ЕДИНЫЙ ЯЗЫК КИБЕРСТРАХОВАНИЯ

От осознания реальности киберугроз бизнес постепенно приходит к внедрению практических инструментов защиты. Развития киберстрахования можно ожидать в течение ближайших трех лет, считает директор по рискам СберСтрахования, председатель рабочей группы по страхованию информационных рисков (киберрисков) при Комитете ВСС по имущественному страхованию юридических лиц Владимир Новиков.

ССТ: Все говорят о возрастании киберугроз, но киберстрахование не очень популярно. Что мешает его развитию?

Владимир Новиков: В моем понимании, идет естественный процесс адаптации общества, регуляторов, власти и бизнеса к мысли о том, что киберугрозы — это реальность. Идея, что всегда можно постро­ить систему защиты от любой киберугрозы, оказалась небезупречной. Атаки, причем весьма болезненные, случаются даже при мощных системах защиты. Требуются дополнительные инструменты для компен­сации финансовых потерь из-за реализа­ции киберрисков. Одним из них является страхование. Не только железная дверь защищает квартиру от убытка в результате ограбления, но и страховой полис.

Интересно, что сейчас эта проблематика называется даже не кибербезопасностью, а киберсуверенитетом. То есть на повестке дня — не только средства защиты как некая техническая тема, но и система безопасно­сти страны, общества, отдельной личности.

В конце марта на площадке Совета Федерации прошло заседание с участием рабочих групп по кибербезопасности из самых разных структур, в том числе ВСС. По его результатам можно сделать вывод, что страхование — это действительно часть общего подхода.

ССТ: Риск потерь есть при любом соче­тании инструментов защиты?

В. Н.: Любые меры защиты всегда имеют остаточный риск, потери от реализации которого нужно компенсировать. Страхова­ние — достаточно эффективный инструмент для финансирования таких компенсаций.

80 % резолюций по итогам встречи рабочих групп были связаны с тем, что сейчас нужно не просто продекларировать, но на практике повысить ответственность за защиту критической инфраструктуры. Если вспомнить ситуацию в преддверии принятия закона об ОСАГО, то очевидно: когда начинается усиление мер контроля, значит, скоро будет реализация этого кон­троля через страхование. Сигнал есть!

ССТ: Сложно ли страховщикам рассчи­тать вероятность наступления киберри­сков?

В. Н.: Да, это сложно. Рабочая группа в ВСС работает порядка пяти лет. К сожа­лению, активных участников — всего около 15 компаний. А страховщиков, имеющих хоть какой-то опыт киберстрахования, не больше шести! Получается, профес­сиональное сообщество не спешит пока осваивать это интересное и перспективное направление.

Возможно, здесь проблема курицы и яйца: чтобы просчитать риски, нужно их иметь в большом количестве в портфеле, но что­бы иметь риски в портфеле, нужно уметь их просчитывать.

Многие полисы имущественного страхования от пожара не сработают, если будет доказано, что он возник не в результате нарушения проводки, а от того, что хакер проник в систему управления и разогрел какой-нибудь котел до недопустимых режимов работы. Если к пожару привел киберинцидент, то это уже не страхование имущества, а страхование киберрисков.

ССТ: Что же делать?

В. Н.: Как всегда — рисковать. Компа­нии, в которых есть запас по капиталу, могут стать первыми. Но не нужно питать иллюзий, что у кого-то в мире есть богатый экспертный опыт в этом направлении.

Сейчас ни одна страховая компания не может себе позволить собствен­ных экспертов по оценке кибер­рисков. Пока это экономиче­ски нецелесообразно, все страховщики пользуются аутсорсингом.

Если договор заклю­чается с большим клиентом, для кибе­раудита приглаша­ются профильные компании-лидеры. На основании инженерного осмотра предприятия мож­но сделать экономическую оценку страхования. На более мелких объектах оценка происходит на основе статистики.

ССТ: Какие риски приносят наибольшие убытки?

В. Н.: Самые чувствительные риски для предприятий — это перерывы в про­изводстве и затраты на восстановление IT-инфраструктуры. Для многих компа­ний критической является потеря данных.

Если электронные носители уничтожены в результате атаки, приходится восстанав­ливать информацию с бумажных носите­лей. Соответственно, возникают расходы на персонал, оборудование, арендованные площади.

Возможны самые разные сценарии убыт­ков, но пока все они не застрахованы. Клиенты у нас только начали осоз­навать: сколько ни вкладывай в кибербезопасность, все рав­но она может быть проби­той. Страховые компании, в свою очередь, начали точечно изучать возмож­ность страхования кибер­рисков. Поскольку потока клиентов нет, получается, что и страховая кампания не может однозначно сделать вывод о целесообразности развития этого направления.

ССТ: Какие задачи ставит перед собой ваша рабочая группа в ВСС?

В. Н.: Мы разработали концепцию по страхованию киберрисков. Эта попытка создать некие рекомендации заняла очень много времени. Документ в несколько страниц создавался более года. Но он стал базисом для того, чтобы страховщики мог­ли разговаривать на одном языке.

Мы пришли к решению, что ключевым ядром должно стать понятие киберинци­дента. Это явление, связанное с нарушени­ем нормального существования IT-систем и управления ими. Чтобы вывести из строя доменную печь, не обязательно ее разру­шать внешне — достаточно проникнуть в систему управления.

ССТ: Помогает ли рабочей группе ВСС опыт СберСтрахования в области кибер­рисков?

В. Н.: Безусловно, мы в ВСС опираемся на практический опыт нашей компании. Для больших клиентов СберСтрахование делает «индивидуальный пошив» с нашими партнерами. При таком подходе использу­ются методы белого хакинга. Этот подход полезен, помимо оценки для киберстрахо­вания, самому клиенту: он увидит, насколь­ко реально защищена его IT-система, будет знать все уязвимости.

Для массового сегмента мы предлагаем ко­робочное решение: защиту от киберрисков с ограниченной страховой суммой.

ССТ: К каким видам страхования отно­сится страхование киберрисков?

В. Н.: Часть рисков, связанную с полом­ками информационной системы, можно отнести к имущественным рискам. Но большинство рисков связано с ответствен­ностью либо с финансовыми рисками. К сожалению, ни тот, ни другой вид пред­приятию нельзя относить на себестоимость. Это одна из проблем, которые ограничи­вают развитие киберстрахования. Сегодня оно доступно только тем клиентам, которые готовы выделять достаточно серьезные средства на страхование из чистой прибы­ли. Эту задачу мы тоже решаем в рамках ра­бочей группы: ВСС внес наши предложения в реестр общих предложений по внесению изменений в Налоговый кодекс, чтобы все виды страхования, направленные на сохра­нение активов предприятия, финансирова­лись из себестоимости.

ОСНОВНЫЕ РИСКИ, ПОКРЫВАЕМЫЕ ПРОДУКТАМИ ПО СТРАХОВАНИЮ КИБЕРРИСКОВ ДЛЯ МАЛЫХ ПРЕДПРИЯТИЙ

1. Затраты на восстановление информационных систем и данных
2. Расходы на расследование и поиск уязвимостей
3. Перерыв в производстве, вызванный киберриском
4. Гражданская ответственность за ущерб третьим лицам
5. Потеря финансовых ресурсов (незаконное списание денежных средств). Этот риск включен в покрытие, но с лимитами и ограничениями.

ССТ: Есть надежда на изменение ситу­ации?

В. Н.: Да, наша рабочая группа решила идти дальше, к созданию методологической базы. Сейчас у нас есть концепция, описы­вающая, какие риски от чего страхуются. Есть инструмент для андеррайтера по оцен­ке риска. Мы также хотим разработать типовую анкету-опросник, которую должно будет заполнять предприятие, чтобы эксперты смогли оценить его киберриски. Так, шаг за шагом, мы дополним этот вид страхования соответствующими методиче­скими инструментами.

Еще одним важным направлением остается популяризация данного вида страхования.

На каждой конференции, на любой площад­ке ВСС старается продвигать киберстра­хование. Оно не противоречит и не про­тивопоставляется киберзащите. Роль страхования — компенсировать потери, которые нельзя обеспечить киберзащитой.

Нам предстоит долгий эволюционный путь. Я очень надеюсь, что киберстрахова­ние не разделит судьбу других видов стра­хования, для внедрения которых потребо­вались масштабные убытки.

ССТ: Каковы Ваши прогнозы?

В. Н.: Думаю, что в течение ближайших трех лет ситуация будет улучшаться. Сейчас страховая премия по всему рынку состав­ляет всего несколько сотен миллионов рублей. Через 2–3 года мы должны полу­чить долю в несколько процентов от объема страхования имущества юридических лиц.