Displaying items by tag: Киберриски

31 мая 2023 года, вышел 2-й номер журнала "Информационная безопасность". В нём была опубликована статья руководителя Санкт-Петербургского регионального отделения АРСИБ, руководителя Комитета по безопасности цифровых активов и противодействию мошенничеству, судебного эксперта, Александра Подобных - Страхование рисков в криптосфере: защита цифровых активов и обеспечение безопасности (в разделе Технологии \ Криптография).

Страхование в криптосфере должно быть важным инструментом для повышения доверия и привлечения новых участников в индустрию блокчейна и криптовалют. Однако стоит отметить, что во всем мире криптострахование все еще находится в стадии развития и покрытие и условия могут различаться в зависимости от страховой компании и регулирования в конкретной юрисдикции. В российской криптосфере такая практика практически отсутствует. Это связано с очень высоким уровнем риска и тем, что эти вопросы контролирует ЦБ России, который вряд ли пропустит программу страхования в столь неопределенной области, ведь полноценного регулирования в данном направлении еще нет. Попробуем определить контуры возможного рынка страховых услуг в криптосфере.

Пока в России есть общее страхование киберрисков, в том числе и для участников финансового рынка. Например, для финансового сектора сегодня определены договор киберстрахования и его составляющие, страховой тариф и премия страхователя, участники страхового рынка, андеррайтинг и инвестирование, страховые события, отличие страхования киберрисков от иного, страховые продукты рынка, учет особенностей банкострахования. Вероятно, с развитием обращения и хранения различных цифровых финансовых активов процедуры будут спроецированы и актуализированы под этот сегмент.

Страховая защита от кибератак покрывает ущерб от перерывов в деятельности, расходы на восстановление системы, расходы на восстановление и дешифровку данных (включая стоимость необходимого ПО), расходы на минимизацию последствий и расследование причин киберпреступления.

Но страхование в криптосфере, известное также как криптострахование или страхование цифровых активов, представляет собой процесс обеспечения защиты от потерь и рисков, связанных именно с криптовалютами, блокчейнами и другими ЦФА. Его цель – снижение финансовых рисков и обеспечение безопасности для держателей криптовалюты и участников криптовалютных платформ.

Страховые компании, специализирующиеся на криптостраховании, разрабатывают полисы и условия страхования, учитывая особенности цифровых активов и индустрии блокчейна. Они проводят анализ рисков, оценку безопасности платформ и используют технологии, такие как мультиподпись и холодное хранение (Cold Storage), для обеспечения безопасности активов.

В области блокчейна страхование может быть направлено на аспекты, связанные с самой технологией, – смарт-контракты, цифровые идентификаторы, децентрализованные приложения и другие инновационные решения. Страхование в области криптовалют, с другой стороны, фокусируется на безопасности и управлении рисками, связанными с хранением, передачей и использованием криптовалютных активов.

Основные риски в криптосфере

Криптовалюты и технология блокчейн, несомненно, являются технологически инновационным направлением и предоставляют множество потенциальных преимуществ и инноваций. Однако есть и специфичные риски, которые необходимо учитывать при работе именно в криптосфере. Рассмотрим основные риски, связанные с этой областью.

Кибербезопасность

Как и любая ИТ-инфраструктура, криптосфера подвержена угрозам кибербезопасности, таким как целевые атаки, фишинг, мошенничество и кражи. Злоумышленники могут нацелиться на цифровые кошельки, централизованные криптобиржи или смарт-контракты, чтобы получить несанкционированный доступ к цифровым активам. Уязвимости в программном обеспечении и слабые меры безопасности могут стать причиной утраты средств или компрометации конфиденциальных данных.

Регуляторные риски

Криптовалюты и блокчейн подвержены регуляторным рискам, связанным с возможными изменениями законодательства, политическими решениями и государственными регуляторными действиями. Изменения в правовом регулировании могут повлиять на легальность и использование криптовалют, а также на требования к деятельности криптобирж и других участников криптосферы.

К тому же отсутствует единое международное или национальное регулирование криптосферы. Это создает неопределенность и риски для участников, так как их правовой статус может оказаться неопределенным, а защита прав потребителей может быть недостаточной. Отсутствие достаточных регуляторных механизмов может способствовать возникновению мошенничества и неэтичного поведения в криптосфере.

Технические риски

Технические сбои или ошибки в блокчейне или смарт-контрактах могут привести к потере средств или нарушению целостности данных. Несовершенство кода и недостатки в разработке программного обеспечения могут привести к уязвимостям и возможности злоумышленников вмешаться в работу системы.

Виды криптострахования

В зависимости от объекта, для которого могут реализоваться те или иные риски, в криптосфере выделяют несколько типов страхования, которые предназначены для обеспечения безопасности и защиты участников.

Каждый из этих видов страхования в криптосфере разрабатывается с учетом специфических рисков и потребностей участников. Они направлены на снижение финансовых рисков и обеспечение безопасности в криптосфере, способствуя повышению доверия и стимулированию дальнейшего развития данной области.

1. Страхование хранилища криптовалют предоставляет защиту от утраты или кражи цифровых активов, которые хранятся в цифровых кошельках или хранилищах. Это покрытие может включать кражу средств в результате хакерских атак, утрату личных ключей или ошибочные операции. Страховая компания возмещает финансовые потери, связанные с такими событиями.

2. Страхование транзакций криптовалют предполагает защиту от потерь, связанных с неправильными или мошенническими транзакциями. В эти случаи включаются ошибочные переводы, фишинговые атаки или мошенничество при совершении сделок с цифровыми активами. Страхование транзакций помогает восстановить средства или компенсировать потери, понесенные в результате таких событий.

3. Страхование криптобирж предназначено для обеспечения защиты пользователей и криптобирж от таких угроз, как хакерские атаки, кражи средств, а также и от недобросовестного поведения со стороны самих бирж. К этому типу относится и защита средств клиентов, хранящихся на бирже, возможность компенсации потерь, понесенных пользователями в результате инцидентов, связанных с безопасностью.

4. Страхование смарт-контрактов предлагает защиту от возможных ошибок или уязвимостей в смарт-контрактах, которые могут привести к потере средств или неправильному исполнению условий контракта. Страхование смарт-контрактов может предоставить возможность компенсации потерь, возникших в результате ошибочных смарт-контрактов или взломов.

ГОСТ Р 59516–2021

Нельзя не упомянуть о действующем в России стандарте от 30.11.2021 г. ГОСТ Р 59516–20211 "Информационные технологии. Менеджмент информационной безопасности. Правила страхования рисков информационной безопасности". Он был разработан с учетом основных нормативных положений международного стандарта ИСО/МЭК 27102:2019 "Менеджмент информационной безопасности. Рекомендации по страхованию киберрисков" (ISO/IEC 27102:2019 Information security management – Guidelines for cyberinsurance).

Стандарт предписывает в целях ослабления последствий, возникающих в результате инцидентов ИБ, в дополнение к принятым в соответствии с ГОСТ Р ИСО/МЭК 27001 и ГОСТ Р ИСО/МЭК 27002 организационным и техническим мерам обеспечения ИБ, внедрять страхование рисков ИБ как один из инструментов управления киберрисками.

Страхование рисков ИБ не рассматривается как альтернатива эффективной системе менеджмента информационной безопасности информации (СМИБ) и не может исключить необходимость разработки планов реагирования на инциденты ИБ, создания системы обучения персонала и принятия других организационных и технических мер по защите информационных активов. Страхование рисков ИБ следует рассматривать как важный компонент СМИБ для противодействия угрозам ИБ и повышения устойчивости бизнеса.

Данный стандарт ссылается и на действующие версии ГОСТ Р ИСО/МЭК 27001 (требования к системам менеджмента ИБ), 27002 (нормы и правила менеджмента ИБ), 27003 (реализация системы менеджмента ИБ), 27004 (измерения при менеджменте ИБ), 27005 (менеджмент риска ИБ).

Вызовы криптострахования

Криптосфера относительно молода, и исторических данных о страховых случаях и рисках накоплено существенно меньше, чем в традиционном страховании. Конечно же, это создает дополнительные сложности для страховых компаний в оценке рисков и определении страховых премий.

К тому же криптовалюты характеризуются высокой волатильностью и неопределенностью, что, в свою очередь, еще больше усложняет прогнозирование рисков и оценку потенциальных убытков.

Как уже отмечалось, криптосфера весьма подвержена угрозам кибербезопасности, включая хакерские атаки и последующие утечки данных. Поэтому успешное страхование криптосферы в дополнение к классическим методам защиты потребует разработки и внедрения специфических инструментов для мониторинга и реагирования, чтобы справиться с растущими киберугрозами.

В связи с уникальными особенностями блокчейн-технологии, страхование в области блокчейна может требовать дополнительной экспертизы и понимания технических аспектов для эффективной оценки рисков и разработки страховых продуктов. Страхование в области криптовалют также требует понимания криптографических принципов и методов хранения и передачи криптовалют.

И конечно же, сфера криптовалют сталкивается с разнообразными регуляторными и правовыми вопросами. Некоторые юрисдикции еще разрабатывают законы и политику, регулирующие криптовалюты и блокчейн. Необходимость соблюдения различных нормативных требований и соответствие законодательству может быть сложной задачей для страховых компаний.

Заключение

Роль страховых компаний в криптосфере состоит в обеспечении безопасности и защите участников от финансовых рисков, связанных с криптовалютами и блокчейном. Они играют важную роль в развитии и стабилизации данной отрасли, создавая доверие и обеспечивая компенсацию при возникновении нежелательных событий.

Криптострахование в России имеет потенциал для того, чтобы стать важным элементом криптосферы, обеспечивая безопасность, доверие и стабильность в этой инновационной области. Однако для его полного развития необходимо преодолеть первичную неопределенность.

Безусловно, самой действенной страховкой являются надежные системы защиты и сопутствующие превентивные меры, но иметь полис на всякий случай не помешает.

Источник: Информационная безопасность

Оно представляет собой рекомендации для высшего руководства: как проще обеспечить кибербезопасность – сейчас и в будущем. Исследование демонстрирует примерно равную заинтересованность в инвестициях в кибербезопасность в мире и в России. 65% российских компаний ожидают увеличения бюджетов на кибербезопасность в 2022.

Данная статистика отражает увеличение обеспокоенности российских компаний по вопросам безопасности, о чем свидетельствует рост числа компаний, увеличивающих бюджет на обеспечение кибербезопасности по сравнению с предыдущим годом (52%). При этом о двузначном увеличении бюджета в 2021 году заявили лишь 10% респондентов, в текущем году данное значение выросло до 24%.

При этом статус инвестиций по России и миру существенно различаются. Мировая статистика демонстрирует, что большинство компаний уже осуществили внедрение новых технологий, процессов и концепций, в то время как в России работы по данным направлениям только начаты или заложены в план на ближайшие годы, а процент компаний завершивших процессы внедрения и перешедших к извлечению преимуществ из новых решений, колеблется в диапазоне от 23% до 31% (по миру данный показатель составляет 39 52%).

Инвестирование средств в кибербезопасность продолжается. В 69 % организаций на 2022 год прогнозируется рост расходов на кибербезопасность (в предыдущем году 55 %). Свыше четверти участников (26 %) ожидают увеличение расходов на 10 и более (для сравнения: в прошлом году о таких ожиданиях заявили 8. Компании отдают себе отчет в том, что риски растут. Более 50 % ожидают, что количество инцидентов в следующем году резко вырастет по сравнению с 2021 годом.

С точки зрения кибербезопасности 2021 год уже обещает стать одним из худших. Все более изощренные злоумышленники прощупывают скрытые уголки наших систем и сетей, ищут и находят уязвимости. Какой бы ни была цифровая Ахиллесова пята организации будь то незащищенный сервер с 50 миллионами записей или ошибка в коде, контролирующем доступ к криптокошелькам , злоумышленники найдут ее и будут использовать все имеющиеся в их распоряжении средства, как традиционные, так и ультрасовременные.

По мере развития наших систем и усложнения взаимосвязей между ними растет и потенциальный ущерб от кибератак. Особенно уязвимы критические объекты инфраструктуры. Тем не менее многие из наблюдаемых нами нарушений безопасности можно предотвратить, если в организации предусмотрены надежные средства контроля и внедрена надлежащая практика обеспечения кибербезопасности.

Прогноз угроз в 2022 году

Респонденты делают прогнозы на ближайший год. По ожиданиям 60 % опрошенных, число киберпреступлений будет расти; по мнению 53%, высока вероятность увеличения числа атак со стороны иностранных государств. Предполагается, что основными мишенями станут мобильные устройства, интернет вещей и облачные сервисы. А вот виды атаки возможны любые. Так считают респонденты. Наибольший прирост ожидается среди атак на облачные сервисы (22%); далее с небольшим отставанием идут программы вымогатели (21%) и майнинг криптовалюты (21%), за которыми следует целый ряд других видов атак, набравших 20% и 19%.

Примечательно, что 56% ожидают роста числа нарушений через цепочку поставки ПО, причем 19% считают, что этот прирост будет существенным (среди респондентов из Северной Америки эта цифра составляет уже 25%). Для России ожидаемый рост данного типа атак составляет максимально близкое значение (55%), однако по мнению российских компаний количество подобных атак возрастет в наибольшей мере. Второе и третье место для России заняли атаки на облачные сервисы (53%) и взлом рабочей почты (50%).

Ключевые выводы

Для операционных директоров и руководителей, ответственных за цепочки поставок:

- составьте схему вашей системы, особенно самых важных взаимоотношений, и используйте инструмент third party tracker для того, чтобы определить самые слабые звенья в вашей цепочке поставок;

- тщательно проверьте своих поставщиков программного обеспечения на предмет соблюдения стандартов деятельности в соответствии с вашими ожиданиями; программы и приложения, используемые вашей компанией, должны пройти такую же тщательную проверку, как и ваши сетевые устройства и пользователи; в июле 2021 года Национальный институт стандартов и технологий опубликовал минимальные стандарты для тестирования программного обеспечения;

- после более полного анализа ваших рисков, связанных с третьими сторонами и цепочками поставок, определите пути упрощения ваших деловых отношений и цепочек поставок; следует ли использовать упрощение? Объединение?

Для директоров по управлению рисками и директоров по информационной безопасности:

- создайте технологические решения для выявления кибератак , противодействия атакам и реагирования на них посредством вашего программного обеспечения, а также интегрируйте свои приложения для согласованного управления ими и обеспечения их безопасности;

- сформируйте подразделение по управлению рисками третьих сторон для координации действий всех функций, которые управляют рисками третьих сторон;

- усильте свои процессы, обеспечивающие доверие к данным; целью большинства атак на цепочки поставок являются данные; доверие к данным и управление рисками третьих сторон идут рука об руку;

- проинформируйте ваш совет директоров о кибер и бизнес рисках со стороны третьих сторон и цепочек поставок…

Источник: PwC в России