Snížení výše plnění z kybernetických pojistných událostí je výhodné pro všechny. Pro klienty je nižší hodnota pojistných událostí důkazem jejich lepší kybernetické odolnosti, zatímco pojistitelé těží z nižších výplat. Vytváří se tím pozitivní koloběh: pokud pojišťovny vynakládají méně prostředků na krytí pojistných událostí, mohou snížit pojistné, což přináší další výhodu klientům.

Ačkoli panuje široká shoda na tom, že silnější obrana snižuje finanční a provozní dopady kybernetických útoků a výši z nich vyplývajících nároků na pojistné plnění, nikdo to zatím nedokázal kvantifikovat. Až doposud. Společnost Sophos si nechala vypracovat na dodavatelích bezpečnostních řešení a služeb nezávislou studii, jejímž cílem bylo vyčíslit finanční dopad různých kyberbezpečnostních opatření na hodnotu pojistných událostí v oblasti kyberbezpečnosti. Studie odhalila rozdílný dopad řešení ochrany koncových bodů, technologií EDR/XDR a služeb MDR na výši pojistného plnění souvisejícího s útoky a poskytuje cenné informace pro pojistitele i organizace.

Mezi hlavní zjištění této studie patří:

• Organizace, které využívají služby MDR, požadují o 97,5 % nižší plnění než ty, které se spoléhají pouze na ochranu koncových bodů (75 000 dolarů oproti 3 milionům dolarů).
• Organizace, které používají řešení EDR/XDR, požadují jednu šestinu (1/6) plnění oproti organizacím, které používají pouze ochranu koncových bodů (500 000 dolarů vs. 3 miliony dolarů).
• Organizace, které využívají služby MDR, mají nejpředvídatelnější nároky, zatímco ty, které používají nástroje EDR/XDR, mají nejméně předvídatelné požadavky.
• Organizace, které využívají služby MDR, se z významných kybernetických útoků zotavují nejrychleji – téměř polovina (47 %) se plně zotaví do týdne, zatímco u organizací, které se spoléhají pouze na ochranu koncových bodů, je to jen 18 % a u organizací využívajících řešení EDR/XDR jen 27 %.
• Organizace, které využívají služby MDR, mají nejpředvídatelnější dobu zotavení z ransomwarových incidentů; nejméně předvídatelnou pak mají uživatelé služeb EDR/XDR.

Kritéria výzkumu

Ve zmíněném výzkumu bylo analyzováno 282 pojistných událostí nahlášených 232 organizacemi s 50 až 3 000 zaměstnanci. Respondenti používali řešení kybernetické bezpečnosti od široké škály poskytovatelů, včetně 19 různých dodavatelů ochrany koncových bodů a 14 různých poskytovatelů služeb MDR. Všechny organizace po­uží­va­ly v době kybernetických útoků vedoucích k pojistné události vícefaktorovou autentizaci (MFA).

Odpovědi byly rozděleny do tří statisticky významných skupin podle toho, jakou kybernetickou obranu měly organizace nasazenou v době útoků vedoucích k pojistné události, přičemž tato segmentová terminologie byla použita v celé studii:

• Uživatelé ochrany koncových bodů: Tyto organizace po­uží­va­ly řešení ochrany koncových bodů po dobu nejméně jednoho roku, ale nepoužívaly nástroje pro detekci a reakci na kon­co­vých bodech (EDR) nebo rozšířenou detekci a reakci (XDR), případně služby MDR (n=63 organizací, 83 pojistných událostí).
• Uživatelé EDR/XDR: Tyto organizace používaly řešení ochrany koncových bodů a nástroje EDR/XDR po dobu nejméně jednoho roku, ale nevyužívaly služby MDR (n=109 organizací, 129 pojistných událostí).
• Uživatelé MDR: Tyto organizace používaly řešení ochrany koncových bodů a službu MDR nejméně jeden rok (n=60 organizací, 70 pojistných událostí).

Výzkum se zaměřil výhradně na pojistné události vyplývající z kyber­ne­tic­kých útoků a nezahrnuje pojistné události z kybernetického po­jiš­tě­ní z jiných důvodů, jako jsou například dopady výpadků do­da­va­te­le kybernetické bezpečnosti na podnikání nebo náhodná ztráta dat.

Vliv MDR na hodnoty pojistného plnění

Průzkum odhalil, že medián hodnoty pojistného plnění u organizací využívajících služby MDR je o 97,5 % nižší než u uživatelů ochrany koncových bodů. Průměrná (mediánová) výše škody uživatelů MDR činila jen 75 000 dolarů ve srovnání s 3 miliony dolarů u uživatelů ochrany koncových bodů. Jinak řečeno, uživatelé ochrany koncových bodů obvykle uplatňují 40× vyšší nároky na náhradu škody způsobenou kybernetickými útoky než uživatelé MDR. Nižší hodnota pojistného plnění pravděpodobně odráží schopnost služby MDR rychle odhalit a neutralizovat škodlivou aktivitu a zastavit útočníky dříve, než dojde k vážným škodám.

Údaje také potvrzují výhodnost používání nástrojů EDR nebo XDR jako doplňku k ochraně koncových bodů, protože průměrná výše škod uživatelů EDR/XDR je o šestinu (1/6) nižší než u uživatelů ochrany koncových bodů (500 000 dolarů oproti 3 milionům dolarů).

Obr.: Jaká byla přibližná hodnota pojistné události (kolik bylo požadováno, nikoli kolik bylo vyplaceno) vaší organizace? S výjimkou odlehlých hodnot a odpovědí „nevím“. n=232 organizací, 282 událostí s nárokem na pojistné plnění. Dotaz byl položen respondentům, jejichž organizace v posledních 12 měsících uplatnila alespoň jednu pojistnou událost v důsledku významného kybernetického útoku.

Vliv MDR na předvídatelnost pojistného plnění

Předvídatelnost požadavků na plnění je důležitým ukazatelem konzistence a spolehlivosti kybernetických opatření při snižování dopadu kybernetických útoků. Z analýzy vyplynuly dva důležité poznatky: požadavky uživatelů MDR jsou nejpředvídatelnější a požadavky uživatelů EDR/XDR jsou nejméně předvídatelné.

Předvídatelnost požadavků na pojistné plnění uživatelů MDR odráží důslednost, s jakou poskytovatelé služeb MDR rychle odhalují a neutralizují hrozby. Díky nepřetržitému monitorování, prošetřování a reakci, které zajišťují specialisté na bezpečnostní operace, mohou uživatelé služeb MDR podniknout rychlé kroky v kteroukoli denní či noční dobu. Nepřetržitý dohled je obzvlášť důležitý vzhledem k tomu, že mnozí útočníci se záměrně soustředí na „mimopracovní dobu“, kdy provádějí své útoky v naději, že tím oddálí jejich odhalení, dokud nedosáhnou svých cílů.

Nepředvídatelnost požadavků uživatelů EDR/XDR ukazuje, že účinnost těchto nástrojů při zastavování kybernetických útoků před způsobením velkých škod je zcela závislá na schopnostech a reakci uživatele. Některé organizace používají nástroje EDR/XDR velmi úspěšně a útoky zastavují rychle a efektivně. Jiní však nejsou schopni zajistit efektivní bezpečnostní operace, přestože investovali do technologie EDR/XDR. Podle neoficiálních ohlasů je to často způsobeno nedostatečnou kapacitou pro zajištění nepřetržitého dohledu a/nebo nedostatkem odborných znalostí.

Zjištění, že požadavky uživatelů EDR/XDR mají větší rozptyl než nároky uživatelů ochrany koncových bodů, dále naznačuje, že nevhodný způsob používání těchto nástrojů může ve skutečnosti situaci zhoršit. Organizace mohou například odložit přivolání externích odborníků na řešení incidentů, zatímco se budou snažit situaci vyřešit samy.

Závěr?

Výzkum potvrzuje to, co mnozí instinktivně věděli: typ používaných kybernetických opatření má podstatný vliv na kybernetické pojistné události. Uživatelé MDR mají nejnižší a zároveň nejpředvídatelnější požadavky na pojistné plnění. Uživatelé ochrany koncových bodů mají nejvyšší průměrnou hodnotu požadavků, zatímco uživatelé EDR/XDR mají nejméně předvídatelnou hodnotu požadavků na pojistné plnění.

Kybernetické útoky jsou nevyhnutelné, organizace se ale proti nim mohou bránit. Výše uvedená zjištění mohou být užitečným nástrojem pro organizace, které chtějí optimalizovat svou kybernetickou obranu a návratnost investic do kybernetické bezpečnosti, stejně jako pro pojistitele, kteří chtějí snížit riziko a nabídnout klientům správný rozsah pojištění.

Sally Adam Autorka článku je marketingová ředitelka společnosti Sophos.