- 3 марта, 2024
- 104
КИБЕРСТРАХОВАНИЕ: НА РАЗВИЛКЕ
Пока направление развития рынка киберстрахования не определено до конца, но страховщики уже хорошо понимают, какие факторы необходимо учитывать, чтобы принимать на страхование крупные лимиты ответственности. Генеральный директор АО «Национальная страховая информационная система» Николай Галушин ответил на вопросы об особенностях страхования киберрисков с точки зрения страховщиков и их клиентов.
ССТ: Как может выглядеть страховое покрытие в страховании киберрисков?
Николай Галушин: Страхование построено на принципе выявления рисков и предоставлении в той или иной форме защиты от них. В случае с киберрисками речь идет об уязвимости бизнеса, возможности минимизировать последствия и об источнике средств для устранения последствий наступления страхового события.
Киберстрахование отвечает за защиту от вторжения в информационные ресурсы компании. А поскольку сейчас практически любой бизнес построен вокруг ИТ, то фактически это вторжение в основной бизнес любой компании. И любой бизнес можно и нужно страховать от киберрисков — и завод по обогащению урана, и банк, и маркетплейс, и гостиничный бизнес, и магазин стройматериалов.
Объекты страхования для каждого случая разные, а вот само событие одинаковое — это реализация сценария, при котором защита не сработала, а киберзлоумышленники смогли навредить бизнесу в той или иной степени: от полной остановки и длительного простоя бизнеса до вывода средств со счетов, от нанесения репутационного ущерба до дискредитации данных и т. д.
ССТ: Что могут защищать страхователи?
Н. Г.: Для одних бизнесов это производственное оборудование, которое может быть выведено из строя путем кибератак, и необходимость его восстановления. Для других –финансовые убытки от перерыва в деятельности из-за срыва контрактов и невозможности исполнения обязательств. Для третьих — финансовые потери из-за списания денег со счетов через уязвимости в системе проведения платежей. Еще для кого-то — раскрытие информации о клиентах и иски со стороны третьих лиц. А порой это все сразу.
Об этом стараются не говорить очень громко, потому что факт наступления любого события свидетельствует о наличии уязвимостей, о том, что система информационной безопасности не сработала.
ССТ: Кто может выступать экспертом по признанию случая страховым?
Н. Г.: Ресурсов на стороне страховых и сюрвейерских компаний достаточно. Убытки по киберстрахованию непростые, небыстрые, но в случае адекватного страхования они будут рассчитаны и компенсированы. Сложностей не так много: если гибнет оборудование, то есть стоимость его восстановления, если наступает перерыв в производстве, то и такие убытки считаются довольно легко.
Хуже обстоит дело с персональными данными. Во-первых, эти убытки могут тянуться много лет, ведь необязательно, что злоумышленники воспользуются украденными данными сразу. А во-вторых, сам факт утечки информации не означает, что ее владельцу нанесен ущерб. Или вред может быть минимальный — скорее, дискомфорт. Допустим, ваш телефон или почта окажутся в базе данных какой-то компании, которая начнет засыпать вас коммерческими предложениями. Но если вашими персональными данными воспользуются в более изощренном виде, например, кто-то начнет совершать финансовые действия от вашего имени — тогда будет идти речь и о финансовом ущербе, и о компенсации судебных расходов, и о моральном вреде и т. д.
Такие решения может принимать только суд. А это долго, дорого, с дополнительным раскрытием информации, обсуждением подробностей и т. д. И это, в частности, является одним из стоп-факторов развития киберстрахования: на момент заключения договора страхования нужно предоставить много чувствительной информации о том, как организована ваша информационная безопасность, а в случае убытка — раскрыть еще и все детали расчета ущерба.
ССТ: Можно ли рассматривать утечку личных данных как страховой случай, особенно если человек пострадал, а откуда данные утекли, неизвестно?
Н. Г.: Считаю, что нет. Утечка персональных данных — это возможный триггер наступления убытка в будущем, но сам факт утечки не является страховым случаем, ведь ущерб вам никакой в этот момент не нанесен. Разве что моральный вред, но размер такого ущерба спорный.
Также не могут являться предметом страхования штрафы за утечку информации. Штрафы в нашей стране вообще идут в доход государства.
ССТ: Может ли киберстрахование развиваться как добровольный вид или нужно обязательно вмененное?
Н. Г.: Я отвечу примером: в США не было обязательного страхования, но, тем не менее, это крупнейший рынок по киберстрахованию. Там все финансовые институты обязаны декларировать свои угрозы, и весь менеджмент несет ответственность за утечку данных. Как только бизнес осознал, что ему могут быть предъявлены многомиллионные иски — пришло понимание, что эти убытки можно защитить страхованием.
С другой стороны, введение какого-то вида страхования нормативным актом — это сразу создание рынка. Это почти одномоментно большое число договоров, на котором можно строить математическую модель, оценивать риски, исключения, получать опыт судебной практики.
ССТ: Страховой продукт по страхованию киберрисков — это некий новый продукт или набор нескольких продуктов?
Н. Г.: Здесь не может быть стандартов или «коробок», поскольку каждый бизнес уникален по характеру своей деятельности и возможным последствиям наступления страхового события в результате киберпреступления. Хотя, конечно, для малого и микробизнеса могут быть предложены типовые решения с небольшими суммами в расчете на массовые продажи.
ССТ: Требуется ли проведение экспертизы уровня безопасности клиента перед заключением договора страхования? Кто должен за нее платить, и как контролировать исполнение требований безопасности в течение действия договора страхования?
Н. Г.: Если суммы небольшие, скажем, до 1 млн руб., то достаточно предоставить страховщику общую информацию о том, каким образом осуществляется защита от угроз. Если речь идет о сложно структурированных страховых программах по киберстрахованию, то должна быть и экспертиза, и детальное согласование комплекса мероприятий по минимизации последствий реализации неблагоприятных сценариев, и выработка подходов к оценке ущерба. Также добавляется согласование текста договора страхования, стоимости страхования и поиска решения по перестрахованию в нынешних условиях, ограничивающих размещение рисков в перестрахование.
На этом фоне вопрос о том, кто должен платить за экспертизу, просто теряется. Платить должен страхователь — или за саму экспертизу, или за ее стоимость, которая будет включена в цену договора страхования.
Контролировать рекомендации и требования достаточно просто: при убытке страховщик (его сюрвейер, лосс-аджастер) потребуют подтверждения того, что все выданные рекомендации или требования были реализованы на стороне страхователя.
КИБЕРСТРАХОВАНИЕ — это защита от любого внешнего или внутреннего (действия самого сотрудника организации), умышленного или неумышленного (в результате социальной инженерии) воздействия на информационные ресурсы организации (серверы, инфраструктура, сайт, электронная почта, базы данных и т. д.) с целью нанесения прямого или косвенного ущерба ее деятельности.
СТРАХОВОЙ СЛУЧАЙ в страховании киберрисков — это факт нанесения ущерба компании в результате реализации любого из сценариев, связанных с инцидентом информационной безопасности.
ССТ: На какие еще факторы нужно обратить особое внимание, чтобы рынок киберстрахования эффективно развивался?
Н. Г.: Ни для кого не секрет, что у многих наших граждан персональные данные уже дискредитированы. Интернет о нас уже очень много знает. Возникает вопрос, как доказать, что информация была дискредитирована в конкретной организации.
Следующий факт: никогда киберстрахование не будет отменять кибербезопасность. Это две параллельные вселенные. Более того, по мере развития киберстрахования требования к информационной безопасности будут только расти, потому что, с позиции страховщика, страхователь должен максимально снижать свои риски.
И тут третий вопрос: где мерило того, что я, как владелец этого риска, предпринял достаточно мер, чтобы данные не утекли? При этом есть масса поставщиков программного обеспечения. И что делать, если мы, как держатели риска, предприняли все действия для обеспечения безопасности наших данных, но была ошибка в программном коде у наших поставщиков? А если не сработал антивирус?
Также надо учитывать, что страхование ответственности — это самые долгоиграющие убытки: событие могло возникнуть вчера, а злоумышленное действие с использованием данных может случиться через три года. Как доказать, что это одна череда событий?
К тому же, киберриски — это не только утечка данных. Например, в результате хакерской атаки остановилась деятельность финансовой организации, и ее клиенты в течение суток не могут воспользоваться своими счетами, провести сделку, своевременно погасить кредит и т. п.
Получается, есть множество факторов, которые будут влиять на аппетит к риску, на ценообразование, на готовность принимать на страхование какие-то крупные лимиты ответственности.