Страхование рисков утечек информации в российских компаниях развито слабо – 51% предприятий вовсе не застрахованы на случай компрометации данных, свидетельствуют данные опроса. Это может говорить как о недоверии к такому формату защиты от последствий инцидентов ИБ, так и об отсутствии предложений на рынке страхования киберрисков, отмечают эксперты ЭАЦ InfoWatch. При этом четверть организаций (25%) не получили выплату по страховому случаю, связанном с утечкой конфиденциальных данных, хотя были застрахованы, и лишь 17% компаний получили страховую выплату после инцидента. Примечательно, что среди тех, кто не получил выплату, большая часть (79%) даже не обращалась за ней.
«Результаты опроса свидетельствуют о значительных пробелах в управлении рисками информационной безопасности в российских компаниях. Большинство компаний не имеют страховой защиты на случай утечек информации, что создает для них значительные финансовые и репутационные риски. Из тех, кто застрахован, лишь немногие получили страховую выплату после инцидента. Вероятно, это связано в том числе с нежеланием предавать огласке факт утечки данных – 59% организаций не готовы сообщать о подобных инцидентах даже страховой компании, либо не умеют документировать «цифровой след» киберинцидента», – отмечает главный аналитик-эксперт ЭАЦ InfoWatch Дарья Пырина.
Вместе с тем участники опроса отметили, что положительно оценивают эффективность страхования от утечек как меры по управлению рисками информационной безопасности – 56% респондентов считают, что такой инструмент полезен. Это может свидетельствовать о том, что организации все чаще рассматривают страхование как важную составляющую своей системы управления рисками и ощущают потребность в развитии этой сферы, ее потенциал.
Однако самой важной и эффективной мерой противодействия утечкам информации бизнес считает обучение и повышение осведомленности персонала – об этом сообщили 81% опрошенных. Согласно предыдущим исследованиям ЭАЦ InfoWatch, именно действия сотрудников являются самой распространенной причиной инцидентов, поэтому такой фокус внимания абсолютно разумен, подчеркивают авторы исследования.
«В рамках опроса респонденты называли и другие меры, которые они считают действенными для предотвращения утечек информации в организации. Чаще всего назывались организационные меры, такие как усиление контроля за сотрудниками, информирование сотрудников об ответственности за утечку, обучение сотрудников цифровой гигиене и более тщательный отбор кадров. Все это говорит о том, что предприятия осознают опасность инсайдеров и необходимость профилактики внутренних нарушений», – резюмирует Дарья Пырина.
