КИБЕРСТРАХОВАНИЕ: НА РАЗВИЛКЕ

Пока направление развития рынка киберстрахования не определено до конца, но страховщики уже хорошо понимают, какие факторы необходимо учитывать, чтобы принимать на страхование крупные лимиты ответственности. Генеральный директор АО «Национальная страховая информационная система» Николай Галушин ответил на вопросы об особенностях страхования киберрисков с точки зрения страховщиков и их клиентов.

ССТ: Как может выглядеть страховое покрытие в страховании киберрисков?

Николай Галушин: Страхование по­строено на принципе выявления рисков и предоставлении в той или иной форме за­щиты от них. В случае с киберрисками речь идет об уязвимости бизнеса, возможности минимизировать последствия и об источ­нике средств для устранения последствий наступления страхового события.

Киберстрахование отвечает за защиту от вторжения в информационные ресурсы  компании. А поскольку сейчас практи­чески любой бизнес построен вокруг ИТ, то фактически это вторжение в основной бизнес любой компании. И любой бизнес можно и нужно страховать от киберри­сков — и завод по обогащению урана, и банк, и маркетплейс, и гостиничный бизнес, и магазин стройматериалов.

Объекты страхования для каждого случая разные, а вот само событие одинаковое — это реализация сценария, при котором защита не сработала, а киберзлоумыш­ленники смогли навредить бизнесу в той или иной степени: от полной остановки и длительного простоя бизнеса до вывода средств со счетов, от нанесения репутаци­онного ущерба до дискредитации данных и т. д.

ССТ: Что могут защищать страхователи?

Н. Г.: Для одних бизнесов это производ­ственное оборудование, которое может быть выведено из строя путем кибера­так, и необходимость его восстановле­ния. Для других –финансовые убытки от перерыва в деятельности из-за срыва контрактов и невозможности исполнения обязательств. Для третьих — финансовые потери из-за списания денег со счетов через уязвимости в системе проведения платежей. Еще для кого-то — раскрытие информации о клиентах и иски со сторо­ны третьих лиц. А порой это все сразу.

Об этом стараются не говорить очень громко, потому что факт наступления лю­бого события свидетельствует о наличии уязвимостей, о том, что система информа­ционной безопасности не сработала.

ССТ: Кто может выступать экспертом по признанию случая страховым?

Н. Г.: Ресурсов на стороне страховых и сюрвейерских компаний достаточно. Убытки по киберстрахованию непростые, небыстрые, но в случае адекватного стра­хования они будут рассчитаны и компен­сированы. Сложностей не так много: если гибнет оборудование, то есть стоимость его восстановления, если наступает перерыв в производстве, то и такие убытки счита­ются довольно легко.

Хуже обстоит дело с персональными данными. Во-первых, эти убытки могут тянуться много лет, ведь необязательно, что злоумышленники воспользуются укра­денными данными сразу. А во-вторых, сам факт утечки информации не означает, что ее владельцу нанесен ущерб. Или вред мо­жет быть минимальный — скорее, диском­форт. Допустим, ваш телефон или почта окажутся в базе данных какой-то компа­нии, которая начнет засыпать вас коммер­ческими предложениями. Но если вашими персональными данными воспользуются в более изощренном виде, например, кто-то начнет совершать финансовые дей­ствия от вашего имени — тогда будет идти речь и о финансовом ущербе, и о компен­сации судебных расходов, и о моральном вреде и т. д.

Такие решения может принимать только суд. А это долго, дорого, с дополнительным раскрытием информации, обсуждением подробностей и т. д. И это, в частности, является одним из стоп-факторов развития киберстрахования: на момент заключения договора страхования нужно предоставить много чувствительной информации о том, как организована ваша информационная безопасность, а в случае убытка — рас­крыть еще и все детали расчета ущерба.

ССТ: Можно ли рассматривать утечку личных данных как страховой случай, особенно если человек пострадал, а отку­да данные утекли, неизвестно?

Н. Г.: Считаю, что нет. Утечка персональ­ных данных — это возможный триггер наступления убытка в будущем, но сам факт утечки не является страховым случа­ем, ведь ущерб вам никакой в этот момент не нанесен. Разве что моральный вред, но размер такого ущерба спорный.

Также не могут являться предметом страхования штрафы за утечку информа­ции. Штрафы в нашей стране вообще идут в доход государства.

ССТ: Может ли киберстрахование развиваться как добровольный вид или нужно обязательно вмененное?

Н. Г.: Я отвечу примером: в США не было обязательного страхования, но, тем не ме­нее, это крупнейший рынок по киберстра­хованию. Там все финансовые институты обязаны декларировать свои угрозы, и весь менеджмент несет ответственность за утеч­ку данных. Как только бизнес осознал, что ему могут быть предъявлены многомилли­онные иски — пришло понимание, что эти убытки можно защитить страхованием.

С другой стороны, введение како­го-то вида страхования нормативным ак­том — это сразу создание рынка. Это почти одномоментно большое число договоров, на котором можно строить математиче­скую модель, оценивать риски, исключения, получать опыт судебной практики.

ССТ: Страховой продукт по страхованию киберрисков — это некий новый продукт или набор нескольких продуктов?

Н. Г.: Здесь не может быть стандартов или «коробок», поскольку каждый бизнес уникален по характеру своей деятельности и возможным последствиям наступления страхового события в результате кибер­преступления. Хотя, конечно, для малого и микробизнеса могут быть предложены типовые решения с небольшими суммами в расчете на массовые продажи.

ССТ: Требуется ли проведение экспер­тизы уровня безопасности клиента перед заключением договора страхования? Кто должен за нее платить, и как контролиро­вать исполнение требований безопасно­сти в течение действия договора страхо­вания?

Н. Г.: Если суммы небольшие, скажем, до 1 млн руб., то достаточно предоставить страховщику общую информацию о том, каким образом осуществляется защита от угроз. Если речь идет о сложно струк­турированных страховых программах по киберстрахованию, то должна быть и экспертиза, и детальное согласование комплекса мероприятий по минимизации последствий реализации неблагоприятных сценариев, и выработка подходов к оценке ущерба. Также добавляется согласование текста договора страхования, стоимости страхования и поиска решения по пере­страхованию в нынешних условиях, огра­ничивающих размещение рисков в пере­страхование.

На этом фоне вопрос о том, кто должен платить за экспертизу, просто теряет­ся. Платить должен страхователь — или за саму экспертизу, или за ее стоимость, которая будет включена в цену договора страхования.

Контролировать рекомендации и тре­бования достаточно просто: при убытке страховщик (его сюрвейер, лосс-аджастер) потребуют подтверждения того, что все вы­данные рекомендации или требования были реализованы на стороне страхователя.

КИБЕРСТРАХОВАНИЕ — это защита от любого внешнего или внутреннего (действия самого сотрудника организации), умышленного или неумышленного (в результате социальной инженерии) воздействия на информационные ресурсы организации (серверы, инфраструктура, сайт, электронная почта, базы данных и т. д.) с целью нанесения прямого или косвенного ущерба ее деятельности.

СТРАХОВОЙ СЛУЧАЙ в страховании киберрисков — это факт нанесения ущерба компании в результате реализации любого из сценариев, связанных с инцидентом информационной безопасности.

ССТ: На какие еще факторы нуж­но обратить особое внимание, чтобы рынок киберстрахования эффективно развивался?

Н. Г.: Ни для кого не секрет, что у многих наших граждан персональные данные уже дискредитированы. Интернет о нас уже очень много знает. Возникает вопрос, как доказать, что информация была дискреди­тирована в конкретной организации.

Следующий факт: никогда киберстрахова­ние не будет отменять кибербезопасность. Это две параллельные вселенные. Более того, по мере развития киберстрахования требования к информационной безопасно­сти будут только расти, потому что, с по­зиции страховщика, страхователь должен максимально снижать свои риски.

И тут третий вопрос: где мерило того, что я, как владелец этого риска, предпринял достаточно мер, чтобы данные не утекли? При этом есть масса поставщиков про­граммного обеспечения. И что делать, если мы, как держатели риска, предприняли все действия для обеспечения безопасности на­ших данных, но была ошибка в программ­ном коде у наших поставщиков? А если не сработал антивирус?

Также надо учитывать, что страхование ответственности — это самые долгоигра­ющие убытки: событие могло возникнуть вчера, а злоумышленное действие с исполь­зованием данных может случиться через три года. Как доказать, что это одна череда событий?

К тому же, киберриски — это не только утечка данных. Например, в результате хакерской атаки остановилась деятельность финансовой организации, и ее клиенты в течение суток не могут воспользоваться своими счетами, провести сделку, своевре­менно погасить кредит и т. п.

Получается, есть множество факторов, которые будут влиять на аппетит к риску, на ценообразование, на готовность при­нимать на страхование какие-то крупные лимиты ответственности.