{IF(user_region="ru/495"){ }} {IF(user_region="ru/499"){ }}


Анастасия Харыбина директор по развитию AKTIV.CONSULTING и президент АБИСС 07 апреля 2021г.
Нужно ли бизнесу оценивать риски ИБ?
Почему работа с рисками ИБ сегодня приобретает высокую важность? Как непрерывность бизнеса связана с ИБ? Насколько эффективен классический подход оценки рисков в ИБ и в надзорной деятельности?

Екатерина Ярцева:

Добрый вечер, дорогие друзья, в эфире «Деловой гамбит» и я, его ведущая, Екатерина Ярцева. Давно мы не говорили об информационной безопасности, исправляемся. Нужно ли бизнесу оценивать риски информационной безопасности и нужно ли информационной безопасности, чтобы бизнес оценивал риски, что такое риск-профиль финансовой организации и как он составляется? Об этом и многом другом мы поговорим с моей сегодняшней гостьей, это Анастасия Харыбина директор по развитию бизнеса AKTIV.CONSULTING и президент АБИСС. Почему это важно, говорить о рисках информационной безопасности?

Анастасия Харыбина:

Не столько о рисках информационной безопасности, сколько бизнесу нужно ориентироваться на эти риски или он может себе позволить этого не делать. Если говорим про этот вопрос, то здесь важно сказать, что говорим мы в разрезе организации с достаточно серьезным уровнем развития, зрелости, потому что если бизнес-модель, в которой организация существует, работает, недостаточно зрелая, то этот разговор преждевременный. Если они находятся на стадии аналоговой работы, то мы даже не говорим не то что про внедрение ERP или какой-то оцифровки, автоматизации бизнес-процессов, до этого еще далеко, поэтому мы говорим про достаточно зрелые организации либо организации из тех отраслей, где им нужно быть зрелыми, но они еще такими не являются, такие тоже есть.

Если говорим о том, нужно ли этот вопрос поднимать, надо смотреть с двух сторон – со стороны бизнеса и со стороны информационной безопасности, потому что как минимум здесь два взаимодействующих субъекта, которые могут являться заинтересантами в решении этого вопроса.

Со стороны бизнеса, если он идет вверх, находится не на самой низкой ступеньке, то мы предполагаем, что так или иначе он все, что связано с рисками бизнеса, оценивает. Он же наверняка оценивает, что будет, если поставщик не доставит комплектующие, если это производство, или продукты, он не сможет обслужить своих клиентов.

Екатерина Ярцева:

Это операционные риски.

Анастасия Харыбина:

По сути, да, то есть какие-то свои операционные риски он так или иначе оценивает, даже если этот процесс не формализованный, риск-менеджмент и управление рисками не внедрены как бизнес-процессы в организации. И здесь тогда вопрос к организации. Если организация своими бизнес-функциями с точки зрения рисков и процессами с точки зрения рисков управляет, если у них есть информационная безопасность (мы помним, что не во всех организациях есть такая функция), то почему бизнес не взаимодействует с функцией информационной безопасности ровно так же, игнорирует. Здесь бизнес должен быть заинтересован, потому что это вопрос безопасности самого бизнеса, продолжение его деятельности как такового, чисто управленческая история. С другой стороны, управление бизнес-функцией, и с точки зрения рисков бизнес должен понимать, как это все коррелируется и встраивается, интегрируется в его бизнес.

Заинтересована ли информационная безопасность, чтобы бизнес оценивал риски. Исторически сложилось, что службы информационной безопасности всегда оперируют рисками, их так в вузах научили, что есть риск информационной безопасности, есть угрозы, от них надо защищаться. И это большая проблема, потому что в основе этого всего лежит ключ к непониманию друг друга, бизнеса и службы информационной безопасности, потому что они разное защищают: бизнес себя защищает как бизнес, а информационная безопасность защищает системы, информацию в отрыве от бизнеса. И информационная безопасность зачастую не понимает, а что вообще бизнес считает риском для себя. Это серьезная история, именно поэтому они не могут найти общий язык. И если отвечать на вопрос, почему мы вообще говорим на эту тему сегодня, то именно потому, что в этом лежит такая пропасть, которую хорошо бы сузить.

Возвращаясь к началу моего выступления, если бизнес научится оценивать в том числе риски информационной безопасности, то в период цифровизации, а все мы сейчас понимаем, что весь бизнес становится цифровым, у нас основой бизнеса является цифра, бизнес-процессы оцифровываются, зачастую продукт тоже цифровой, и игнорировать безопасность цифровой инфраструктуры просто невозможно, это крайне недальновидно со стороны бизнеса. Поэтому вопрос актуальный, но здесь очень много подводных камней, и проблема в понимании, что есть риск и что является объектом этого риска.

Екатерина Ярцева:

Они должны начать движение друг к другу – руководитель службы информационной безопасности и владелец или руководитель бизнеса. 70-80 процентов этой самой ответственности должно лежать на руководителе службы информационной безопасности, то есть было бы здорово, если бы он развил в себе управленческие скилы и перестал быть просто ИБэшником, а стал в какой-то момент собственником бизнеса с хозяйским подходом.

Анастасия Харыбина:

Он не сможет стать собственником бизнеса.

Екатерина Ярцева:

Поставить себя на место владельца бизнеса, который оперирует совершенно другими понятиями, как прибыльность, непрерывность деятельности компании. Но с другой стороны, процентов 20-30 лежит на руководителе, его ответственность тоже есть.

Анастасия Харыбина:

Если одна из сторон не заинтересована, чтобы прийти к общему знаменателю, то, скорее всего, это не случится. Но реалии таковы, что бизнес следит за очень многими своими модулями, и информационная безопасность исторически для него – это мир в мире. Почему-то в организации он есть, потому что вроде как надо, какой-то антивирус надо поставить, потому что функция ИБ может быть и внутри IT-подразделения, мы сейчас не говорим про конкретную структуру. То есть эта функция выполняется на гигиеническом уровне, минимальный набор инструментов в защиту информации внедрен. Это инструменты реальной защиты информации на каком-то уровне, даже у Вас в телефоне встроенный антивирус стоит, если вы его специально оттуда не выковыривали, то есть какие-то гигиенические вещи на уровне организации тоже делаются.

Но здесь вопрос в другом, что сам бизнес должен понимать, как управлять бизнес-функцией, и он в этом заинтересован, потому что он тратит на это ресурсы. А сама информационная безопасность, если это отдельная инфраструктура, отдельная бизнес-единица, должна научиться на одном языке говорить с бизнесом, иначе она так и будет стоять в стороне и не будет интегрирована в достижение бизнес-целей организации, ведь бизнес управляет маркетингом, продажами, производством для достижения своих бизнес-целей. В данном случае бизнес-функция информационной безопасности точно так же должна служить достижению бизнес-целей, а не мешать, что мы часто видим.

Сейчас сложилась такая ситуация, что в организациях, особенно финансовых, мы сейчас не берем топовые структуры, где цифровой продукт стал номером один, и информационная безопасность изначально вкладывается в развитие этих продуктов и является одним из базисов этих продуктов, если говорим про банки, это не топ 50, мы общаемся в комьюнити со специалистами внутренней информационной безопасности и финансовых структур, и для них это вопрос комплаенса. И когда им задаешь вопрос, а как вы выстраиваете стратегию развития информационной безопасности у себя, от чего вы отталкиваетесь, то здесь стоит вопрос – только требования регуляторов. И у них уточняешь: бизнес перед вами какие-то цели ставит, он вас погружает в достижение своих бизнес-целей? Все разводят руками. И управленцы приходят к мысли, что что-то не так с этой бизнес-функцией информационной безопасности, мы тратим ресурсы, а не очень понятно на что. Но быстрее будет, если руководители служб информационной безопасности перестанут быть просто отличнейшими высококлассными специалистами по информационной безопасности и научатся на языке бизнеса с ним разговаривать, встраивать, интегрировать себя, какие-то метрики согласовывать вместе с бизнесом, как оценивать собственную эффективность.

Екатерина Ярцева:

Подразделения ИБ могут это посчитать, и только они могут фактически этим ежедневно управлять, не руководство же компании.

Анастасия Харыбина:

И здесь мы подходим вопросу, как оценивать риски. Если на пальцах объяснять, неважно какой риск – информационной безопасности или нет, то в первую очередь ты определяешь, что является объектом, для чего ты анализируешь риски. Вы определили объект, стоимость этого объекта, дальше моделируете угрозы, придумываете какие угрозы могут быть актуальные для этого объекта, вы определяете вероятность наступления этих угроз, ущерб, который наступит, если реализации угрозы произойдет.

Дальше с помощью определенных хитрых манипуляций и магии в виде математики определяете актуальные для вас угрозы. Какими-то вы пренебрегаете сразу, для них разрабатываете меры, причем зачастую, когда мы говорим о мерах в разрезе рисков, люди думают и рассуждают мерами профилактическими, которые либо вообще уберут вероятность наступления этой угрозы, либо ее минимизируют в достаточной степени. Но это еще не все. Помимо этих профилактических мер, которые тоже требуют ресурсов, нужно оценить стоимость внедрения этих мер, нужно еще продумать, что вы будете делать, если все-таки угрозы наступят, какой план действий и как вы будете закрывать тылы и компенсировать ущерб. Неважно, какой был объект, это общая теория игр. И когда всю прекраснейшую историю себе расписали, принимаете решение, что с конкретным риском делать, и у вас есть четыре основных сценария.

Первый сценарий – вы прекращаете вообще заведомо рисковую деятельность, просто больше ничего не делаете, и тогда риск точно не наступит. Второй момент – делаете профилактические мероприятия, которые либо убирают угрозу вообще, либо ее минимизируют. Еще один вариант – передать кому-то риски, например, страхование рисков. И четвертая модель – вы принимаете эти риски, говорите, да, наступит, но ничего страшного, у меня тут мешок денег, это резервирование средств, то есть вы принимаете риск и резервируете нечто, для того чтобы компенсировать ущерб от наступления этого риска. Это основы на пальцах, очень примитивно, но это так работает.

В части информационной безопасности в чем особенности, нюансы риск-ориентированного подхода для информационной безопасности. Если мы говорим в разрезе взаимодействия с бизнесом, то как раз тот самый момент, что считать объектом наступления рисков. У нас классные вузы, они выпускают замечательных специалистов, но они под объектом риска понимают либо информационную систему, либо какой-то IT-процесс. Но они для этого честно делают модель угроз, меры пишут, в результате идут с этим всем для получения бюджета, и бизнес на них смотрит и говорит: ну и что? Потому что бизнес не считает это риском для себя. ИБэшник говорит: ну как, вот же риски, такие-то угрозы информационной безопасности, надо делать. Нет понимания, и это первый момент в копилку нашего предыдущего вопроса, что надо пытаться разговаривать на одном языке и договариваться о понятиях, и ИБ нужно интегрироваться в бизнес-цели организации, не устану это повторять, говорить с бизнесом на одном языке и оценивать риски для своей организации, а не просто для департамента информационной безопасности.

У риск-ориентированного подхода в информационной безопасности есть как сторонники, так и противники, но противники – это не те, которые говорят, что вообще не нужно риск-ориентированный подход использовать, они просто говорят, что он не везде уместен или его не всегда достаточно.

Екатерина Ярцева:

Где он не уместен?

Анастасия Харыбина:

Говоря про серьезные промышленные предприятия, у всех на слуху критическая информационная инфраструктура. Изначально, когда писалась история по критической информационной инфраструктуре, было много противников, которые говорили, что в чистом виде риск-ориентированный подход там не подойдет, потому что когда мы пишем модель угроз, мы еще оцениваем вероятность наступления угрозы и ущерб. И поскольку вероятность наступления серьезной катастрофы на критических предприятиях крайне мала, то если идти просто по классическому риск-ориентированному подходу, получается, что этим риском нужно пренебречь. Но при этом мы понимаем, что ущерб будет просто катастрофический, с жертвами. Значит нужно еще другие метрики использовать и их тоже учитывать, другие системы применять.

Помимо отраслевой особенности есть еще одна очень серьезная история с составлением модели угроз. Если просто в риск-менеджменте и в анализе рисков для любой другой деятельности ты знаешь не сто процентов, но можешь максимальную модель угроз расписать, ты понимаешь, все, что связано с цифровизацией, технологией, информационной безопасностью, киберпреступностью, вообще с технологиями, развитие настолько быстро происходит, что мы пока с Вами сейчас здесь сидим, уже появилась какая-то технология, которую мы еще не знаем, она не может попасть в нашу модель угроз. Мы ее не берем в расчет и меры под нее не делаем, не защищаемся, а именно она завтра и наступит, тогда грош цена нашей модели угроз.

Если мы говорим про информационную безопасность, которая встроена в бизнес-процессы и достижение бизнес-целей организации, если она подходит к выстраиванию своей стратегии, только лишь опираясь на риск-ориентированный подход и оценку рисков, это будет не совсем корректно. Просто нужно использовать еще и другие истории.

Екатерина Ярцева:

Что касается финансовых организаций, они у нас впереди планеты всей по информационной безопасности благодаря регуляторам. Кто-то ругает регуляторов, кто-то уже начал видеть ценность в том, что они делают. Как это устроено в финансовых организациях?

Анастасия Харыбина:

Абсолютно справедливо, что через финансовый сектор проходят все передовые истории, связанные с информационной безопасностью, и это понятно, потому что там происходит движение средств клиентов финансовых институтов, если мы конкретно про банки, они в этом давно. Не кредитные финансовые организации активно подключаются усилиями регулятора в лице Банка России. Финансовый сектор является примером, локомотивом, в том числе регуляторика.

Регулятор Банк России осуществляет достаточно серьезные изменения в разрезе информационной безопасности последние несколько лет, новые стандарты появляются, новые нормативно-правовые акты, и это еще не конец. И это нормально, иногда кажется, что принтер работает, когда же он остановится. Но если посмотреть со стороны на ситуацию, то мы увидим, что просто очень большая концентрация регуляторики сейчас, потому что нужно сделать быстро, мы не успеваем за технологиями и за теми угрозами, которые появляются. Регуляторика, и так везде, не может очень быстро реагировать, и они сейчас наверстывают и пытаются заложить еще что-то вперед, но пока они закладывают одно, появляется третье, и они в режиме постоянной боевой готовности.

Банк России и свои риски в этом во всем закладывает, ведь если не будет доверия к банковской системе с точки зрения безопасности ее использования, это риск Банка России, если мы все сейчас откажемся от банковской системы, потому что оттуда воруют деньги. Банк России в этом случае основной держатель этого риска. Поэтому идет и регуляторика. Им нужно сделать так, чтобы банки внимательно относились к вопросу информационной безопасности, потому что здесь уже во главу угла встает не просто выживаемость конкретной структуры, конкретного банка, но и безопасность всей банковской системы.

Екатерина Ярцева:

Я сейчас посмотрела на регулятора другими глазами, это же колоссальная ответственность. Хорошо, когда идут нормативные акты, когда они уже сейчас прислушиваются к комьюнити, но ведь никто не отменял их внутренней риск, и он действительно колоссален. Это такая нагрузка, что нужно идти не только в ногу со временем, еще идти на шаг вперед и думать за всю отрасль – это тяжело. То, что Вы рассказывали на мероприятии РусКрипто, какие новшества озвучил Банк России, их много?

Анастасия Харыбина:

Все крутится вокруг анализа рисков и управления рисками. Банк России уже несколько лет говорит о том, что их вектор – отойти от проверки технической в части информационной безопасности к проверке управления не просто информационной безопасности, а вообще подключение управленческой части к работе в информационной безопасности. И для этого они меняют сейчас подход к надзору.

Если обычно это был инспекционный надзор, допустим, раз в 3 года приходят в финансовую организацию с проверкой, именно по такому же принципу работает и внешний обязательный аудит. Все банки обязаны делать внешний аудит, часть не кредитных финансовых организаций тоже, пока только крупных, но потихонечку это будет распространяться дальше на не кредитные финансовые организации. Инспекционный надзор был, есть и будет, но только инспекционный надзор себя изжил, потому что история с информационной безопасностью – это история процессная, нельзя прийти раз в 3 года, посмотреть, уйти и сказать, что там все хорошо, потому что через секунду может что-то произойти.

Банк России будет внедрять второе направление дистанционного надзора, пока не очень понятно, как он реально будет работать, но они озвучивают замысел, для чего он – для того чтобы смотреть в динамике, в процессе между этими инспекционными надзорами. Плюс вводят киберучения как элемент надзора, в конце прошлого года 22 организации прошли киберучения. В этом году хотят увеличить количество организаций, 70-80 организаций киберучение в этом году должны пройти, то есть это тоже элемент надзора.

Екатерина Ярцева:

Но они проходят на инфраструктуре, которая полностью копирует реальную.

Анастасия Харыбина:

Пока это не киберполигон, а штабные учения, когда просто смотрят, как реагирует финансовая организация на случившийся инцидент, как отрабатывает этот инцидент. Интересно, что сами организации при наступлении инцидента не выполняют собственные внутренние регламенты.

Екатерина Ярцева:

Психологический момент, человеческий фактор, потому что руководители компании сами этим делились, что на самом деле не подготовлены люди к этому, человеческий фактор никто не отменял. И это вопрос в регулярности проведений киберучений, потому что первый раз нет навыка, и люди теряются, забывают собственные регламенты, никто же их не повторяет каждый день перед началом рабочего дня, не держит у себя на столе, а если это проводится регулярно и существует дистанционный надзор, то рано или поздно это входит в привычку.

Анастасия Харыбина:

Наверняка будет много противников всего этого, внутри финансовых организаций будут говорить, что опять идет закручивание гаек, еще больше нагрузка в части комплаенса. Но мое субъективное мнение, что этот период будет очень сложный, он сейчас переходный к совершенно другим системам, совершенно другой инфраструктуре, но это надо пережить. Мне вектор, во всяком случае его цели, понятны, я их разделяю. Вопрос реализации всегда стоит, здесь можно соглашаться или нет, но если комьюнити видит какие-то не совсем корректные или не совсем уместные движения, в силах комьюнити по информационной безопасности донести это до регулятора, и мы это видим на своем примере, что регулятор готов разговаривать. Регулятор – это уже не злая системная машина, которая сидит и просто штампует что-то. Они готовы идти на контакт.

Другое дело, что в умах людей уже засела идея, что невозможно разговаривать с регулятором. На самом деле, это не так. Будет тяжело, но тем интереснее, и здравое зерно в этом есть, оно очевидно, потому что если уж инспекционный вид надзорной деятельности изжил себя, а мы об этом давно уже все говорим, это же динамика, прогрессивное движение, поэтому все замечательно.

Также в ближайшее время в части информационной безопасности появятся риск-профили. Представители ДИБ Банка России сказали, что методология оценки риск-профиля финансовых организаций ими уже написана, она проходит апробацию внутри Банка России. Они пока не готовы до общественных слушаний довести, и в какой-то момент, когда будут считать, что она готова, доведут ее до рынка информационной безопасности, чтобы собрать обратную связь. Но пока это внутренняя история, нам очень интересно, что попало в методологию, какие метрики там используются.

Мы понимаем, что там точно будет история, связанная с несанкционированными транзакциями для финансовых организаций, все переводы без ведома клиентов, там точно будет история с инцидентами информационной безопасности, внешняя оценка аудиторов в разрезе комплаенса, подозреваем, что войдут киберучения, дистанционный надзор. Они вводят новое в разрезе Банка России понятие киберустойчивость, это свойство финансовой организации, которая должна быть оценена в динамике, то есть она не может быть на момент времени, это история с серьезным временным движением. Поэтому все это каким-то образом зайдет в риск-профиль, и что очень важно в разрезе рисков, что киберриски для финансовых организаций уже стали неотъемлемой частью операционных рисков. И если мы говорим, что финансовый сектор впереди планеты всей и других отраслей в части информационной безопасности, то вот он, наглядный пример, почему нужно оценивать риски информационной безопасности.

Подчеркну два раза красной ручкой, что киберриски стали частью операционных рисков и будут влиять на резервирование средств. Банк России так и говорит, Артем Михайлович Сычев на РосКрипте сказал: да пожалуйста, ну не хочет организация какие-то требования из того же ГОСТа реализовывать, хозяин-барин, но просто приготовьте, покажите, что у вас зарезервированы средства, что вы готовы покрыть убытки в случае наступления инцидента. Наверное, справедливо. Немножко меняется история, то есть если раньше мы говорили, покажите, как у вас тут доступ настроен, какие парольные политики, что на сервере происходит, покажите средства защиты информации, то есть техническая история в части надзора, а сейчас другой подход. Они говорят, что у нас нет интереса стоять и смотреть, как вы реализовываете эти меры, нам интересна ваша киберустойчивость, как вы управляете рисками.

Екатерина Ярцева:

То есть киберустойчивость как постоянный показатель. А если рекомендации не выполняются, то тогда должны быть просто соответствующие средства зарезервированы для покрытия ущерба.

Анастасия Харыбина:

Методологию мы пока не видим, она расписана, и как только она появится в доступе для комментирования, рецензирования, в руках комьюнити дать адекватную оценку и рекомендации, что поправить.

Екатерина Ярцева:

Сейчас идет движение от бумажной безопасности к реальной безопасности.

Анастасия Харыбина:

На самом деле, это все про экономию ресурсов должно быть, и это не только мой взгляд, но и достаточно большого количества специалистов, которые уже смотрят в сторону управления, а не просто специалитета по информационной безопасности. Они просто понимают, что получается совершенно дурацкая история, потому что ты тратишь ресурсы на формальные истории, выполняя требования регуляторов, и какую-то еще структуру. Трата ресурсов, зачем это нужно? И внутри организации нужно стремиться и искать в регуляторике те вещи, которые можно применить реально, которые помогут тебе делать то, что ты считаешь нужным.

А с точки зрения регулятора они то же самое говорят, что приходить и просто смотреть, как у вас это требование выполнено, уже не очень интересно, им интересно, что будет делать организация, если угроза реализуется. Нельзя забывать, что Банк России закрывает свои риски в части жизнеспособности всей банковской системы. Здесь же еще подключаются и другие ведомства, которые во всей инфраструктуре завязаны, правоохранительные органы, это серьезная история, которая только выстраивается, она не отработана.

Мы начали говорить про ИБ, сколько времени прошло – 15-20 лет. Это очень молодая история, но при этом мы от технологий, которые используют злоумышленники, отстаем, и это не только в нашей стране.

Екатерина Ярцева:

Это специфика отрасли, они всегда будут на шаг впереди, и нам, чтобы оставаться на месте, надо бежать и бежать, а чтобы сдвинуться, надо бежать в два раза быстрее. Видите ли Вы изменения в представителях регулятора, может быть, психологические, что это уже не те непробиваемые мужчины, к которым невозможно было достучаться? Ведь люди меняются, это уже не тот стереотипный собирательный образ чиновника, который совершенно оторван от реалий бизнеса и от потребностей бизнеса?

Анастасия Харыбина:

Мы видим, как в Банк России приходят работать люди из коммерческих структур, они приносят туда свой опыт, и их с удовольствием приглашают из финтеха, информационной безопасности, для того чтобы держать руку на пульсе. Они понимают, что если они будут оторваны от мира, то будут большие вопросы к ним, а в разрезе постановки вопросов на уровне государства, в разрезе цифровизации они просто не могут себе этого позволить, и в том числе в ДИБ Банка России идет приток свежей крови, молодых специалистов, которые по-другому смотрят на вещи, и с ними можно разговаривать, договариваться. И мы в АБИСС в том числе делаем такую площадку, для того чтобы можно было поговорить, со всех сторон обсудить какой-то вопрос. Здесь и представители регулятора, и представители финансовых организаций, и представители консалтинга, аудиторов по информационной безопасности, потому что все мы варимся в одном котле, и нам нужно договариваться и коммуницировать нормально, а не как лебедь, рак и щука, каждый в свою сторону тащит, так мы мир лучше не сделаем. Перестройка идет, и можно найти общие знаменатели и точки соприкосновения, это реально.

Екатерина Ярцева:

Хоть Вы и не любите давать прогнозы, но я хотела бы спросить Ваше мнение о будущем. Какие Вы видите тенденции, в которых будет развиваться дальше информационная безопасность, мы говорим про финансовый сектор, помимо того, что регулятор дальше будет работать с киберустойчивостью, и надо к этому привыкнуть и воспринимать это как благо, или если есть замечания и предложения, не стесняться их высказывать, то есть движение навстречу друг другу будет? Что еще будет?

Анастасия Харыбина:

Я уже говорила, как вы можете отрабатывать риски. Вы можете отказаться от этой деятельности, и, возможно, часть финансовых организаций, которые сейчас существуют, прекратят свое существование, такое происходит и будет происходить, это рынок, и это нормально. Второй момент – профилактические меры, это то, что каждый день сейчас делают финансовые организации, они что-то внедряют. Третий момент – это передача рисков. И эта история, связанная со страхованием киберрисков, сейчас в очень зачаточном состоянии в нашей стране, мы в десятки раз, сотни отстаем по некоторым оценкам.

В начале прошлого года я встречала информацию, что оценивался рынок киберстрахования в России в 5 миллионов долларов, тогда как во всем мире это 5 миллиардов долларов. И сами страховые компании, даже те, в которых есть продукты по страхованию киберрисков, оценивают риск как очень слабый, зачаточный, потому что еще нет понимания у бизнеса, что страховать риски можно и нужно.

У тебя есть 100 рублей, и ты думаешь: я эти 100 рублей потрачу на усиление собственной ИБ-инфраструктуры, или я эти 100 рублей или 50 из них потрачу на страхование киберрисков, и пока у нас тратят эти 100 рублей на собственную инфраструктуру. Пока рынок страхования киберрисков в очень зачаточном состоянии, но вероятность того, что этот рынок будет набирать обороты, очень велика, иначе бы страховые этим не занимались, они же понимают, где потом будут деньги.

Несмотря на то, что сейчас этот вопрос не зарегулирован, Банк России уже неоднократно в разрезе взаимодействия с финансовыми организациями говорил о том, что вопрос страхования киберрисков надо прорабатывать, и я не удивлюсь, если в недрах Банка России уже зарождаются методики, стандарты, правовые акты, которые направлены в эту сторону. И это справедливо, потому что надо уметь анализировать, как потратить эти 100 рублей. В страховании киберрисков есть определенное преимущество и один из выходов работы с рисками.

Екатерина Ярцева:

Я сегодня взглянула с другой стороны на регулятор, это очень интересно, как мы будем дальше двигаться в мир киберрисков и рисков цифровизации и что еще предложит нам регулятор. Пока все, что я вижу, очень интересно, перспективно, будем это принимать и будем с вами делиться в следующих эфирах, как идет данный процесс. Спасибо, что были с нами, и еще раз спасибо Анастасии, что она так динамично и очень увлекательно рассказала. Всего доброго.