Z průzkumu společnosti Sophos vyplývá, že hodnota pojistného plnění z kybernetického pojištění, které uplatňují organizace využívající služby MDR, je v průměru o 97,5 % nižší než u organizací, které se spoléhají pouze na ochranu koncových bodů.
Hodnoty škod hrazených z kybernetického pojištění jsou účinným způsobem, jak vyčíslit dopad kybernetických útoků na organizace. Vyšší hodnota pojistné události znamená, že oběť pocítila značné finanční a provozní důsledky útoku, zatímco nízké pojistné plnění odráží jen omezené narušení.
Snížení výše plnění z kybernetických pojistných událostí je výhodné pro všechny. Pro klienty je nižší hodnota pojistných událostí důkazem jejich lepší kybernetické odolnosti, zatímco pojistitelé těží z nižších výplat. Vytváří se tím pozitivní koloběh: pokud pojišťovny vynakládají méně prostředků na krytí pojistných událostí, mohou snížit pojistné, což přináší další výhodu klientům.
Ačkoli panuje široká shoda na tom, že silnější obrana snižuje finanční a provozní dopady kybernetických útoků a výši z nich vyplývajících nároků na pojistné plnění, nikdo to zatím nedokázal kvantifikovat. Až doposud.
Společnost Sophos si nechala vypracovat na dodavatelích bezpečnostních řešení a služeb nezávislou studii, jejímž cílem bylo vyčíslit finanční dopad různých kyberbezpečnostních opatření na hodnotu pojistných událostí v oblasti kyberbezpečnosti. Studie odhalila rozdílný dopad řešení ochrany koncových bodů, technologií EDR/XDR a služeb MDR na výši pojistného plnění souvisejícího s útoky a poskytuje cenné informace pro pojistitele i organizace.
Mezi hlavní zjištění této studie patří
• Organizace, které využívají služby MDR, požadují o 97,5 % nižší plnění než ty, které se spoléhají pouze na ochranu koncových bodů (75 000 dolarů oproti 3 milionům dolarů).
• Organizace, které používají řešení EDR/XDR, požadují jednu šestinu (1/6) plnění oproti organizacím, které používají pouze ochranu koncových bodů (500 000 dolarů vs. 3 miliony dolarů).
• Organizace, které využívají služby MDR, mají nejpředvídatelnější nároky, zatímco ty, které používají nástroje EDR/XDR, mají nejméně předvídatelné požadavky.
• Organizace, které využívají služby MDR, se z významných kybernetických útoků zotavují nejrychleji – téměř polovina (47 %) se plně zotaví do týdne, zatímco u organizací, které se spoléhají pouze na ochranu koncových bodů, je to jen 18 % a u organizací využívajících řešení EDR/XDR jen 27 %.
• Organizace, které využívají služby MDR, mají nejpředvídatelnější dobu zotavení z ransomwarových incidentů; nejméně předvídatelnou pak mají uživatelé služeb EDR/XDR.
Proč je tato studie důležitá
Organizace každoročně vynakládají na kybernetickou bezpečnost obrovské částky. Díky kvantifikaci dopadu kyberbezpečnostních opatření na následky kybernetických útoků umožňuje tento výzkum organizacím nasměrovat své investice tam, kde mají nejvyšší návratnost.
Pojišťovny zároveň významně ovlivňují výdaje na kybernetickou bezpečnost tím, že jako podmínku pro pojištění vyžadují určitá bezpečnostní opatření a nabízejí slevy, pokud jsou zavedena i další. Tento výzkum umožňuje pojišťovnám motivovat firmy k investicím, které skutečně pozitivně ovlivňují následky bezpečnostních incidentů a výsledné hodnoty pojistných událostí.
Kritéria výzkumu
Ve zmíněném výzkumu bylo analyzováno 282 pojistných událostí nahlášených 232 organizacemi s 50 až 3 000 zaměstnanci. Respondenti používali řešení kybernetické bezpečnosti od široké škály poskytovatelů, včetně 19 různých dodavatelů ochrany koncových bodů a 14 různých poskytovatelů služeb MDR. Všechny organizace používaly v době kybernetických útoků vedoucích k pojistné události vícefaktorovou autentizaci (MFA).
Odpovědi byly rozděleny do tří statisticky významných skupin podle toho, jakou kybernetickou obranu měly organizace nasazenou v době útoků vedoucích k pojistné události, přičemž tato segmentová terminologie byla použita v celé studii:
• Uživatelé ochrany koncových bodů: Tyto organizace používaly řešení ochrany koncových bodů po dobu nejméně jednoho roku, ale nepoužívaly nástroje pro detekci a reakci na koncových bodech (EDR) nebo rozšířenou detekci a reakci (XDR), případně služby MDR (n=63 organizací, 83 pojistných událostí).
• Uživatelé EDR/XDR: Tyto organizace používaly řešení ochrany koncových bodů a nástroje EDR/XDR po dobu nejméně jednoho roku, ale nevyužívaly služby MDR (n=109 organizací, 129 pojistných událostí).
• Uživatelé MDR: Tyto organizace používaly řešení ochrany koncových bodů a službu MDR nejméně jeden rok (n=60 organizací, 70 pojistných událostí).
Výzkum se zaměřil výhradně na pojistné události vyplývající z kybernetických útoků a nezahrnuje pojistné události z kybernetického pojištění z jiných důvodů, jako jsou například dopady výpadků dodavatele kybernetické bezpečnosti na podnikání nebo náhodná ztráta dat.
Hlavní zjištění pod drobnohledem
Organizace, které využívají služby MDR, požadují o 97,5 % méně než ty, které se spoléhají pouze na ochranu koncových bodů: Průzkum odhalil, že medián hodnoty pojistného plnění u organizací využívajících služby MDR je o 97,5 % nižší než u uživatelů ochrany koncových bodů. Průměrná (mediánová) výše škody uživatelů MDR činila jen 75 000 dolarů ve srovnání s 3 miliony dolarů u uživatelů ochrany koncových bodů. Jinak řečeno, uživatelé ochrany koncových bodů obvykle uplatňují 40× vyšší nároky na náhradu škody způsobenou kybernetickými útoky než uživatelé MDR. Nižší hodnota pojistného plnění pravděpodobně odráží schopnost služby MDR rychle odhalit a neutralizovat škodlivou aktivitu a zastavit útočníky dříve, než dojde k vážným škodám.
Údaje také potvrzují výhodnost používání nástrojů EDR nebo XDR jako doplňku k ochraně koncových bodů, protože průměrná výše škod uživatelů EDR/XDR je o šestinu (1/6) nižší než u uživatelů ochrany koncových bodů (500 000 dolarů oproti 3 milionům dolarů).
živatelé MDR mají nejpředvídatelnější požadavky na plnění, uživatelé EDR/XDR pak nejméně předvídatelné: Předvídatelnost požadavků na plnění je důležitým ukazatelem konzistence a spolehlivosti kybernetických opatření při snižování dopadu kybernetických útoků. Pro pochopení porovnání různých opatření byl pro každý ze segmentů modelován teoretický příklad požadavku organizace s ročním obratem 100 milionů dolarů. To vychází z výstupních výsledků vygenerovaných z vícerozměrného regresního modelu použitého pro analýzu (více informací naleznete v části „O průzkumu“ na konci tohoto článku). Z analýzy vyplynuly dva důležité poznatky: požadavky uživatelů MDR jsou nejpředvídatelnější a požadavky uživatelů EDR/XDR jsou nejméně předvídatelné
Předvídatelnost požadavků na pojistné plnění uživatelů MDR odráží důslednost, s jakou poskytovatelé služeb MDR rychle odhalují a neutralizují hrozby. Díky nepřetržitému monitorování, prošetřování a reakci, které zajišťují specialisté na bezpečnostní operace, mohou uživatelé služeb MDR podniknout rychlé kroky v kteroukoli denní či noční dobu. Nepřetržitý dohled je obzvlášť důležitý vzhledem k tomu, že mnozí útočníci se záměrně soustředí na „mimopracovní dobu“, kdy provádějí své útoky v naději, že tím oddálí jejich odhalení, dokud nedosáhnou svých cílů. Analýza expertního týmu Sophos X-Ops ukazuje, že 91 % ransomwarových útoků začíná mimo standardní pracovní dobu od pondělí do pátku od 8 do 18 hodin.
Nepředvídatelnost požadavků uživatelů EDR/XDR ukazuje, že účinnost těchto nástrojů při zastavování kybernetických útoků před způsobením velkých škod je zcela závislá na schopnostech a reakci uživatele. Některé organizace používají nástroje EDR/XDR velmi úspěšně a útoky zastavují rychle a efektivně. Jiní však nejsou schopni zajistit efektivní bezpečnostní operace, přestože investovali do technologie EDR/XDR. Podle neoficiálních ohlasů je to často způsobeno nedostatečnou kapacitou pro zajištění nepřetržitého dohledu a/nebo nedostatkem odborných znalostí.
Zjištění, že požadavky uživatelů EDR/XDR mají větší rozptyl než nároky uživatelů ochrany koncových bodů, dále naznačuje, že nevhodný způsob používání těchto nástrojů může ve skutečnosti situaci zhoršit. Organizace mohou například odložit přivolání externích odborníků na řešení incidentů, zatímco se budou snažit situaci vyřešit samy.
Uživatelé služby MDR mají nejpředvídatelnější dobu zotavení z ransomwarových incidentů; uživatelé EDR/XDR pak nejméně předvídatelnou: Modelování doby obnovy na základě teoretického příkladu organizace, která zažije významný ransomwarový útok, odhaluje značné rozdíly v závislosti na použitém bezpečnostním opatření. V této analýze experti namodelovali jak okno zotavení, tedy dobu mezi nejrychlejším a nejpomalejším možným zotavením, tak i předpokládanou dobu zotavení na základě uváděné průměrné doby zotavení.
• Uživatelé ochrany koncových bodů jsou „uprostřed tabulky“ se 40denním oknem obnovy a předpokládanou dobou obnovy 40 dní.
• Nejpomaleji se zotavují uživatelé EDR/XDR, kteří mají nejširší okno pro zotavení (66 dní) a nejdelší předpokládanou dobu zotavení (55 dní).
• Nejrychleji se zotavují uživatelé MDR, kteří mají pětidenní okno pro zotavení a předpokládanou dobu zotavení pouhé tři dny.
Tato zjištění dále potvrzují, že používání služeb MDR podstatně snižuje dopad kybernetických útoků na organizace. Odhalují také velmi nepředvídatelnou povahu obnovy v případě uživatelů EDR/XDR. Je důležité mít na paměti, že řešení EDR/XDR jsou jen nástroje a jejich účinnost a dopad závisí na tom, jak dobře se používají.
Závěr? Typ kybernetických opatření podstatně ovlivňuje kybernetické pojistné události
Výzkum potvrzuje to, co mnozí instinktivně věděli: typ používaných kybernetických opatření má podstatný vliv na kybernetické pojistné události. Uživatelé MDR mají nejnižší a zároveň nejpředvídatelnější požadavky na pojistné plnění. Uživatelé ochrany koncových bodů mají nejvyšší průměrnou hodnotu požadavků, zatímco uživatelé EDR/XDR mají nejméně předvídatelnou hodnotu požadavků na pojistné plnění.
Kybernetické útoky jsou nevyhnutelné, organizace se ale proti nim mohou bránit. Výše uvedená zjištění mohou být užitečným nástrojem pro organizace, které chtějí optimalizovat svou kybernetickou obranu a návratnost investic do kybernetické bezpečnosti, stejně jako pro pojistitele, kteří chtějí snížit riziko a nabídnout klientům správný rozsah pojištění.
Sally Adam, marketingová ředitelka společnosti Sophos
