В России планируют создать страховой фонд для киберрисков
Экономика
В России планируют создать страховой фонд для киберрисков. Рассказываем, почему это очень-очень плохая идея
В нашей стране может появиться единый страховой фонд рисков в информационной безопасности. К сожалению, создание такого фонда — идея крайне неудачная и неэффективная. Причина очень простая: наличие гарантированной страховки не мотивирует бизнес заниматься ИБ. Штрафы же в России и так копеечные, их по-хорошему надо поднять раз в 100—200.
Сейчас на рынке ИБ есть две основных модели работы: их условно можно назвать «заплати деньги — получи бумажку» и «заплати деньги — получи результат». По первой обычно работают государственные компании (не все), по второй — финсектор и частный бизнес. Проблема заключается в том, что бумажка хорошо защищает от проверяющих, но очень плохо — от реальных хакеров.
Соответственно, все истории про единый страховой фонд, сторонний аудит и прочее — они про получение бумажки. К тому же чьи деньги пойдут в фонд? Государства? Значит, оно снова заплатит за нежелание отдельных крупных компаний заниматься информационной безопасностью? Бизнеса? Тогда получается, что «хорошие» снова заплатят за «плохих».
Есть только один способ сделать механизм реально эффективным — забыть про всякие фонды и заставить крупный бизнес страховать киберриски на рынке страховых компаний. Забили на информационную безопасность? Молодцы, получите страховую премию в 20%, заодно объясните акционерам, почему вы платите эти деньги страховщикам, а не ИБ-компаниям за защиту. Сделали хорошо? Страхуйтесь под 1—2%, проблем нет. Заодно отделим агнцев от козлищ, а «эффективных менеджеров» — от людей, которые реально умеют решать проблемы.
Не нужен никакой «сторонний аудит», это все не работает. Хотите убедиться, что защита хорошая, — заведите собственную красную команду, наймите ее, запустите Bug Bounty. Чем больше людей попытается вас взломать (и не сможет), тем лучше защита. А если ваша инфраструктура превращается в проходной двор, то, простите, никакие бумажки вас не спасут. Вспомните Rutube — у них бумажки были.
В нашей стране может появиться единый страховой фонд рисков в информационной безопасности. К сожалению, создание такого фонда — идея крайне неудачная и неэффективная. Причина очень простая: наличие гарантированной страховки не мотивирует бизнес заниматься ИБ. Штрафы же в России и так копеечные, их по-хорошему надо поднять раз в 100—200.
Сейчас на рынке ИБ есть две основных модели работы: их условно можно назвать «заплати деньги — получи бумажку» и «заплати деньги — получи результат». По первой обычно работают государственные компании (не все), по второй — финсектор и частный бизнес. Проблема заключается в том, что бумажка хорошо защищает от проверяющих, но очень плохо — от реальных хакеров.
Соответственно, все истории про единый страховой фонд, сторонний аудит и прочее — они про получение бумажки. К тому же чьи деньги пойдут в фонд? Государства? Значит, оно снова заплатит за нежелание отдельных крупных компаний заниматься информационной безопасностью? Бизнеса? Тогда получается, что «хорошие» снова заплатят за «плохих».
Есть только один способ сделать механизм реально эффективным — забыть про всякие фонды и заставить крупный бизнес страховать киберриски на рынке страховых компаний. Забили на информационную безопасность? Молодцы, получите страховую премию в 20%, заодно объясните акционерам, почему вы платите эти деньги страховщикам, а не ИБ-компаниям за защиту. Сделали хорошо? Страхуйтесь под 1—2%, проблем нет. Заодно отделим агнцев от козлищ, а «эффективных менеджеров» — от людей, которые реально умеют решать проблемы.
Не нужен никакой «сторонний аудит», это все не работает. Хотите убедиться, что защита хорошая, — заведите собственную красную команду, наймите ее, запустите Bug Bounty. Чем больше людей попытается вас взломать (и не сможет), тем лучше защита. А если ваша инфраструктура превращается в проходной двор, то, простите, никакие бумажки вас не спасут. Вспомните Rutube — у них бумажки были.
Читайте также
Найти еще
ЦБ РФ аннулировал лицензию Райффайзенбанка на депозитарную деятельность инвестфондов, ПИФов и НПФ
ЦБ РФ аннулировал лицензию Райффайзенбанка на депозитарную деятельность инвестфондов, ПИФов и НПФ Важный нюанс в...
Почему олигархи массово не бегут из России
Единственная причина, почему олигархи массово не бегут из России — отсутствие механизма выхода из-под санкций Волож не...
Сорос покидает Европу
Стало известно, что многочисленные «неправительственные» организации, работающие в Европейском союзе под крылышком...
Комментарии (0)
Добавить
Информация
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.
Посетители, находящиеся в группе Гости, не могут оставлять комментарии к данной публикации.