Жертвы программ-вымогателей все чаще прибегают к помощи своих поставщиков киберстрахования, чтобы заплатить выкуп, когда они подвергаются кибератаке с вымогательством. Но исследователи безопасности предупреждают, что такой подход может быстро стать проблематичным.
Согласно отчету о страховании киберпретензий, опубликованному Coalition в прошлом году, в первой половине 2020 года атаки программ-вымогателей составили 41 процент от общего числа поданных исков по киберстрахованию.
И действительно, в реальных атаках за последние два года многие компании, пострадавшие от программ-вымогателей, признали, что они использовали киберстрахование, чтобы справиться либо с самим выкупом, либо с последующей стоимостью восстановления.
Например, через несколько недель после того, как в июне 2019 года Ривьера-Бич, штат Флорида, был атакован программой-вымогателем , городской совет провел экстренное заседание. Он единогласно проголосовал за то, чтобы разрешить городской страховой компании выплатить выкуп в размере 600 000 долларов после того, как вредоносное ПО заморозило важные данные. Злоумышленники также
отключили системы, контролирующие городские финансы и коммунальные службы.
В том же месяце Лейк-Сити, штат Флорида, заплатил злоумышленникам-вымогателям почти 500 000 долларов, которые, как объявил город, будут в основном покрыты страховкой. Совсем недавно, в августе 2020 года, после атаки на серверы университета, а также данные студентов и преподавателей , Университет штата Юта выплатил выкуп в размере 457000 долларов, работая со своим поставщиком киберстрахования .
Жертва программы-вымогателя Colonial Pipeline, как сообщается, также получила защиту от киберстрахования через брокера Aon and Lloyd's из Лондона. Энергетическая компания выплатила злоумышленникам 4,4 миллиона долларов . Однако неясно, использовала ли фирма свою политику оплаты. Согласно новостному сообщению Routers, Colonial Pipeline имела полис, покрывающий его как минимум на 15 миллионов долларов.
Киберстрахование: финансовая подушка для атак
Для компаний, пострадавших от атаки программ-вымогателей, киберстрахованиедолжно служить буфером для компаний, которые борются с последствиями. К
примеру, после тяжелой 2019 кибератаки, алюминиевый гигант Norsk Hydro
получил около миллиона $ 20,2 в кибер-страховании от своего провайдера, AIG.
Общая стоимость ущерба от нападения оценивается в диапазоне между $ 60 и
$ 71 млн.
«Финансовые последствия атаки программ-вымогателей многогранны и выходят далеко за рамки выплаты выкупа», - сказал Джек Кудейл, основатель и генеральный директор Cowbell Cyber. «Прерывание бизнеса, потеря доходов, потенциальное раскрытие конфиденциальных данных и соответствующая ответственность перед третьими сторонами, криминалистическая экспертиза и опыт восстановления и, наконец, обучение нарушениям и переговоры о программах-вымогателях - все это может быть покрыто полисом киберстрахования».
Использование киберстрахования специально для покрытия переговоров и самих выкупов
не устраивает некоторых исследователей безопасности.
«Выплата вымогателя не только ставит организацию в потенциально сомнительную юридическую ситуацию, но и доказывает киберпреступникам, что вы
финансировали их недавнюю экспедицию», - сказал Брэндон Хоффман, директор по информационной безопасности в Netenrich.
Затраты, премии и сублимиты
В январе 2021 года исследование AdvisorSmith Solutions показало, что средняястоимость киберстрахования в США составляет 1485 долларов в год. По
данным исследования, премии по киберстрахованию колеблются от 650 до 2357 долларов для компаний с «умеренными рисками» и доходом компании в 1 миллион долларов. Эти премии основаны на лимитах ответственности в размере 1 миллиона долларов с франшизой в размере 10 000 долларов.
Некоторые из этих политик имеют определенные ограничения - известные как «дополнительные ограничения» - на расходы, связанные с программами-вымогателями.
«Многие политики кибер-ответственности обеспечивают очень ограниченное покрытие для атак с использованием программ-вымогателей или кибер-вымогателей, с сублимитами покрытия до 25 000 долларов США, даже
если общая политика кибер-ответственности имеет гораздо более высокий общий лимит», - говорится в отчете.
Сублимиты стали более распространенными, поскольку киберстрахование вызвало
обеспокоенность экспертов по безопасности по поводу того, как оно изменит общий
ландшафт безопасности . Например, многие утверждают, что отказ от
полисов киберстрахования во время атаки программы-вымогателя может отговорить компании от принятия мер безопасности, которые в первую очередь могли бы предотвратить такую атаку.
«В широком смысле, встраивание платежей от программ- вымогателей в страховые полисы будет только способствовать дальнейшему использованию программ-вымогателей и одновременно лишить организации стимулов предпринимать надлежащие меры, чтобы избежать последствий от программ-вымогателей» , - сказал Хоффман.
Регулирующие меры препятствуют роли киберстрахования
Киберстраховые компании часто рекламируют свою способность осуществлять платежи
между жертвой программы-вымогателя и киберпреступниками. Но правительства
рассматривают возможные меры регулирования, когда речь идет о программах-вымогателях, включая запрет, предложенный Нью-Йорком в 2020 году, не позволяющий муниципалитетам уступать требованиям программ-вымогателей.
Этот запрет, введенный в ответ на растущую волну кибератак на правительственные учреждения по всей стране, ограничит способность муниципальных образований
платить выкуп в случае атаки. Вместо этого он предложил создать «Фонд повышения кибербезопасности» призван помочь муниципалитетам повысить уровень
безопасности. Аналогичный законопроект, предложенный Сенатом штата Нью-Йорк
в 2020 году, также запретит муниципалитетам выплачивать выкуп, но в законопроекте Сената S7289 будет опущено создание фонда безопасности.
Между тем Министерство финансов США добавило в свою программу санкций несколько преступных группировок, запретив юридическим лицам или гражданам США вести с ними дела (включая уплату выкупа). К ним относятся разработчик
CryptoLocker (Евгений Михайлович Богачев); группа вымогателей SamSam;
Связанная с Северной Кореей Lazarus Group; Evil Corp и ее лидер Максим Якубец.
В октябре 2020 года Департамент расширил сферу применения санкций,
заявив, что в целом компании, которые способствуют выплатам программ-вымогателей
кибер-акторам от имени клиентов (так называемые «переговорщики о выкупе»), могут столкнуться с санкциями за поощрение преступлений и будущие требования о выплатах программ-вымогателей.
Исключения национального государства
Киберстраховщики, со своей стороны, также добавили свои собственные лазейки, когда дело доходит до определенных атак на национальные государства.
В 2017 году, когда вредоносное ПО NotPetya заразило сотни организаций по
всему миру, некоторые страховщики применили свои военные исключения, чтобы избежать выплаты претензий, связанных с NotPetya. Эти типы исключения войны не позволяют охватить «враждебные или военные действия в мирное и военное время».
Однако это заставило некоторых критиковать двусмысленность применения этого пункта.
Как можно улучшить полисы киберстрахования для решения этих проблем?
Хоффман из Netenrich утверждал, что страховые компании должны отказываться
платить страховые взносы, не говоря уже о выкупе, если застрахованная организация не принимает на постоянной основе базовые меры профилактики и восстановления .
«Я знаю, что это звучит жестко, но есть причина, по которой правительства и правоохранительные органы не ведут переговоры с террористами в ситуациях захвата заложников, и с программами- вымогателями следует обращаться так же», - сказал Хоффман. «Создание плана устойчивости и плана восстановления от программ-вымогателей - правильный путь, и понимание вероятности того, что это может случиться с вашей организацией, окупится в большой степени».
Источник: https://threatpost.com/