Програми-вимагачі: Постійний виклик у відшкодуваннях за кіберстрахуванням

Основні висновки

Розуміння тенденцій щодо кібер-злочинів допомагає розробити ефективну стратегію управління ризиками, що є одним із найпоширеніших ризиків у сучасному суспільстві, яке керується технологіями. Аналіз 1 800+ кібер-злочинів, поданих до Marsh у США та Канаді у 2023 році, свідчить про наступне:

• 21% клієнтів, які придбали кіберполіс, повідомили про подію в 2023 році, що відповідає відсотку за останні п'ять років.
• У 2023 році події були зумовлені такими факторами, як підвищена складність кібератак, подія MOVEit, що висвітлила вразливість ланцюгів поставок, а також претензії щодо конфіденційності.
• Охорона здоров'я, комунікації, роздрібна/оптова торгівля, фінансові установи та освіта залишаються в п'ятірці найбільш постраждалих галузей.
• На програми-вимагачі припадає менше 20% заявлених випадків, але вони залишаються головною проблемою для організацій з огляду на їхню частішу появу, витонченість і потенційну серйозність.
• При управлінні вимогами важливо дотримуватися належних процедур, включаючи повідомлення страховиків, брокерів та інших зацікавлених сторін, а також ведення належної документації.
• Стратегія кіберстійкості організації повинна включати оцінку кіберризику в масштабах всього підприємства, в тому числі його потенційний економічний та операційний вплив, а також враховувати кібербезпеку постачальників та інших третіх сторін.

Вступ

Оскільки кіберризики міцно увійшли в число ключових проблем організацій будь-якого розміру, ефективна передача ризиків стає все більш важливим елементом успішної стратегії управління кіберризиками. У свою чергу, для компаній важливо розуміти та належним чином управляти своїми потенційними кіберпретензіями для підтримки передачі ризиків.

У 2023 році клієнти Marsh у США та Канаді повідомили про понад 1 800 кіберпретензій, що більше, ніж у будь-якому попередньому році. Сюди входять позови, пов'язані з кібер-, технічними та телекомунікаційними помилками та упущеннями (E&O), а також висвітленням у засобах масової інформації.

Таке зростання частково зумовлене зростаючою витонченістю кібератак; подією MOVEit, яка висвітлила вразливість ланцюгів постачання; позовами про порушення конфіденційності; а також збільшенням кількості клієнтів Marsh, які купують кіберстрахування. Як і кілька років поспіль, програми-вимагачі, на які припадає менше 20% від загальної кількості кібер-злочинів, залишаються головною проблемою як для страховиків, так і для страхувальників через їхній потенційно значний фінансовий вплив, шкоду для репутації, втрату частки ринку, довготривалий характер судових розглядів, регуляторний контроль тощо.

Відсоток клієнтів, які повідомляють про кіберподії, залишається стабільним

Щорічний відсоток клієнтів, які повідомляють про принаймні одну кіберподію, залишається досить стабільним протягом останніх п'яти років – від 16% до 21% (див. рис. 1). Така стабільність частково свідчить про те, що кіберконтроль компаній не відстає від зростаючої складності та частоти кібератак.

Джерело: Marsh

Кіберподії можуть статися з будь-якою організацією, але певні галузі з часом стають мішенню кібератак частіше за інші (див. рис. 2). П'ятірка найбільших галузей серед клієнтів Marsh, які постраждали від кіберінцидентів, залишається незмінною: у 2023 році це були охорона здоров'я, комунікації, роздрібна/оптова торгівля, фінансові установи та освіта.

Джерело: Marsh

Незважаючи на те, що середня вартість витрат на реагування на порушення, які складаються з послуг адвоката з питань конфіденційності, комп'ютерної експертизи та, за необхідності, сповіщень, зросла, медіанна вартість залишилася відносно незмінною (див. рис. 3). Протягом останніх п'яти кварталів медіанна вартість витрат на реагування на порушення залишалася на рівні 160 000 доларів, тоді як середня вартість мала тенденцію до зростання – з 963 000 доларів у третьому кварталі 2023 року до 1 мільйона доларів у четвертому кварталі, передусім через кілька великих кіберподій.

Джерело: Marsh

Події з викупом залишаються в центрі уваги

Атаки з використанням програм-вимагачів залишаються центральною темою більшості дискусій про кіберризики, оскільки вони продовжують зростати в частоті, витонченості та серйозності і залишаються домінуючою кіберзагрозою для повсякденної діяльності багатьох організацій, довгострокових фінансів, репутації та інших аспектів.

У 2023 році зросла не лише кількість заяв про кібервимагання, а й загальна кількість повідомлень про кіберзлочини. Після стрімкого зростання у 2020 році кількість повідомлень про випадки використання програм-вимагачів протягом останніх двох років залишалася на рівні менше 20% від загальної кількості повідомлень про кіберзлочини від клієнтів Marsh (див. рис. 4). Це означає, що позови про порушення конфіденційності та системні атаки, що призводять до несанкціонованого доступу та потенційно вразливих даних без компоненту вимагання, становлять набагато більшу частку кіберподій, про які повідомляють клієнти Marsh, ніж ті, що містять компонент вимагання.

Джерело: Marsh

У 2023 році кількість клієнтів, які повідомили про випадки кібервимагання, досягла найвищого річного рівня (див. графік 5). Це сталося після зменшення кількості повідомлень про кібервимагання у 2022 році, яка була нижчою, ніж у попередні два роки. Хоча важко визначити причину (причини) зниження у 2022 році, різні експерти з кібербезпеки, як всередині, так і поза межами Marsh, називають такі фактори, як (тимчасовий) перехід від шифрування даних до їх витоку, перебої, спричинені початком російсько-української війни, зниження готовності деяких компаній платити, а також успішне "проникнення" певної групи програм-вимагачів у розпорядження ФБР. Незалежно від причин спаду у 2022 році, у 2023 році кількість випадків вимагання сягнула нових максимумів, оскільки кількість зловмисників значно зросла.

Джерело: Marsh

У випадку вимагання компаніям необхідно вирішити, чи будуть вони платити викуп, щоб отримати ключ дешифрування та/або запобігти оприлюдненню скомпрометованих даних. Організації повинні оцінити можливі збитки, одночасно оцінюючи "надійність" злочинців, з якими вони мають справу – якщо викуп буде сплачено, чи будуть суб'єкти загрози виконувати його? Чи збережуть вони дані для нової спроби вимагання?

У 2022 році клієнти Marsh досягли більшого успіху в реагуванні та відновленні після кібер-здирництва, ніж у 2023 році (див. графік 6). Середній розмір виплати за вимагання знизився з $822 000 у 2021 році до $335 000 у 2022 році. Однак у 2023 році ця тенденція змінилася на протилежну: медіана виплат зросла з $335 000 до $6,5 млн, а медіана вимог збільшилася з $1,4 млн до $20 млн, оскільки кіберзлочинці стали більш зухвалими. Хоча рішення платити чи не платити має багато нюансів, організації повинні бути готовими до реагування, в тому числі шляхом "тренування" своїх дій за різних сценаріїв.

Як правило, переговори щодо вимагання виявляються ефективними у зменшенні остаточної суми викупу, хоча важливо зазначити, що кожна така ситуація є унікальною. Відсоток сплачених середніх вимог збільшився з 24% у 2022 році до 32% у 2023 році.

Джерело: Marsh

Клієнти Marsh продовжують інвестувати в кіберстійкість, в тому числі в такі сфери, як навчання, готовність постачальників до реагування на інциденти, процедури простою, плани позасмугового зв'язку та ефективні засоби контролю кібербезпеки. Про ефективність таких інвестицій свідчить постійне зниження відсотка тих, хто вирішив сплатити вимогу про вимагання (див. графік 7).

Джерело: Marsh

Міркування щодо виплати викупу

Потенційна відповідальність за порушення конфіденційності зазвичай є одним із багатьох факторів, які можуть вплинути на рішення про сплату викупу. Однак буває важко оцінити, чи буде виплата викупу економічно вигідною або зменшить майбутню відповідальність. За останні кілька років значно зросла кількість позовів про порушення права на приватність, а також збільшилися суми виплат, що робить це важливим фактором, який необхідно враховувати.

Рішення може бути простішим, коли злочинці шифрують дані і спричиняють збитки від переривання бізнесу (BI). Наприклад, компанія може визначити, що збитки від переривання бізнесу становлять 1 мільйон доларів на день. Якщо вартість дешифрування становитиме $X тисяч і дозволить відновити роботу бізнесу за кілька днів, математичні розрахунки можуть підказати, що варто заплатити. Кожна ситуація унікальна, і рішення платити чи не платити викуп може мати наслідки, що виходять за межі конкретного інциденту.

Інші фактори, які можуть вплинути на рішення заплатити, включають те, чи є викрадені дані комерційною таємницею або, можливо, сором'язливими.

У деяких випадках страховики можуть більш ретельно перевіряти виплати викупу без шифрування, особливо якщо спрацьовують закони про повідомлення про порушення. Якщо амбівалентність щодо виплати викупу зросте, деякі спостерігачі задаються питанням, чи не піде крадіжка даних по замкненому колу, коли все більше злочинців просто продаватимуть викрадені дані в темній мережі та уникатимуть співпраці зі своїми жертвами.

Висновок: Стратегія та контроль кібербезпеки є ключовими

Оскільки кіберризики продовжують розвиватися, компаніям необхідно відстежувати та коригувати свої засоби контролю кібербезпеки, а також залучати адвокатів з врегулювання претензій, серед інших заходів. У разі виникнення претензії важливо вжити належних заходів, таких як повідомлення страховиків, брокерів та інших зацікавлених сторін, а також ведення належної документації.

У більш широкому сенсі, компанії повинні мати стратегію кіберстійкості, яка включає в себе погляд на кіберризики в масштабах всього підприємства, в тому числі їх потенційний економічний та операційний вплив.

Облік кібербезпеки у постачальників та інших третіх сторін, проведення регулярних практичних навчань та оцінювання реагування.

Ми допоможемо вам кількісно оцінити ваші кіберризики за допомогою моделювання збитків на основі сценаріїв, оцінити потенційні збитки та витрати від кіберподій, розглянути ефективність контролю кібербезпеки з фінансової точки зору, оцінити економічну ефективність декількох структур програм кіберстрахування та допомогти в управлінні вашими претензіями, якщо такі виникнуть.

Використання постачальників панелей може покращити управління претензіями

Коли трапляється кіберінцидент, багато компаній звертаються до зовнішніх постачальників для управління різними аспектами події. Багато страховиків мають перелік постачальників, які попередньо схвалені для роботи з кіберінцидентами та страховими випадками. Компанія Marsh виявила, що клієнти, які користуються послугами попередньо затверджених страховиком постачальників, можуть значно скоротити середній час від повідомлення про подію до отримання підтвердження покриття або першої виплати – з трохи більше 2 місяців при використанні панелі постачальників до понад 12 місяців при використанні постачальників, які не входять до панелі постачальників.

Чому Марш?

Кіберризики є складними та всеохоплюючими. Кібер-практика Marsh надає організаціям досвідчені консультації щодо управління ризиками.

• Власні юридичні, технічні фахівці та фахівці з реагування на інциденти допомагають клієнтам до, під час та після кібер-інцидентів.
• Досвід управління інцидентами, отриманий завдяки роботі з понад 1 800 кібер– та технологічними претензіями щороку.
• Цифрові інновації для вдосконалення програм реагування на кіберінциденти.