Вмененный вид: страхование бизнеса от киберрисков могут сделать обязательным

Содержание:

• ЦБ поставил цель
• Чью ответственность страховать
• Требования к защите данных
• Разработка единой системы
• Принципы возмещения

ЦБ поставил цель

Создание полноценного института страхования от киберугроз как еще одного обязательного вида страхования считает приоритетом Банк России. В июне прошлого года его позиция была подтверждена в «Основных направлениях развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы». В документе, в частности, указано, что задача «состоит в покрытии убытков, возникших в результате успешно реализованных кибератак». Регулятор с этой целью готов оказать поддержку в формировании нормативной правовой базы. Например, предоставить расширенный перечень данных внешним пользователям для формирования моделей страхования.

Война в киберпространстве: как Россия защищает свой цифровой суверенитет

Новый вид страхования в России и других странах уже активно развивается. В материалах ЦБ есть ссылка на международных экспертов, которые считают, что глобальный рынок страхования киберрисков в период с 2022 по 2025 год вырастет с $14 млрд до $20 млрд. Объем внутреннего рынка Всероссийский союз страховщиков (ВСС) оценивает на сегодня примерно в 900 млн руб.

В настоящее время законопроект разрабатывается, и единой позиции по некоторым вопросам нет. В конце февраля в Совете Федерации состоялось заседание секции «Обеспечение технологического суверенитета и информационной безопасности РФ» по теме «Нормативно-правовые аспекты становления и работы института страхования в области киберрисков».

Директор департамента страхового рынка ЦБ Илья Смирнов, выступая на заседании, отметил, что в законе должны быть прописаны страховая сумма, лимиты, перечень рисков и перечень исключений. Из-за нечетких формулировок законов граждане или юрлица не знают, от чего они защищены. Тема любого вмененного страхования болезненная, и страхование ответственности от киберрисков не исключение, заявил Смирнов. Ответственность застраховать проще, имущество – значительно труднее. Крайне сложно установить, что к ущербу привела конкретная утечка информации.

Чью ответственность страховать

Страховое сообщество поддерживает введение обязательного страхования киберрисков и считает обеспечение гарантии возмещения ущерба за утечку персональных данных для граждан социально значимым вопросом. Это позиция президента Всероссийского союза страховщиков (ВСС) Евгения Уфимцева. При создании нового института за основу можно взять опыт страхования ответственности владельцев опасных объектов. По этому виду выплаты гражданам производятся в процентах от страховой суммы, отмечает он.

Сети под напряжением: как российские разработчики решают задачи информационной безопасности

Вместе с тем есть ряд ключевых вопросов, требующих решения. В первую очередь надо определиться, должен ли покрываться выплатой фактически причиненный ущерб или необходимо применять таблицы выплат по каждому случаю. К организациям, не обеспечивающим должный уровень защиты персональных данных, можно предусмотреть право регресса со стороны страховой компании.

Также надо четко прописать, чья ответственность страхуется – оператора персональных данных или компании, которая их обрабатывает. Плюс ввести классификацию организаций по категориям хранимых данных (медицинские, финансовые и т. п.), установить лимиты и страховые суммы по каждому событию.

Эти моменты должны найти отражение в окончательном варианте закона. Со своей стороны, страховое сообщество открыто для сотрудничества, чтобы «итоговый продукт максимально эффективно защищал интересы граждан», заверил Евгений Уфимцев. В целом он не видит препятствий к тому, чтобы новый вид обязательного страхования начал работать уже в ближайшее время.

«На мой взгляд, необходимо запускаться: страховая отрасль к этому готова, а вопрос защиты интересов граждан, страдающих от утечек персональных данных, уже давно назрел», – уверен президент ВСС.

Требования к защите данных

Ведущий эксперт по сетевым угрозам, web-разработчик компании «Код Безопасности» Константин Горбунов считает, что страхование киберрисков в современных условиях имеет особую актуальность. С одной стороны, на фоне стремительного развития ИТ-технологий появляются новые и совершенствуются существующие угрозы и векторы атак на информационную инфраструктуру госорганов и коммерческих компаний. Преступления в сфере информационной безопасности (ИБ) – один из серьезнейших вызовов как для бизнеса, так и для государства.

С другой – постоянно появляются технологии, значительно упрощающие процесс создания новых приложений. Например, с помощью no-code или low-code платформ пользователь, даже не имеющий глубоких знаний программирования, может создать интернет-магазин и запустить его в самые короткие сроки.

«К сожалению, далеко не каждый создатель web-приложения задумывается о тех данных, которые оно может хранить, об их защите от SQL-инъекций, эксплойтов и ограничении сетевого доступа. Мало кто в принципе осознает масштаб киберугроз и последствий, которые могут наступить при успешной атаке», – констатировал Константин Горбунов.

На тропе кибервойны: как отражать новые угрозы информационной безопасности

Чтобы закон работал, необходимо сформировать список требований, при выполнении которых инцидент может рассматриваться как страховой случай, считает Горбунов. Например, только при наличии у компании определенных мер защиты: серверного ПО, антивирусов, регламента обновления пакетов ОС, средств обеспечения безопасности сети и т. д.

Требования могут предусматривать и разные уровни, от которых зависит величина покрытия при наступлении страхового случая. Уместна аналогия с автострахованием – ОСАГО и каско. Первый вид – это страховка с базовыми требованиями, второй – расширенная, которая предъявляет более серьезные требования к страхователю. Конечно, каско – дело добровольное, страхование же от киберрисков намерены сделать, как ОСАГО, обязательным. Но для крупных организаций, которые обрабатывают значительные объемы информации и с пугающим постоянством подвергаются хакерским атакам, вполне вероятно, будет спокойнее за дополнительную плату оформить расширенную страховку, не исключил Константин Горбунов.

При создании отечественного института страхования киберрисков есть резон учесть существующий опыт. За рубежом компании Allianz и AIG страхуют: материальную ответственность за утрату персональных данных клиентов; убытки в результате простоя или недоступности системы по причине кибервымогательства; расходы на расследование ИБ-инцидентов. В России схожие страховые продукты пока предлагают «СОГАЗ» и «Альфа-страхование».

Разработка единой системы

С таким подходом согласен сооснователь и гендиректор аналитического агентства «Бизнесдром», сопредседатель комитета «Опора России» по финрынкам Павел Самиев. Страхование киберрисков должно быть введено на вмененной основе, и бизнес отнесется к этому с пониманием. Год от года увеличивается количество кибератак, попыток взлома баз данных, утечек информации, а значит, растут и суммы ущерба.

«Кроме страхования, других механизмов компенсации потерь нет, – говорит эксперт. – При этом вопрос дифференциации тарифов в зависимости от уровня информационной безопасности, подверженности киберрискам, стандартов их оценки при андеррайтинге, ущерба в случае наступления страхового события остается ключевым». Сейчас общая система оценки отсутствует, статистика по ИБ-инцидентам и их последствиям недоступна, анализ проводится в закрытом режиме внутри компании. В России рынок страхования киберрисков только начинает формироваться, и нужно время, чтобы он стал прозрачным и понятным как для страховщиков, так и для их клиентов, уверен Павел Самиев.

«Если страхование активов различных компаний с точки зрения физического ущерба уже рутина, то управление киберрисками – нечто совершенно новое, – подтверждает эксперт по кибербезопасности Kaspersky ICS CERT Владимир Дащенко. – Правила придется писать с чистого листа, хотя некоторые промышленные компании по собственной инициативе уже ввели этот вид страхования». В мире это направление страхования развито значительно лучше, и что-то из лучших практик можно позаимствовать. Принятие закона – лишь первый шаг. Чтобы страховать риски в сфере информационной безопасности, необходимо наработать базу, на основе которой создать статистические и математические модели, рекомендует Дащенко.

Страховая компания не сможет оформить полис бизнесу, не уделяющему должного внимания этим проблемам. Если организация не имеет цифровых активов, не использует средства защиты на всех уровнях, она либо получит отказ, либо страховка окажется недоступной по цене. Справедливость претензий могли бы подтверждать аудиторы по кибербезопасности, которые тестировали ИТ-системы на уязвимость.

Принципы возмещения

При определении лимитов ответственности, которые будут указаны в законе, необходимо принимать во внимание реальные возможности страхового рынка, напоминает начальник управления страхования ответственности «Ингосстраха» Дмитрий Шишкин. Для этого надо детально проработать вопросы возмещения морального вреда пострадавшим от утечки персональных данных. А именно – выбрать принцип возмещения: в связи с причиненным вредом или просто по факту утечки. «Здесь возникает множество дополнительных вопросов. Например, как быть, если персональные данные утекли сразу из двух мест, – поделился сомнениями эксперт. – Другой вариант – ИТ-система застрахованной компании была уже взломана, а какое-то время спустя произошел повторный инцидент».

Но главный, по мнению Шишкина, вопрос – в размерах выплат. Роскомнадзор в 2023 году зафиксировал 168 утечек персональных данных. InfoWatch оценило средний размер утечки в 2,45 млн записей. Таким образом, если каждому пострадавшему в одном инциденте выплатить всего 1 тыс. руб., то общая сумма составит 2,45 млрд руб. Страховому рынку крайне тяжело работать с такой убыточностью, а страхователям – застраховаться, признал собеседник «Профиля».

«По нашему мнению, в законе необходимо указать только ключевые требования, а все остальное наполнение страхового покрытия может регулироваться стандартом ВСС. Такая конструкция позволит оперативно подстраивать страховое покрытие под требования рынка, ведь цифровые технологии развиваются стремительно, а изменение законодательства требует длительного времени», – резюмировал Дмитрий Шишкин.

Генеральный директор страховой компании «Двадцать первый век» Сергей Беженков считает принятие закона о страховании киберрисков шагом к технологическому суверенитету и информационной безопасности государства. И для того чтобы инструмент эффективно работал, необходимо решить ряд вопросов, имеющих принципиальное значение. В частности, разобраться, будет ли покрываться страховкой фактический ущерб или следует производить выплаты по каждому случаю. Нужна также полная ясность, чью ответственность страховать – оператора персональных данных или компании, обрабатывающей эту информацию. Это необходимо, чтобы в равной степени защитить и интересы граждан, и интересы бизнеса, объясняет Беженков.

Руководитель страховой практики RNT Group (входит в группу «Рексофт») Никита Евсеенко привел в пример исследование группы компаний «Солар», согласно которому в 2023 году средний ущерб от одной утечки информации составляет 5,5 млн руб.

Бизнес при этом несет не только финансовые издержки, но и репутационные, теряет деловых партнеров и клиентов. Компании, устраняя последствия, увеличивают расходы на обновление ПО и переобучение сотрудников. Сейчас все расходы ложатся на организацию, допустившую утечку информации. После введения страхования киберрисков потери компенсирует страховая компания. В этом отношении выгода для всех очевидна, констатирует эксперт.

Страховщики помогут навести порядок в сфере информационной безопасности. Чтобы свести к минимуму убытки, они будут предъявлять высокие требования к уровню зрелости применяемых ИТ-решений. Например, проверять соответствие программно-аппаратного обеспечения определенному классу защиты, наличие сертификатов и аттестатов на ПО. «Это создаст определенные сложности и увеличит накладные расходы компаний, но в итоге они выиграют, поскольку надежно защитят свою ИТ-инфраструктуру. Чем выше уровень ИБ, тем выгоднее для них будут условия страхования», – резюмировал Евсеенко.