Кого и от чего должно защитить страхование киберрисков
Всероссийский союз страховщиков (ВСС) решил внести свой вклад в формирование нормативной правовой базы рынка киберстрахования. Предложения включают, в частности, прейскурант компенсаций морального и имущественного вреда, возникшего в результате утечек персональных данных. А вот делать этот вид страхования обязательным ВСС не считает целесообразным.
Линейка штрафов и выплат
Проект концепции развития рынка киберстрахования ВСС недавно представил в Совете Федерации. Место и аудитория были выбраны неслучайно: сенаторы с 2023 года вплотную занимаются этими вопросами и подготовили собственный законопроект. Он предусматривает возможность сделать этот вид страхования вмененным, то есть добровольным, который необходим компаниям, занимающимся определенными видами деятельности.
Вмененный вид: страхование бизнеса от киберрисков могут сделать обязательным
Впрочем, в известном смысле это игра в слова. По факту для организаций (операторов мобильной связи, банков, интернет-магазинов, авиакомпаний, медучреждений, торговых сетей, гостиниц, ресторанов и т. д.), работающих с базами персональных данных клиентов, в случае принятия закона страхование киберрисков станет обязательным. Напрашиваются аналогии со страхованием гражданской ответственности владельцев опасных производственных объектов (ОПО), между тем этот вид страхования обязательный, что закреплено законом.
Не совсем понятно и то, как будет работать страхование киберрисков, учитывая, что личные данные чуть ли не каждого гражданина РФ похищены. Глава «Ростелекома» Михаил Осеевский на днях заявил, что «в основе массированных кибератак лежит то, что персональные данные всех россиян уже утекли в Сеть». По его словам, в даркнете он смог найти информацию и о себе.
Серьезность ситуации подтверждает статистика Роскомнадзора. В 2022 году ведомство сообщило об утечке 140 баз данных, которые в общей сложности содержали около 600 млн записей. В 2023-м было выявлено 168 утечек с почти 300 млн записей. За 10 месяцев 2024 года зафиксировано 110 утечек с более чем 600 млн записей.
По данным МВД, за последние пять лет число противоправных деяний в киберпространстве увеличилось более чем вдвое. Их доля в общем массиве преступлений сегодня достигает порядка 40%, а по тяжким и особо тяжким составам показатель – почти 60%, признал глава министерства Владимир Колокольцев. К концу сентября общая сумма причиненного ущерба превысила 116 млрд руб. Среди пострадавших – физические и юридические лица, в том числе государственные структуры.
Упреждающая защита: кому и зачем нужны учения в сфере информационной безопасности
Минцифры предлагает наказывать виновных рублем. В конце января 2024 года Госдума в первом чтении приняла законопроект о введении штрафов для юрлиц, допустивших утечку персональных данных. На первый раз штраф может составить от 3 млн до 15 млн руб., в случае повторения будет применяться оборотный штраф в размере от 0,1% до 3% выручки за календарный год (не менее 15 млн и не более 500 млн руб.).
Страховых выплат за моральный и имущественный вред законопроект не предусматривает. Заполнить этот вакуум стремятся сенаторы, в частности зампредседателя комитета Совфеда по конституционному законодательству и государственному строительству Артем Шейкин. И вот теперь свой вариант предложила рабочая группа по развитию рынка киберстрахования, созданная ВСС.
Страховщики предлагают установить выплаты морального ущерба (речь о физических лицах) в следующих размерах: 1 тыс. руб. – в случае утечки простых данных (ФИО, дата и место рождения, семейное положение, имущество, доходы и т. п.), 2 тыс. руб. – в случае утечки специальных данных (политические взгляды, религия, расовая и национальная принадлежность, состояние здоровья), 5 тыс. руб. – в случае утечки биометрических данных (фото- и видеоизображения лица, отпечатки пальцев и ладоней, запись голоса). Выплаты за вред здоровью и имуществу должны быть равны размеру фактического ущерба, но не более 50 тыс. руб., полагают в ВСС.
Принципы востребованности
Несмотря на отсутствие законодательных норм, российский рынок киберстрахования не стагнирует, а развивается. Этому во многом способствует позиция регулятора, утвердившего в июне 2023 года «Основные направления развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы». В документе Банка России указано, что «задача страхования киберрисков состоит в покрытии убытков, возникших в результате успешно реализованных кибератак».
Пример ответственного подхода демонстрирует Национальная страховая информационная система (НСИС), являющаяся «дочкой» ЦБ. Компания планирует приобрести полис страхования киберрисков на 2025 год, заявил ее глава Николай Галушин. Речь идет о защите «железа», программного обеспечения и хранящейся информации от вирусов-шифровальщиков и атак, «которые сделают невозможным функционирование страхования».
Второе направление – страхование убытков, связанных с утечкой персональных данных. Не по самому факту утечки, а по факту наступления материального ущерба тех лиц, чьи данные похищены, если информация будет использована против владельцев, что принесет им реальный материальный ущерб, уточнил Галушин. «Вероятность наступления событий в отношении активов, которыми мы управляем, ничтожно мала, но тем не менее страхование будет являться дополнительной защитой интересов компании и наших пользователей», – уверен он.
Глава НСИС перечислил основные принципы востребованного страхования киберрисков. Оно должно носить добровольный характер, а оператор информационной системы должен иметь инструменты возмещения ущерба. Базовым условием наступления ответственности является доказательство утечки персональных данных. Причем здесь надо учитывать объем данных, уже находящихся в открытом доступе, в том числе из-за самих владельцев, которые выкладывают информацию о себе в интернет. После подтверждения факта утечки персональных данных из конкретной системы должна быть доказана причинно-следственная связь этого с понесенным ущербом (материальным, физическим, моральным) владельца персональных данных. Страхование следует осуществлять на сумму максимально возможного реального ущерба, считает Николай Галушин.
«В условиях ограниченного рынка перестрахования, возможно, помимо емкости РНПК (Российская национальная перестраховочная компания. – «Профиль») нужна еще внутренняя пуловая емкость российских страховщиков киберрисков. И очень важно, чтобы условия страхования были синхронизированы между страховыми компаниями», – заключил глава НСИС.
Комплексный подход
Начальник управления страхования ответственности СПАО «Ингосстрах» Дмитрий Шишкин считает киберстрахование одним из главных трендов современной индустрии бизнеса и страхования. Это направление интересует всех игроков рынка, уверен он, но пока не получило широкого распространения и сталкивается с ограничениями. «Крупнейшие иностранные страховые и перестраховочные общества оценили мировой рынок киберстрахования в $14 млрд собранной страховой премии в 2023 году, – рассказывает эксперт. – За пять лет показатель утроился. К 2027 году, согласно прогнозам, ожидается рост до $29 млрд. В России темпы также высокие: с 2017 по 2020 год рынок киберстрахования вырос в пять раз, в 2021-м – на 60%, а в 2023-м – на 80%, до 1,3 млрд рублей».
Кошелек мамонта: какие приемы используют кибермошенники для обмана жертв
По словам Дмитрия Шишкина, в настоящее время преимущественно страхуются крупные компании, в основном из финансовой сферы, нефтегазовой отрасли и электроэнергетики, IT- и госкомпании. Они для этого имеют необходимый бюджет, а выход из строя отдельных сегментов сети может привести к остановке бизнес-процессов и серьезным издержкам. Малый и средний бизнес пока предпочитает на этом экономить. Ужесточение законодательства, вероятно, изменит подход.
Еще одна особенность, обращает внимание эксперт, заключается в том, что компании с иностранными собственниками по умолчанию страхуют все риски, в том числе и киберриски. Видимо, у них есть четкое понимание, что при возникновении страхового случая выплата позволит предприятию компенсировать расходы и возместить убытки от простоя.
«Страховые суммы нельзя назвать низкими. Большинство клиентов страхуются на сумму в диапазоне 100–300 млн рублей, кто-то на 500 млн, 800 млн и даже на 1 млрд рублей. Емкости всех российских страховщиков сегодня хватает, чтобы защитить имущественные интересы компании на сумму до 2–2,5 млрд рублей в рамках специального договора страхования от киберрисков», – подчеркнул Шишкин.
При желании можно оформить страховку на более крупную сумму, добавляет эксперт. Например, через классический договор страхования имущества, в котором риск ущерба от киберинцидентов включается как дополнительный. Это позволяет увеличить сумму до стоимости страхуемого имущества или лимита на убытки от перерыва в деятельности. Правда, здесь есть нюанс: клиентам надо пройти аудит, по результатам которого придется доработать киберзащиту.
«Стратегия развития киберстрахования в России заключается в комплексном предоставлении этой услуги, начиная с рекомендаций по усилению безопасности ИТ-инфраструктуры и заканчивая реакцией на вмешательство в режиме 24/7, помощью в защите, оценкой причиненного ущерба и возмещением убытков», – уточнил Дмитрий Шишкин.
Читайте на смартфоне наши Telegram-каналы: Профиль-News, и журнал Профиль. Скачивайте полностью бесплатное мобильное приложение журнала "Профиль".