаємопов'язаними, а наслідки збою – все більш серйозними, багато керівників звертаються до кіберстрахування як до засобу заспокоєння. Часто не висловлювана думка: ви це виправите, правда? Вони ставляться до поліса як до запобіжного засобу і підписують чек. Але хоча кіберстрахування може бути необхідним, воно за своєю природою є реактивним. Воно покриває наслідки. Воно не зупиняє порушення. Запобігання інцидентам в першу чергу означає знання того, які нитки порвані, які заплутані і які постачальники становлять реальну загрозу.

Для цього необхідно заздалегідь оцінити ризики, пов'язані з постачальниками, тобто до і під час придбання страховки. Незалежно від того, чи проводиться це внутрішньо або через надійного партнера, ретельна перевірка призводить до більшої згуртованості постачальників, зниження страхових премій і посилення переговорної позиції зі страховиками. Компанії не повинні бути змушені сліпо приймати попередньо затверджених постачальників, які не відповідають їхній операційній моделі. Коли організації приділяють час розумінню свого ландшафту постачальників, страховики можуть краще зрозуміти, що робить бізнес особливим, і працювати над збереженням цієї унікальності, а не перекривати її.

Стратифікувати, перевіряти, уточнювати

Тож з чого починають керівники, які хочуть оцінити ризик постачальників? Вони повинні почати зі стратифікації своїх постачальників, організувавши їх за рівнями ризику. Не всі постачальники становлять однаковий рівень ризику. Технічно, ландшафтний дизайнер є постачальником, але він потрапляє в рівень 4. Постачальник послуг з аналізу веб-сайтів може потрапити в рівень 3, хмарне програмне забезпечення для управління персоналом – в рівень 2, а постачальник послуг з управління ІТ (ITMSP) – в рівень 1.

Але так само шкідливим є надмірна довіра до сертифікатів, таких як ISO 27001 або SOC 2. Вони повинні слугувати базовим рівнем, а не знаком якості. Таку саму логіку слід застосовувати до зовнішніх інструментів оцінювання. Постачальник може мати рейтинг "А" в Інтернеті, але це може просто відображати чистий зовнішній слід, а не якість його внутрішнього контролю, політик або готовності персоналу.

Багато організацій, поспішаючи підписати договір з постачальниками, часто не звертають уваги на слабкі або відсутні положення договору щодо безпеки даних. У договорі не повинно бути лише зазначено, що постачальник "дотримується найкращих практик". У ньому має бути чітко визначено, яких рамок дотримуються, які заходи контролю застосовуються та як часто вони переглядаються. Аналогічно, у договорах мають бути прописані конкретні зобов'язання щодо безпеки, такі як стандарти шифрування, контроль доступу та права на аудит, а також конкретні очікування щодо реагування на інциденти, включаючи зобов'язання щодо часу реагування та терміни повідомлення про порушення.

Під час перевірки не обмежуйтеся лише оцінкою постачальника. З'ясуйте, наскільки глибоко він інтегрований у ваші системи та як взаємодіє з іншими постачальниками. Саме там криються приховані ризики.

Проведіть стрес-тестування ваших постачальників

Навіть після того, як постачальники були належним чином перевірені, розібрані та виправдані (як для страховика, так і для організації), ваша робота не закінчена. Потрібні подальші кроки.

Проведіть настільні вправи: це симуляції реагування на інциденти, в яких беруть участь усі ключові внутрішні та зовнішні зацікавлені сторони. Заздалегідь уточніть ролі учасників цих сесій, побудуйте довіру між постачальниками та внутрішніми командами та зменшіть плутанину, коли трапляться реальні інциденти.

Наприклад, організація може змоделювати атаку програм-вимагачів, яка шифрує дані клієнтів у декількох хмарних середовищах, змушуючи її ITMSP, радника з питань порушення безпеки та компанію DFIR координувати свої дії в обмеженому 24-годинному проміжку часу. Таким чином, можна виявити прогалини в комунікації між постачальниками або затримки в відновленні.