СКОРОСТЬ СЕГОДНЯ ВАЖНЕЕ

Президент ВСС Евгений Уфимцев, понимая всю сложность и широту проблемы, уверен, что вмененное страхование киберрисков нужно запускать как можно скорее: количество киберугроз нарастает, и у граждан должна быть финансовая защита от них. При этом глава Страхового союза допускает, что на первом этапе такое страхование может носить ограниченный характер.

ССТ: Видят ли страховщики перспекти­ву в создании направления страхования киберрисков, и насколько они готовы предложить бизнесу свою защиту?

Евгений Уфимцев: Мы не то, что гото­вы, мы уже запаздываем! На февральской конференции по кибербезопасности в Ека­теринбурге я слушал много выступлений коллег из банков, которые рассказывали о том, как много они делают для обеспече­ния своей информационной безопасности. У меня возникла такая ассоциация: все их усилия по обеспечению информационной безопасности напоминают шикарный ав­томобиль, у которого все больше и больше мощность, но при этом вред, который мо­жет нанести этот автомобиль кому-то дру­гому, не застрахован.

ССТ: Сейчас страховщики заключают договоры киберстрахования на добро­вольной основе. Как вы относитесь к идее вмененного страхования?

Е. У.: В 2023 году собрано примерно 900 млн руб. премии по этому направлению деятельности. Круг компаний — страхов­щиков киберрисков пока ограничен. Но мы считаем, что потенциал этого рынка и задачи, которые могут решать страхов­щики, действительно большие.

IT-индустрия в нашей стране находится на очень хорошем мировом уровне, при этом в каких-то аспектах она его даже обгоняет. Поэтому защита от негативных последствий инновационных решений, защита граждан обязательно должна быть. Нужно начинать эту работу, и мы готовы ее поддерживать.

В ВСС создана специальная рабочая группа. Мы знаем об инициативе Совета Федерации по законопроекту о вмененном страховании киберугроз, и мы будем актив­но участвовать в его обсуждении. Считаю, что нужно начать внедрять такое стра­хование и не бояться того, что мы сразу не закроем все риски.

ССТ: Почему Вы считаете, что сейчас важнее скорость принятия решения?

Е. У.: Возьмем ОСАГО, которому уже 20 лет. Здесь до сих пор лимит — 400 тыс. руб. Может показаться, что его нужно поднимать, ведь машины стоят уже несколько миллионов рублей. Но даже сейчас свыше 99 % потерпевших получают выплаты, укладывающиеся в действующий лимит.

На мой взгляд, можно запускать закон, в котором на первом этапе его становления будут установленные лимиты, которые определят, в рамках каких сумм или какого предела человек может получить компен­сацию. Кроме того, возможно, человек сам, в добровольном порядке, сможет приобрести полис на больший лимит, если он этого хочет. Но в рамках ответственно­сти какого-то юридического лица, банка, предприятия, организации должны быть определены лимиты, которые позволяли бы страховщику правильно прогнозировать риски, а людям получать определенную компенсацию.

ССТ: Как можно зафиксировать, что страховой случай произошел и можно получить выплату?

Е. У.: Что касается фиксации убытков, точно такой же пример есть в страхова­нии ответственности владельцев опасных объектов. Есть утвержденные таблицы, где рассчитывается компенсация в зависимо­сти от тяжести травмы. Человек получает определенный процент от максимального лимита. Например, перелом пальца — вы­плачивается 5 % от страховой суммы.

Для страхования киберрисков можно разработать механизмы градации полу­чения страховой выплаты в случае утеч­ки персональных данных в зависимости от степени их тяжести. Если утекли данные просто с номером телефона — это один случай, один лимит, одна страховая сумма. Если утекли более чувствительные данные (банковские реквизиты, медицинские дан­ные), то здесь выплата может быть более высокая.

Страховое сообщество готово обсуждать все подходы. Мы считаем, что к этому нужно подходить организованно и систем­но. На первом этапе начальными лимитами мы сможем просто ограничивать степень влияния риска. Нельзя допустить, чтобы рынок стал неуправляемый. Нужно сделать так, чтобы страховщики реально страхо­вали, а люди почувствовали, что у них есть защита.

ССТ: Если установлен факт утечки данных, но никто из клиентов финансово пока не пострадал, то могут ли они рас­считывать на страховые выплаты?

Е. У.: На мой взгляд, есть два механиз­ма, которые могут быть предложены для организации выплат. Один механизм — списочный, по которому пострадавшими будут считаться все, независимо от того, доказаны их финансовые потери или нет, просто по факту утечки данных при наличии соответствующего заключения госорганов, например, Роскомнадзора. Тогда по таблице выплат все клиенты орга­низации, чьи данные подверглись риску, получают страховую выплату. Второй вариант — когда существует конкрет­ное подтверждение размера понесенных финансовых потерь. Такое тоже возможно, но я считаю, что нужно начинать с перво­го варианта.

ССТ: Утечка данных может быть из-за внешнего воздействия, а может быть из-за действий сотрудников самой компании. Важна ли для фиксации стра­хового случая причина?

Е. У.: Закон должен описывать не толь­ко права страхователя и его клиентов, но и обязанности, и требования со сто­роны страховой компании по обеспече­нию сохранности данных. У страховщика должна быть обязанность и возможность разбираться, кто виновник происшествия, а после страховой выплаты применить к нему регрессное требование.

ССТ: Какие факторы повлияют на раз­витие рынка кибер-страхования?

Е. У.: Сейчас у руководителей предприятий нет ответственности за утечку данных. Те случаи утечки, которые были зафиксирова­ны, приводили к символическим штрафам. Причин задуматься и начать страховать ответственность перед клиентами за утечку персональных данных, к сожалению, нет. Все изменится, когда будет возможность предъявить претензии к руководителю орга­низации за утечку данных.

Я считаю, что законодательная инициатива по вмененному киберстрахованию очень правильная. Вы можете выбрать, из какого источника будут компенсированы потери граждан. Например, это может быть страхо­вание. Но пока не будет реальной ответствен­ности, рынок активно развиваться не будет.

Также наличие договора страхования станет смягчающим обстоятельством, когда комиссия будет рассматривать, все ли сделал руководитель в рамках обеспечения информационной безопасности, в рамках компенсации убытков пострадавшим. Было ли сделано максимум возможного?

ССТ: Должны ли страховщики оцени­вать риски защищенности информации на предприятии перед заключением дого­вора страхования?

Е. У.: Страховщики должны и могут быть экспертами, чтобы предприятие не опира­лось только на свою внутреннюю эксперти­зу. Для целей страхования, для правильной тарификации операторам персональных данных нужно будет открывать и пока­зывать свои информационные системы. И страховщик будет дополнительно подтверждать уровень информационной защищенности предприятия.

Кроме того, страховщик может исполнять функцию информирования, в том числе Банка России о том, что в той или иной ор­ганизации чрезмерно высокие риски. Экс­пертная составляющая от страховщиков — это профилактика наступления страхового случая. Это тоже очень важный фактор для укрепления дисциплины всех участников страховых бизнес-отношений.

Часто при оценке целесообразности принятия закона о страховании киберугроз речь идет именно о крупных компаниях. Но здесь уже есть развилка. Банки контролируются Банком России, выполняют многочисленные требования регулятора, и в связи с этим являются весьма продвинутыми организациями в части кибербезопасности. А рядом работают строительные организации с оборотами больше любого среднего банка. Утечка данных там будет очень чувствительной, ведь застройщики хранят все персональные данные, все банковские реквизиты.

ССТ: Эксперты, обсуждая страхование киберрисков, чаще всего говорят про крупные предприятия и банки. А какие предприятия на самом деле наиболее уязвимы?

Е. У.: Да, очень часто при оценке целесоо­бразности принятия закона о страховании киберугроз речь идет именно о крупных компаниях. Но здесь уже есть развилка. Банки контролируются Банком России, выполняют многочисленные требования регулятора, и в связи с этим являются весь­ма продвинутыми организациями в части кибербезопасности. А рядом работают строительные организации с оборотами больше любого среднего банка. Утечка данных там будет очень чувствительной, ведь застройщики хранят все персональ­ные данные, все банковские реквизиты. Но требований к ним с точки зрения информа­ционной безопасности близко нет.

Или возьмем больницу. Там также работают с большим количеством чув­ствительных данных, связанных с жизнью и здоровьем человека. Мне кажется, можно сделать большую ошибку, если мы будем моделировать рынок страхования кибер­рисков на очень хорошо отрегулированном банковском сегменте. Потребности в обе­спечении информационной безопасности, модели формирования киберугроз гораздо более широкие. Они затрагива­ют самые разные сферы экономики.

По банкам и другим «продвинутым» орга­низациям будет другая оценка риска. Будут дру­гие риски именно потому, что они очень хорошо отрегулированы. Но после них есть еще 2–3 уровня разных органи­заций, которые обраба­тывают очень важные персональные данные, где очень критичны утеч­ки. Нет такого мегарегулятора, который жестко регулировал бы строителей, другие предприятия, и вводил жесткие требования по информационной безопасности. Да, есть Роскомнадзор и Минцифры, что-то в этом плане рекомендующие. Но не более того.

Поэтому мы понимаем, насколько нужен закон о страховании киберрисков именно через страхование ответственности. Он ну­жен не только для банков, но и для других участников, которые используют персо­нальные данные. Это — главное и правиль­ное направление.