Как помочь жертвам утечек?

На сегодняшний день не существует общепринятых подходов для оценки последствий утечки персональных данных. Генеральный директор ГК «Зетта Страхование» Игорь Фатьянов предлагает задуматься о создании специального фонда для выплаты компенсаций пострадавшим и внедрения системных мер по борьбе с мошенниками.

ССТ: В интернете уже есть огромное количество утекших персональных данных, мошенники похищают в сети миллиарды со счетов граждан, но судеб­ных дел в отношении виновников утечек практически нет. Нужно ли в такой ситуации киберстрахование, и возможно ли реально рассчитать убыток по этому риску?

Игорь Фатьянов: Действительно, есть штрафы за нарушения в работе с персональными данными, но они не являются естественной оценкой потерь — это мера наказания. А вот какой-то общепринятой нормы расчета потерь конкретных граждан в результате утечки инфор­мации до сих пор нет.

Дело в том, что утечка базы данных не приводит к прямой и однозначной потере средств у граждан. Мошенники через какое-то время могут восполь­зоваться этими данными, а могут и не воспользоваться. Дальше человек может попасться на удочку мошенни­ков, а может проявить бдительность и сохранить свое имущество. Утечка даже относительно небольшой в тех­ническом смысле базы может привести к потере миллиардов. Однако практика показывает, что большинство людей не понесут издержек.

Поэтому даже более-менее точной оценки компенсации просто за факт утечки данных пока не существует. Суды в принципе имеют определенные подходы по оценке ущерба личности от тех или иных действий, однако на утечки, связанные с персональными данными, они пока не распространя­ются. Скорее всего, это связано отча­сти с пробелами в законодательстве, отчасти с отсутствием правопримени­тельной практики.

ССТ: При этом из-за утечек данных страдают десятки тысяч людей, у ста­риков отбирают последние деньги. Законодательство ведь должно форми­роваться под задачи развития обще­ства. Как выходить из этой ситуации?

И. Ф.: Мы действительно не видим прямой связи между когда-то произо­шедшей утечкой персональных данных и действиями мошенников спустя полгода. То есть понятно, что они где-то эти данные получают, но в даль­нейшем конкретная утечка и конкрет­ные потери никак не связаны с точки зрения информации.

На мой взгляд, здесь необходимо сформировать определенный набор защитных мер. Общество должно финансировать системные действия по выработке мер безопасности. Ведь проводятся мероприятия по обучению правилам дорожного движения — точно так же нужны меры, которые защищали бы жертв утечек персональ­ной информации и компенсировали им ущерб.

Мы действительно не ви­дим прямой связи между когда-то произошедшей утечкой персональных данных и действиями мошенников спустя полгода.

ССТ: Какие инструменты могут быть для этого использованы?

И. Ф.: Например, могут создаваться специализированные фонды. Они должны финансироваться за счет тех, кто допустил утечку персональных данных. Это более эффективно, чем платить по 30 или 50 тыс. руб. всем, чьи данные утекли. В этом случае боль­шая часть денег просто разойдется среди тех, кто не испытал каких-либо негативных последствий. А вот действительно пострадавшие не получат адекватной компенсации, да и дополнительные меры безопасности не бу­дут профинансированы. Таким образом, создание фонда — это более эффективный механизм, чем просто штрафовать компании.

Из таких защитных фондов можно будет оплачивать работу специальных телефонных фильтров, которые помо­гут защищать граждан от мошенников, а также напрямую компенсировать потерю денег пострадавшим.

ССТ: Как должна работать такая модель?

И. Ф.: Допустим, из банка утекли данные о тысяче человек. Он пере­числяет в специализированный фонд взнос в размере, пропорциональном объему этой утечки, условно, за тысячу человек — 10 млн руб. И фонд на эти деньги занимается обучением граж­дан правилам финансовой безопас­ности, платит Касперскому, чтобы он защищал телефоны, а также произ­водит выплаты людям, пострадавшим от мошенников.

Расчет примерно такой.

Штраф за каждую утекшую запись составляет около 1 тыс. руб., взносы за 10 млн записей сформируют фонд на 10 млрд руб. Если у нас будет примерно 100 тыс. человек, которые из-за утечки информации потеряли по 100 тыс. руб., то общая сумма ущерба составит те же 10 млрд руб. в год.

ССТ: Это должен быть государственный фонд или он может быть страховым?

И. Ф.: Здесь нет противоречия. Меха­низм, который пополняет фонд, в прин­ципе, конечно, страховой. Но этот фонд может быть и государственным.

Кроме ущерба для граждан, утечка сама по себе несет много рисков для бизнеса. Полис позволяет компенси­ровать ущерб, но задача мер безопас­ности — это снижение вероятности утечки. Страховой полис покрывает те риски, которые остались уже после применения мер безопасности.

Техническими средствами можно существенно снизить вероятность наступления страхового случая, но не сделать ее нулевой. Этот оста­ток вероятности потери и закрывает страховой полис. Очевидно, что если не применять технические средства защиты в принципе, вероятность становится настолько большой, что стоимость полиса превышает разум­ные пределы. В этом случае она будет сравнима с лимитом ответственности.

Напротив, применяя меры, компания последовательно снижает вероятность утечки. После того, как будет достигнут какой-то разумный уровень, остав­шиеся проценты вероятности можно закрыть полисом. Потому что каким бы малым ни был процент вероятности, если риск все-таки наступит, ущерб для компании может быть непереносимым.

ССТ: От каких убытков можно застрахо­ваться, оформив страхование киберри­сков?

И. Ф.: Комплексный полис киберстра­хования компенсирует самые разные виды потерь: расходы, связанные с восстановлением ИТ-инфраструк­туры и устранением вредоносного кода, компенсация ущерба от простоя бизнеса, расходов на восстановление потерянных данных, на уведомление пострадавших и др.

Каким бы малым ни был процент вероятности, если риск все-таки наступит, ущерб для компании может быть непереносимым

Расходы на экспертизу и расследова­ние также могут быть достаточно суще­ственными. Кто нанимал специалистов по информационной безопасности, зна­ет, что их работа стоит очень недешево, и длиться она может месяцами.

В принципе, это основные лимиты, которые у нас покрываются полисом.

ССТ: На какие объемы можно заклю­чить договор?

И. Ф.: Сегодня предлагаются ли­миты от 100 до 500 млн руб., самый распространенный — 100−200 млн. Лимит может быть увеличен, но при наличии разумной политики защиты информации восстановление данных вряд ли обойдется дороже. Работа экспертов и специалистов будет стоить от 10 до 30 млн руб.

То есть, этот лимит покрывает простой бизнеса в течение разум­ного периода времени. Допустим, норма прибыли составляет порядка 100 млн руб. в день для некрупного предприятия. Подчеркну, это потери, связанные с одним инцидентом.

ССТ: Что может рассматриваться как причина страхового случая? От каких рисков можно застраховаться?

И. Ф.: Может быть застрахована ошиб­ка при обновлении IT-систем. Здесь мы можем исходить даже из более широкого списка причин сбоя, так как конкретную причину порой не удается установить. Отдельно в полис может быть включен риск DDoS-атаки — это хакерские атаки на вычислительную систему с целью довести ее до отказа, когда система забивается фальшивыми запросами и просто не может работать. Также страхуется потеря доступа к дан­ным, несмотря на то, что они остаются в наличии.

Все эти риски могут быть достаточно эффективно покрыты в соответствии с нашими программами, которые соот­ветствуют лучшим мировым практи­кам международных компаний.

ССТ: Как при оценке риска учитывает­ся влияние человеческого фактора?

И. Ф.: Человеческий фактор — это вообще главное. Прежде всего, мы оцениваем процедуры управления на конкретном предприятии. Грубо говоря, смотрим, проверяет ли служба безопасности сотрудников при найме, уточняем, как часто проводится вну­тренний аудит, насколько тщательно разработана специальная норматив­ная база. Иными словами, оцениваем зрелость процессов информационной безопасности на предприятии страхо­вателя.

ССТ: Насколько страхование кибер­рисков в принципе востребовано? Что нужно сделать, чтобы оно активно развивалось, как развивается само киберпространство?

И. Ф.: Страхование в этой сфере очень сильно завязано на инфраструктуру и развитие законодательства. Прежде всего, я имею в виду требования зако­нодательства в части защиты персо­нальных данных. Меры, применяемые на практике для возмещения ущерба, уровень доходов и воз­можности предприятий по оплате страховых услуг — это, конечно, тоже важные факторы. Не последнее значение имеет развитие продукта на стороне страхов­щиков. Сейчас рынок по этому направлению достаточно быстро и хо­рошо развивается.

Человеческий фактор — это вообще главное. Мы оцениваем процеду­ры управления на кон­кретном предприятии. Грубо говоря, смотрим, проверяет ли служба безопасности сотрудни­ков при найме.

В целом, основных предпосылок для развития киберстрахования сегодня две. С одной стороны, экспозиция компаний, то есть их подверженность этому риску растет в связи с тем, что ИТ-технологии все больше прони­кают в каждую отрасль. С другой стороны, активно развивается зако­нодательство, регулирующее защиту персональных данных. Конечно, пока не каждый бизнес может себе позво­лить страховой полис от киберрисков, но число наших клиентов растет достаточно уверенно.