- 3 марта, 2024
- 82
НЕ ИЗ-ПОД ПАЛКИ
Рынок киберстрахования постепенно формируется за счет добровольного спроса со стороны передовых компаний. При этом со временем не исключено и появление обязательных видов страхования. В какой области, и какие для этого нужны условия, рассказал в своем интервью директор по рискам СберСтрахования Владимир Новиков.
ССТ: Понятие «киберстрахование» стало применяться широко. Страхование каких рисков обычно имеется в виду?
Владимир Новиков: В профессиональной среде к киберстрахованию относят несколько страховых покрытий. Они могут быть похожи на страхование имущества, страхование ответственности и страхование финансовых рисков. По сути, когда мы говорим о киберстраховании, меняется лишь первопричина произошедшего убытка. В случае с киберстрахованием ей должен быть инцидент с нарушением информационной безопасности, перехватом или ненадлежащим использованием информационной системы: хакерская атака, блокировка, подмена данных и т. д.
В классическом страховании мы имеем дело с физическим повреждением оборудования, зданий, сооружений и т. д. Киберстрахование нужно на случай, когда оборудование выводится из строя через взлом системы управления. Особенно это актуально для компаний, у которых много цифровых активов.
ССТ: Какие убытки можно страховать от киберугроз?
В. Н.: Возможно все при условии, что мы можем это вложить в какую-то актуальную статистическую модель и объективно урегулировать. Зачастую нечеткость определений и разные представления о том, что такое киберстрахование, приводят к недопониманию. Клиенты порой думают, что любой вид поломки IT-системы — это уже страховой случай. Конечно, это не так. Сформировать IT-ландшафт таким образом, чтобы он мог надежно функционировать — это ответственность самого предприятия. Страхование не может быть заменой таких процессов.
ССТ: Подходы к внедрению киберстрахования в России и прочих странах различаются?
В. Н.: В данном виде страхования российский страховой рынок не копирует мировые достижения.
В ряде стран за утечку персональных данных введены драконовские меры на уровне законодательства. Страхование под этим жестким кнутом становится все более и более популярным. Но это — популярность из-под палки. У нас же все развивается на добровольных началах. Во всяком случае пока.
Замечу, что в России премия за киберстрахование оплачивается целиком за счет бизнеса. В том числе поэтому спрос на страховые киберпродукты ниже.
Если же говорить о содержании продуктов, подходах к определению страхового случая — все аналогично.
В ряде стран за утечку персональных данных введены драконовские меры на уровне законодательства. Страхование под этим жестким кнутом становится все более и более популярным. Но это — популярность из-под палки. У нас же все развивается на добровольных началах. Во всяком случае пока.
ССТ: Можно ли сложные проявления киберрисков разделить на отдельные элементы и застраховать на основе классических продуктов?
В. Н.: Нет, в классических продуктах киберинцидент находится в исключениях. Чтобы его включить, требуется прописать дополнительные условия или оформить отдельный полис страхования киберрисков.
Например, если доменная печь, управляемая автоматизированной системой, выйдет из строя в результате неправомерного воздействия, это будет считаться поломкой в результате киберницидента. Классическое страхование здесь не сработает. Между тем, ремонт такого агрегата может затянуться на годы, и убытки для предприятия будут огромны. Таким образом, первое направление киберстрахования — это защита активов, пострадавших в результате кибервоздействия.
Второе — это страхование финансовых рисков. Сейчас, в основном, пользуется спросом страхование перерывов производства, ведь это всегда потери для бизнеса. При киберстраховании рассматриваются ситуации, когда производство останавливается не в результате пожара, а вследствие нарушения работы информационной системы.
Например, если доменная печь, управляемая автоматизированной системой, выйдет из строя в результате неправомерного воздействия, это будет считаться поломкой в результате киберницидента. Классическое страхование здесь не сработает. Между тем, ремонт такого агрегата может затянуться на годы, и убытки для предприятия будут огромны. Таким образом, первое направление киберстрахования — это защита активов, пострадавших в результате кибервоздействия.
ССТ: Если мы говорим про страхование имущества, а договор включает опцию по страхованию киберрисков, то сможет ли предприятие расходы по такому договору отнести на себестоимость?
В. Н.: Это «серая» зона. Страховое сообщество старается представить такой договор как страхование имущества, чем в реальности он и является. Как правило, претензий не возникает. А вот отдельный полис по киберриску чаще всего не трактуется как страхование имущества. Это зона требует законодательной проработки.
Наша рабочая группа уже передала свои наработки в ВСС для включения в единый законопроект по изменению налогообложения расходов на страхование. Расходы на страхование от киберрисков должны быть включены в себестоимость продукции так же, как и расходы любого предприятия на охрану, пожарную безопасность и т. д. Это такой же полноценный вид страхования, как страхование на случай пожара, который защищает риски и обеспечивает непрерывность деятельности и устойчивость развития предприятия.
ССТ: Сложны ли программы киберстрахования в разработке?
В. Н.: Наиболее простая и понятная программа — это страхование материальных ценностей, пострадавших в результате киберинцидента. Гораздо более сложное направление связано с потерей данных и манипулированием ими. Ответственность за утечку персональных данных в России сегодня не настолько велика, чтобы ценность киберстрахования заметно выросла в глазах бизнеса. Кроме того, практика взыскания средств с виновника утечки только зарождается в то время, как в Европе киберстрахование у предприятий ограниченный выбор: разориться, или выполнить все требования законодательства.
ССТ: Какую компенсацию может требовать пострадавший с виновника?
В. Н.: Цену утечки данных рассчитать очень сложно. Между потерей данных и воздействием на человека не всегда образуется прямая связь. Возможно, эти данные никогда не будут использоваться, и конкретный человек, чьи данные были похищены, никаких потерь никогда не понесет. А страхование — это же всегда про материальные убытки.
При страховании ответственности перевозчика были сформированы методики, позволяющие определить размер страховой суммы — фактически, была определена стоимость жизни человека. Возможно, такую же работу придется проделать и в отношении страхования на случай утечки персональных данных.
ССТ: Чтобы признать инцидент страховым случаем, нужна экспертиза. Есть ли в России эксперты в этой области?
В. Н.: Благодаря, в том числе, усилиям страхового сообщества, мы постепенно обрастаем все большим количеством специалистов из сферы информационной безопасности, налаживаем партнерство с компаниями, которые занимаются киберзащитой. Они уже понимают наш язык, мы понимаем их. Чтобы технически определить наличие страхового случая (например, произошел ли ущерб в результате халатности IT-подразделения компании, или же это была кибератака на предприятие), нужно привлекать подобные специализированные компании.
Барьеров здесь два. Первый — услуги таких компаний стоят дорого. Это не такая массовая тема, как экспертиза в ОСАГО. Вторая сложность заключается в том, что пока нет четкой схемы, как должны взаимодействовать страховая компания, эксперт-оценщик и клиент. На своем опыте мы столкнулись с ситуацией, когда клиент не захотел допускать на свою территорию экспертов: у меня произошел инцидент, но расследовать его я не дам.
В прошлом году расследование всех случаев, которые нам заявляли, приводили к выявлению конкретного сотрудника, который был виновен в инциденте. Его намеренные действия маскировались под внешнее воздействие.
У нас пока небольшой опыт: на всем российском рынке количество страховых случаев измеряется десятками. Страхуются самые ответственные предприятия, а у таких и ситуация с безопасностью лучше. Те, кто больше подвержены риску, по-прежнему рассчитывают на себя. Как следствие — нет возможности получить объективную статистику о числе успешных взломов и хакерских атак на российские компании в целом. А без этих данных страховщикам сложно оценивать риски, рассчитывать объем потенциальных компенсаций и, соответственно, страховых взносов.
ССТ: Может ли страховой полис покрывать расходы на проведение экспертизы?
В. Н.: Так и происходит. Сейчас мы даже так позиционируем ряд наших коробочных продуктов для малого бизнеса: купив недорогой полис со страховой суммой 5 или 10 млн руб., вы, можно сказать, получаете себе дежурную смену BI.ZONE или Касперского. Заплатив страховую премию в несколько тысяч рублей, вы гарантированно получаете доступ к услуге, стоимость которой значительно превышает размер страховой премии.
ССТ: Когда может появиться массовый продукт по обязательному киберстрахованию?
В. Н.: Сейчас договоры добровольного страхования киберрисков в России уже заключаются. Их не миллионы, но рынок уже есть. Полисы покупают небольшие, но продвинутые предприятия. Крупнейшие компании при проведении тендеров также запрашивают покрытие киберрисков.
Если говорить о продуктах, связанных со страхованием утечки персональных данных, то они должны создаваться параллельно с развитием систем учета, контроля и ответственности операторов персональных данных.
Прежде чем обязать оператора персональных данных застраховать ответственность, нужно обрасти инфраструктурой: научиться выявлять уровень риска, правильно реагировать, точно оценивать изменение риска, фиксировать страховые случаи, оценивать размер ущерба.