- 3 декабря, 2019
- 155
КИБЕРРИСКИ: БЫСТРЕЕ РЕАКЦИЯ МЕНЬШЕ УБЫТКИ
Страхование киберрисков является относительно новым продуктом и вызывает множество вопросов и интереса как в Европе и США, где уже наработана существенная практика урегулирования киберинцидентов, так и на российском страховом рынке.
Большая часть вопросов возникает в отношении принципов страхования киберрисков и методологии расчета убытков в результате перерыва деятельности (Business Interruption – BI). В этой статье мы поделимся нашим опытом и обсудим особенности убытков в этой сфере страхования.
ДОГОВОРЫ СТРАХОВАНИЯ КИБЕРРИСКОВ
Особенность рынка страхования киберрисков – это широкий спектр видов и условий покрытия. В основном договоры страхования киберрисков состоят из трех частей: страхование ответственности перед третьими лицами; расходы на восстановление – IT экспертизу, консультации по юридическим вопросам и вопросам влияния инцидента на репутацию страхователя и другие, а также потеря прибыли в результате киберинцидента.
Следует отметить, что на рынке отсутствует стандартное определение киберинцидента, но, как правило, подразумевается нарушение работы компьютерной системы в результате определенных факторов, указанных в договоре страхования. Такими факторами могут быть кибератака, технический сбой, ошибки в обслуживании компьютерных систем, виртуальное вымогательство и другие.
Рассмотрим особенности расчета убытка BI в страховании киберрисков.
РАСЧЕТ УБЫТКА BI
Общий принцип страхования BI – это вернуть страхователя в финансовое положение, в котором он был бы, если бы страховой случай не произошел, в соответствии с условиями договора страхования. За многие годы страхования имущества были отработаны различные методологии расчета BI и накоплен обширный опыт разрешения практических вопросов. Эта практика была заимствована в страховании киберрисков, и принципы расчета убытка BI остаются в целом неизменны.
Особенностью расчета киберубытка является оценка влияния инцидента на деятельность. Восстановление пострадавшего имущества может занимать месяцы и годы, в то время как влияние киберинцидента, как правило, измеряется часами и днями. Следовательно, необходимо, чтобы степень детализации данных соответствовала периоду влияния инцидента. Рассмотрим это на примере расчета убытка супермаркета. Восстановление сгоревшего супермаркета может занять более года. Для расчета обычно используются данные по месяцам с учетом сезонности продаж и тенденции роста. Однако, для расчета убытка 24-часового простоя супермаркета в результате киберинцидента такой подход не будет достаточно точен. Более целесообразно рассмотреть дневные данные и колебания уровня продаж в зависимости от дня недели.
В страховании расчет потери прибыли обычно основан на валовой прибыли или сумме чистой прибыли и постоянных расходов. В бухгалтерии размер валовой прибыли равен сумме чистой прибыли и постоянных расходов. Следовательно, обе методологии должны приводить к одному и тому же результату, но расхождения могут возникать из-за конкретных условий договора страхования.