НЕ ИЗ-ПОД ПАЛКИ

Рынок киберстрахования постепенно формируется за счет добровольного спроса со стороны передовых компаний. При этом со временем не исключено и появление обязательных видов страхования. В какой области, и какие для этого нужны условия, рассказал в своем интервью директор по рискам СберСтрахования Владимир Новиков.

ССТ: Понятие «киберстрахование» стало применяться широко. Страхование каких рисков обычно имеется в виду?

Владимир Новиков: В профессиональ­ной среде к киберстрахованию относят несколько страховых покрытий. Они могут быть похожи на страхование имущества, страхование ответственности и страхо­вание финансовых рисков. По сути, когда мы говорим о киберстраховании, меня­ется лишь первопричина произошедшего убытка. В случае с киберстрахованием ей должен быть инцидент с нарушением ин­формационной безопасности, перехватом или ненадлежащим использованием ин­формационной системы: хакерская атака, блокировка, подмена данных и т. д.

В классическом страховании мы имеем дело с физическим повреждением обо­рудования, зданий, сооружений и т. д. Киберстрахование нужно на случай, когда оборудование выводится из строя через взлом системы управления. Особенно это актуально для компаний, у которых много цифровых активов.

ССТ: Какие убытки можно страховать от киберугроз?

В. Н.: Возможно все при условии, что мы можем это вложить в какую-то актуаль­ную статистическую модель и объективно урегулировать. Зачастую нечеткость опре­делений и разные представления о том, что такое киберстрахование, приводят к недопониманию. Клиенты порой думают, что любой вид поломки IT-системы — это уже страховой случай. Конечно, это не так. Сформировать IT-ландшафт таким образом, чтобы он мог надежно функци­онировать — это ответственность самого предприятия. Страхование не может быть заменой таких процессов.

ССТ: Подходы к внедрению кибер­страхования в России и прочих странах различаются?

В. Н.: В данном виде страхования россий­ский страховой рынок не копирует миро­вые достижения.

В ряде стран за утечку персональных данных введены драконовские меры на уровне законодательства. Страхование под этим жестким кнутом становится все более и более популярным. Но это — популярность из-под палки. У нас же все развивается на добровольных началах. Во всяком случае пока.

Замечу, что в России премия за ки­берстрахование оплачивается целиком за счет бизнеса. В том числе поэтому спрос на страховые киберпродукты ниже.

Если же говорить о содержании продук­тов, подходах к определению страхового случая — все аналогично.

В ряде стран за утечку персональных данных введены драконовские меры на уровне законодательства. Страхование под этим жестким кнутом становится все более и более популярным. Но это — популярность из-под палки. У нас же все развивается на добровольных началах. Во всяком случае пока.

ССТ: Можно ли сложные проявления киберрисков разделить на отдельные эле­менты и застраховать на основе классиче­ских продуктов?

В. Н.: Нет, в классических продуктах киберинцидент находится в исключениях. Чтобы его включить, требуется прописать дополнительные условия или оформить от­дельный полис страхования киберрисков.

Например, если доменная печь, управляе­мая автоматизированной системой, вый­дет из строя в результате неправомерного воздействия, это будет считаться поломкой в результате киберницидента. Классическое страхование здесь не сработает. Между тем, ремонт такого агрегата может затянуться на годы, и убытки для предприятия будут огромны. Таким образом, первое направ­ление киберстрахования — это защита активов, пострадавших в результате кибер­воздействия.

Второе — это страхование финансовых рисков. Сейчас, в основном, пользуется спросом страхование перерывов производ­ства, ведь это всегда потери для бизнеса. При киберстраховании рассматриваются ситуации, когда производство останавли­вается не в результате пожара, а вследствие нарушения работы информационной системы.

Например, если доменная печь, управляемая автоматизированной системой, выйдет из строя в результате неправомерного воздействия, это будет считаться поломкой в результате киберницидента. Классическое страхование здесь не сработает. Между тем, ремонт такого агрегата может затянуться на годы, и убытки для предприятия будут огромны. Таким образом, первое направление киберстрахования — это защита активов, пострадавших в результате кибервоздействия.

ССТ: Если мы говорим про страхование имущества, а договор включает опцию по страхованию киберрисков, то сможет ли предприятие расходы по такому дого­вору отнести на себестоимость?

В. Н.: Это «серая» зона. Страховое со­общество старается представить такой договор как страхование имущества, чем в реальности он и является. Как правило, претензий не возникает. А вот отдельный полис по киберриску чаще всего не тракту­ется как страхование имущества. Это зона требует законодательной проработки.

Наша рабочая группа уже передала свои наработки в ВСС для включения в единый законопроект по изменению налогообло­жения расходов на страхование. Расходы на страхование от киберрисков должны быть включены в себестоимость продукции так же, как и расходы любого предприятия на охрану, пожарную безопасность и т. д. Это такой же полноценный вид страхова­ния, как страхование на случай пожара, который защищает риски и обеспечивает непрерывность деятельности и устойчи­вость развития предприятия.

ССТ: Сложны ли программы киберстра­хования в разработке?

В. Н.: Наиболее простая и понятная программа — это страхование материаль­ных ценностей, пострадавших в результате киберинцидента. Гораздо более сложное направление связано с потерей данных и манипулированием ими. Ответствен­ность за утечку персональных данных в России сегодня не настолько велика, чтобы ценность киберстрахования замет­но выросла в глазах бизнеса. Кроме того, практика взыскания средств с виновника утечки только зарождается в то время, как в Европе киберстрахование у предприятий ограниченный выбор: разориться, или вы­полнить все требования законодательства.

ССТ: Какую компенсацию может требо­вать пострадавший с виновника?

В. Н.: Цену утечки данных рассчитать очень сложно. Между потерей данных и воздействием на человека не всегда образуется прямая связь. Возможно, эти данные никогда не будут использоваться, и конкретный человек, чьи данные были похищены, никаких потерь никогда не по­несет. А страхование — это же всегда про материальные убытки.

При страховании ответственности пере­возчика были сформированы методики, позволяющие определить размер страховой суммы — фактически, была определена стоимость жизни человека. Возможно, такую же работу придется проделать и в от­ношении страхования на случай утечки персональных данных.

ССТ: Чтобы признать инцидент страхо­вым случаем, нужна экспертиза. Есть ли в России эксперты в этой области?

В. Н.: Благодаря, в том числе, усилиям страхового сообщества, мы постепен­но обрастаем все большим количеством специалистов из сферы информационной безопасности, налаживаем партнерство с компаниями, которые занимаются киберзащитой. Они уже понимают наш язык, мы понимаем их. Чтобы технически определить наличие страхового случая (например, произошел ли ущерб в резуль­тате халатности IT-подразделения ком­пании, или же это была кибератака на пред­приятие), нужно привлекать подобные специализированные компании.

Барьеров здесь два. Первый — услуги таких компаний стоят дорого. Это не такая массовая тема, как экспертиза в ОСАГО. Вторая сложность заключается в том, что пока нет четкой схемы, как должны взаимодействовать страховая компания, эксперт-оценщик и клиент. На своем опыте мы столкнулись с ситуацией, когда клиент не захотел допускать на свою территорию экспертов: у меня произошел инцидент, но расследовать его я не дам.

В прошлом году расследование всех случаев, которые нам заявляли, приводили к выявлению конкретного сотрудника, который был виновен в инциденте. Его намеренные действия маскировались под внешнее воздействие.

У нас пока небольшой опыт: на всем российском рынке количество страховых случаев измеряется десятками. Страхуются самые ответственные предприятия, а у та­ких и ситуация с безопасностью лучше. Те, кто больше подвержены риску, по-прежне­му рассчитывают на себя. Как следствие — нет возможности получить объективную статистику о числе успешных взломов и хакерских атак на российские компании в целом. А без этих данных страховщи­кам сложно оценивать риски, рассчиты­вать объем потенциальных компенсаций и, соответственно, страховых взносов.

ССТ: Может ли страховой полис покры­вать расходы на проведение экспертизы?

В. Н.: Так и происходит. Сейчас мы даже так позиционируем ряд наших коробочных продуктов для малого бизнеса: купив не­дорогой полис со страховой суммой 5 или 10 млн руб., вы, можно сказать, получаете себе дежурную смену BI.ZONE или Каспер­ского. Заплатив страховую премию в несколько тысяч рублей, вы гарантированно получае­те доступ к услуге, стоимость которой значительно превышает размер страховой премии.

ССТ: Когда может появиться массовый продукт по обязательному киберстрахо­ванию?

В. Н.: Сейчас договоры добровольного страхования киберрисков в России уже заключаются. Их не миллионы, но рынок уже есть. Полисы покупают небольшие, но продвинутые предприятия. Крупнейшие компании при проведении тендеров также запрашивают покрытие киберрисков.

Если говорить о продуктах, связанных со страхованием утечки персональных данных, то они должны создаваться парал­лельно с развитием систем учета, контроля и ответственности операторов персональ­ных данных.

Прежде чем обязать оператора персональ­ных данных застраховать ответственность, нужно обрасти инфраструктурой: нау­читься выявлять уровень риска, правильно реагировать, точно оценивать изменение риска, фиксировать страховые случаи, оце­нивать размер ущерба.