В России планируют создать страховой фонд для киберрисков. Рассказываем, почему это очень-очень плохая идея
В нашей стране может появиться единый страховой фонд рисков в информационной безопасности. К сожалению, создание такого фонда — идея крайне неудачная и неэффективная. Причина очень простая: наличие гарантированной страховки не мотивирует бизнес заниматься ИБ. Штрафы же в России и так копеечные, их по-хорошему надо поднять раз в 100—200.
Сейчас на рынке ИБ есть две основных модели работы: их условно можно назвать «заплати деньги — получи бумажку» и «заплати деньги — получи результат». По первой обычно работают государственные компании (не все), по второй — финсектор и частный бизнес. Проблема заключается в том, что бумажка хорошо защищает от проверяющих, но очень плохо — от реальных хакеров.
Соответственно, все истории про единый страховой фонд, сторонний аудит и прочее — они про получение бумажки. К тому же чьи деньги пойдут в фонд? Государства? Значит, оно снова заплатит за нежелание отдельных крупных компаний заниматься информационной безопасностью? Бизнеса? Тогда получается, что «хорошие» снова заплатят за «плохих».
Есть только один способ сделать механизм реально эффективным — забыть про всякие фонды и заставить крупный бизнес страховать киберриски на рынке страховых компаний. Забили на информационную безопасность? Молодцы, получите страховую премию в 20%, заодно объясните акционерам, почему вы платите эти деньги страховщикам, а не ИБ-компаниям за защиту. Сделали хорошо? Страхуйтесь под 1—2%, проблем нет. Заодно отделим агнцев от козлищ, а «эффективных менеджеров» — от людей, которые реально умеют решать проблемы.
Не нужен никакой «сторонний аудит», это все не работает. Хотите убедиться, что защита хорошая, — заведите собственную красную команду, наймите ее, запустите Bug Bounty. Чем больше людей попытается вас взломать (и не сможет), тем лучше защита. А если ваша инфраструктура превращается в проходной двор, то, простите, никакие бумажки вас не спасут. Вспомните Rutube — у них бумажки были.
В нашей стране может появиться единый страховой фонд рисков в информационной безопасности. К сожалению, создание такого фонда — идея крайне неудачная и неэффективная. Причина очень простая: наличие гарантированной страховки не мотивирует бизнес заниматься ИБ. Штрафы же в России и так копеечные, их по-хорошему надо поднять раз в 100—200.
Сейчас на рынке ИБ есть две основных модели работы: их условно можно назвать «заплати деньги — получи бумажку» и «заплати деньги — получи результат». По первой обычно работают государственные компании (не все), по второй — финсектор и частный бизнес. Проблема заключается в том, что бумажка хорошо защищает от проверяющих, но очень плохо — от реальных хакеров.
Соответственно, все истории про единый страховой фонд, сторонний аудит и прочее — они про получение бумажки. К тому же чьи деньги пойдут в фонд? Государства? Значит, оно снова заплатит за нежелание отдельных крупных компаний заниматься информационной безопасностью? Бизнеса? Тогда получается, что «хорошие» снова заплатят за «плохих».
Есть только один способ сделать механизм реально эффективным — забыть про всякие фонды и заставить крупный бизнес страховать киберриски на рынке страховых компаний. Забили на информационную безопасность? Молодцы, получите страховую премию в 20%, заодно объясните акционерам, почему вы платите эти деньги страховщикам, а не ИБ-компаниям за защиту. Сделали хорошо? Страхуйтесь под 1—2%, проблем нет. Заодно отделим агнцев от козлищ, а «эффективных менеджеров» — от людей, которые реально умеют решать проблемы.
Не нужен никакой «сторонний аудит», это все не работает. Хотите убедиться, что защита хорошая, — заведите собственную красную команду, наймите ее, запустите Bug Bounty. Чем больше людей попытается вас взломать (и не сможет), тем лучше защита. А если ваша инфраструктура превращается в проходной двор, то, простите, никакие бумажки вас не спасут. Вспомните Rutube — у них бумажки были.
Комментарии (0)
Добавить
Информация
Комментировать статьи на сайте возможно только в течении 7 дней со дня публикации.
Комментировать статьи на сайте возможно только в течении 7 дней со дня публикации.