Страхова галузь стикається зі зростаючими ризиками кібербезпеки з боку третіх осіб

Вразливість третіх сторін є проблемою для страхової індустрії, оскільки 59% порушень пов'язані із зовнішніми партнерами, як показує аналіз SecurityScorecard.

Комплексне дослідження 150 компаній, пов'язаних зі страхуванням, виявило значні вразливості кібербезпеки в ланцюжку поставок галузі: 59% повідомлень про порушення стосуються третіх осіб, а 23% фірм мають слабкі місця в системі безпеки, згідно з аналізом, проведеним SecurityScorecard.

Згідно зі звітом, ландшафт кібербезпеки страхової галузі являє собою складну картину, яка має як сильні сторони, так і сфери, що викликають занепокоєння. В середньому страховий сектор має показник безпеки 86 балів зі 100, що ставить його на один рівень з іншими критично важливими галузями, такими як енергетика та авіація. Цей показник є обнадійливим, оскільки він перевищує середній світовий показник у 83 бали серед більш ніж 12 мільйонів організацій, згідно з даними SecurityScorecard.

Більш уважний погляд на рейтинги окремих компаній показує, що 77% з 150 проаналізованих страхових компаній можуть похвалитися сильними або добрими позиціями у сфері безпеки. Однак, це залишає значні 23% компаній, які мають певні недоліки.

"Наш аналіз стану безпеки страхової галузі дає неоднозначну картину. Середні показники безпеки відповідають показникам інших галузей, проте 23% компаній мають незадовільні рейтинги, що викликає занепокоєння", – зазначається у звіті.

Показники безпеки за галузевими сегментами

За даними SecurityScorecard, у страховому секторі склалася чітка трирівнева ієрархія з точки зору ефективності кібербезпеки. На верхньому рівні лідирують страхові компанії та перестраховики з вражаючими середніми/медіанними показниками 89/90 та 86/89 відповідно. Середній рівень складають сторонні адміністратори страхових виплат, які набрали 86/88 балів. На нижньому рівні агентства/брокери та страхові ІТ-провайдери набрали 83/85 балів.

Згідно з даними SecurityScorecard, ця стратифікація тісно корелює з регуляторним контролем. Страховики та перестраховики, які підлягають суворому нагляду та вимогам щодо платоспроможності, демонструють більш зрілі практики кібербезпеки. Їхнє становище в центрі галузі в поєднанні з фінансовими ризиками, якими вони управляють, ймовірно, сприяє підвищенню культури управління ризиками, вважають автори звіту.

На противагу цьому, агентства, брокери та ІТ-провайдери стикаються з меншим регуляторним тиском, що може вплинути на їхні нижчі показники безпеки. Ці сегменти часто мають більшу поверхню для атак через їхню клієнтоорієнтованість або складне ІТ-середовище, що потенційно підвищує їхню вразливість до кіберзагроз, зазначається у звіті.

Географічні відмінності

Показники кібербезпеки в страховій галузі демонструють помітні регіональні відмінності. Компанії в Північній і Південній Америці та регіоні EMEA (Європа, Близький Схід та Африка) демонструють сильніші позиції у сфері безпеки, ніж їхні колеги в APAC (Азіатсько-Тихоокеанський регіон). Середній/медіанний бал в Америці становить 86/88, в той час як регіон EMEA наближається до нього з показником 87/87, а APAC відстає з показником 84/85.

У регіоні АТР рейтинги безпеки дуже різняться. Наприклад, австралійські компанії отримали 92/90, індійські – 90/90, японські – 88/88, а китайські – 79/79, зазначається у звіті.

"Китайські компанії вже становлять невід'ємний кіберризик для третіх сторін через спонсороване китайським урядом кібершпигунство. Тепер ці низькі показники безпеки додають ще один рівень занепокоєння для іноземних партнерів", – заявили в SecurityScorecard. "Слабкіші позиції безпеки китайських страхових компаній можуть мимоволі наразити їхніх зарубіжних колег на небезпеку зловмисників і мережевих компрометації".

Зростаючий виклик ризиків, пов'язаних із третіми сторонами

Страхова галузь стикається зі зростаючою проблемою кібербезпеки, оскільки значна кількість компаній стають жертвами витоків даних. Нещодавній галузевий аналіз показує, що 28% компаній, пов'язаних зі страхуванням, зазнали принаймні одного публічного порушення. Це 42 з 150 найбільших компаній світу, що підкреслює всеохоплюючий характер загрози.

Ще більшу тривогу викликає частота множинних інцидентів зловмисників. Серед постраждалих компаній 12 зазнали двох або більше порушень, що свідчить про постійні вразливості або цілеспрямовані атаки. Одна компанія навіть повідомила про шість окремих інцидентів, що підкреслює невблаганний характер кіберзагроз у цьому секторі, зазначається у звіті.

Мабуть, найбільш тривожною тенденцією є поширеність залучення третіх осіб до цих порушень. Приголомшливі 59% усіх зареєстрованих порушень були здійснені за участю третіх осіб, які або компрометували інфраструктуру чи дані іншої організації, або досягали мети через постачальника чи іншу третю сторону. Цей показник перевершує показники будь-якої іншої проаналізованої галузі, включно з провідними федеральними підрядниками США, і значно перевищує глобальний міжгалузевий базовий показник у 29%.

Страхові компанії, які зазвичай мають вищі показники безпеки, непропорційно сильно постраждали від порушень з боку третіх осіб. Хоча страхові компанії складають близько 27% від загальної вибірки, на них припадає 50% компаній, які постраждали від інцидентів третіх осіб, зазначає SecurityScorecard.

"Програми-вимагачі є найбільшою загрозою для страхової галузі, що перевищує її домінування в більшості інших секторів. Кожна атака, пов'язана з відомим суб'єктом загрози, включала в себе програми-вимагачі", – йдеться у звіті.