Помню несколько лет назад, еще в прошлой жизни, делали мы аутсорсинг SOC для одной международной нефтяной компании. Стоимость контракта приближалась к 100 миллионам долларов и одним из условий должны были стать финансовые гарантии возмещения ущерба в случае атаки. 9 месяцев согласовывался контракт именно в этой, самой сложной части. А сейчас на Западе это становится, нет, еще не мейнстримом, но уже распространенной практикой. Например, Aqua Security анонсировала предоставление гарантий на 1 миллион долларов на случай взлома облачных клиентов, защищенных их решением. Да, там свои условия и ограничения на получение возмещения (минимальная сумма контракта, включенные компоненты, специфическое определение «облачной атаки» и т.п.), но все-таки это существенный шаг вперед.
Вы думаете это единственный пример?
В сентябре 2022 года компания Defendify также предложила компенсацию в 1 миллион долларов в случае реализации инцидента ИБ в организации, защищенной ее решением. При этом возмещение покрывает широкий спектр инцидентов — шифровальщика, нарушение законодательных требований, компрометацию электронной почты (BEC) или любые финансовые потери в результате инцидента ИБ. В отличие от страхования киберрисков, предложение Defendify не требует подписания каких-либо договоров, прохождения андеррайтинга, урегулирования претензий и т.п.
Аналогичная история с аутсорсинговым SOC от компании Arctic Wolf, которая дает ровно те же гарантии в 1 миллион долларов, что и Defendify, и ровно для тех же инцидентов, но, судя по упоминанию андеррайтинга все-таки у них речь идет о страховании киберрисков. Полное возмещение в миллион клиент получает, если он ранее инвестировал в полное портфолио ИБ-компании; сумма возмещение падает вдвое, если заказчик воспользовался услугой MDR и одним из продуктов Arctic Wolf по анализу защищенности заказчика или повышения осведомленности его работников.
Как же это контрастирует с некоторыми российскими коммерческими SOCами, которые с пеной у рта доказывают, что никаких гарантий они давать не готовы, так как их работа зависит от множества факторов, а еще «заказчик сам дурак«. При этом этот же SOC не стесняется у себя на главной странице писать про гарантии кибербезопасности и готовность взять на себя ответственность. Но когда дело доходит до выяснения размеров этой ответственности, они начинают вилять и ссылаться на Гражданский кодекс и ограничения суммой контракта.
Одной из первых ИБ-компаний, кто предложил финансовые гарантии в случае инцидента ИБ, была SentinelOne, которая еще в 2016-м году анонсировала финансовую защиту своих заказчиков, пострадавших от шифровальщиков, на сумму также в 1 миллион долларов (на компанию или 1 тысяча долларов на узел)! Да, там тоже есть определенные условия, при которых гарантия начинает работать, но все-таки это лучше, чем засовывание головы в песок, уход от ответственности и нежелание отвечать своими «фаберже» за результат.
На самом деле, еще в 2005-м году компания Citadel Security Software запустила вместе со страховой компанией AIG систему страховая киберрисков, гарантирующую возмещение денежных средств пострадавших заказчиков в размере стоимости восстановления данных или стоимости информации (как они ее считали?), но в пределах стоимости их контракта с Citadel.
Аналогичное CrowdStrike’у предложение сделала своих заказчикам и CrowdStrike в 2018-м году.
Всем нравится круглая сумма в 1 миллион долларов!
Но есть и те, кто пошел дальше, и предложил сумму на порядок превышающую пресловутый миллион. Например, Rubrik отвечает 10 миллионами долларов, гарантируя защиту от шифровальщиков. Сумма зависит от размера защищаемого с помощью решений Rubrik хранилища.
Кстати, у Rubrik одно из самых проработанных соглашений о гарантиях из всех упомянутых ранее и позднее компаний. Все-таки сумма в 10 миллионов обязывает быть более серьезными в таких вопросах.
Не все компании самостоятельно способны запустить такие программы. Поэтому на рынке начинают появляться провайдеры соответствующих финансовых услуг, берущих на себя все непростые вопросы, связанные с гарантиями и ответственностью. Например, в мае этого года венчурный фонд DVx Ventures запустил компанию Cork, которая специально создана для того, чтобы помочь провайдерам услуг ИБ сформировать предложение по финансовым гарантиям для их заказчиков. И первые два контракта уже заключены — с Barracuda Networks и River Run.
Интересно, когда в России появятся такие компании, которые предложат своим заказчикам простые и понятные гарантии за результат ИБ и готовы будут нести существенную финансовую ответственность (не в пределах контракта) за свою деятельность, а не жить по принципу «AS IS»?..
У текущего нашего поколения отношение к ответственности точно не поменяется. Возможно, со сменой поколения… минимум лет 16 пройдёт. А в пределах контракта наверняка уже что-то есть, но это знание не для «масс». Почему-то такими вещами не принято «козырять», хотя наверное сейчас самое время…
У любого человека с ответственностью не очень. Это «нормально»
У нас принято строить бизнес по принципу «без лоха и жизнь плоха». Большинство компаний тупо «стригут бабло» пока есть возможность. Особенно сейчас, когда из-за ухода западных вендоров возникла монополизация рынка ИБ и многие вендоры тупо подняли прайс раза так в три («а куда вы денетесь, купите за любой прайс, выбора то нет»). Так что о какой ответственности может идти речь вообще в такой истории?
Вполне может. Не все такие
Добрый день, Алексей!
Интересная практика, возможно у нас мы тоже дождёмся таких шагов, но всё-таки тут должен быть рост и вендоров и заказчиков, которые обеспечивают выполнение требований вендора по работе средств защиты и ИБ в целом, в противном случае можно долго кивать друг на друга, говоря, как указано в заметке выше — «заказчик/вендор/SOC сам дурак».
Также было бы интересно почитать обзор с другой стороны — а сколько таких компаний и какие суммы выплатили за реально доказанные инциденты? Т.к. зная нашу специфику, суды и доказательства неработоспособности средства защиты могут быть очень долгими и упорными, а вот как у них?
Ну это новая практика и там. Большинство анонсов — с 2022-го года. Так что вряд ли практика накопилась. Но мне тоже было бы интересно посмотреть — не будет ли повтора ситуации с Mondelez, когда страховая «Цюрих» отказалась выплачивать по договору страхования киберрисков, ссылаясь на форс-мажор.
А что касается нас, то Bug Bounty — это первый шаг же. Компания готова платить за то, что ее взломали. И делает это публично. Если эта компания занимается ИБ, то это схожая история. И хотя это пока выплата не за то, что на стороне заказчика стоит, но уже шаг вперед.
«…зная нашу специфику, суды и доказательства…»
Как раз таки зная это наше, считаю, что механизм выплат ни в коем случае не может быть (не должен быть) судебным. А судьи кто? Они «ни в зуб ногой» в ИТ и ИБ.
Ну так речь и не идет о судебном механизме же