- 10 июля, 2019
- 165
ОБРАТНАЯ СТОРОНА ЦИФРОВИЗАЦИИ
Киберриски — тема относительно новая для России, но российский бизнес все чаще задумывается и о безопасности своих IT-систем, и о том, как грамотно урегулировать последствия страховых случаев, связанных с кибершантажом, хакерской атакой, а то и просто разгильдяйством своих сотрудников. Чем в этом может помочь страхование, рассказали президент AIG в России Роман Тихоненко и руководитель отдела страхования финансовых рисков компании Владимир Кремер.
Современные страховые технологии: Насколько сегодня серьезны риски, связанные с обработкой и хранением данных?
Роман Тихоненко: Самый значительный по величине ущерба страховой случай произошел совсем недавно: вирус-шифровальщик остановил работу алюминиевого производства в Северной Европе. Ущерб от перерыва в производстве оценивается в 40 млн долларов. AIG — лидер в договоре страхования киберрисков по этому предприятию.
В России проблема киберрисков стоит тоже остро. Всевозможные вредоносные программы вызывают остановку в работе компаний, приводят к потере или нарушению управления компаниями. Это не случилось «вдруг», мы имеем дело с постоянно ухудшающейся ситуацией последнего десятилетия.
Страхование от киберрисков получило стремительное развитие с начала «нулевых», в основном, в США. Уже тогда, на примере развитых экономик, было понятно, что влияние киберинцидентов на бизнес велико. Появился соответствующий запрос со стороны риск-менеджеров. Соответственно, появилось и предложение продуктов со стороны страховых компаний.
В Россию продукт по страхованию киберрисков пришел в 2013 году. Компания AIG первой запустила его на российском рынке. С тех пор мы видим постоянно увеличивающийся спрос. Все больше крупных компаний приходят с вопросами, с запросами на котировку. Все большее количество брокеров начинают серьезно рассматривать продвижение этого продукта.
Осло (Рейтер) — норвежский произво-дитель алюминия Norsk Hydro, возмож-но, потерял более $40 млн за неделю,последовавшую за кибератакой, котораяпарализовала часть его операций, аполное восстановление ИТ-систем займетнедели или больше, говорится в сообще-нии компании.
Владимир Кремер: Когда мы впервые представили программу по страхованию от киберугроз, рынок отнесся к ней с недоверием. Сейчас ситуация коренным образом изменилась. Центральный банк начал вводить требования по обеспечению информационной безопасности, ВСС принял решение о создании рабочей группы по страхованию киберрисков, коммерческие предприятия стали рассматривать кибербезопасность как один из ключевых элементов защиты своего бизнеса, назначая на топовые должности специалистов по этому профилю. Тем временем актуальность страхования растёт год от года — в европейско-ближневосточном регионе AIG только в 2017 году получила столько же страховых случаев, сколько было заявлено за четыре предыдущих года.
ССТ: Какие вопросы вам задают предприятия, когда обращаются за котировкой по продуктам защиты от киберрисков?
Р. Т.: «А что нам страховать? В чем риск? Какие последствия?» Мы разъясняем, что предприятие должно само оценивать свои риски. Очень часто в компании есть отдел IT-безопасности, отдел информационной безопасности, риск-менеджер, который должен эти риски учитывать. На практике они не всегда эффективно взаимодействуют, что оставляет незащищенными определенные участки. В. К.: Далеко не всегда причина киберинцидента — атака хакеров. 90 % случаев — банальный человеческий фактор (сотрудник открыл письмо с вирусом). Или отказ системы, потому что неудачно прошло обновление. Конечно, есть некоторый разброс этого показателя в зависимости от деятельности предприятия. В банках вероятность хакерской атаки выше — там есть что украсть.
Еще одно направление рисков для предприятий — это кибершантаж: «Если вы нам сейчас не заплатите, то мы так зашифруем ваши данные, что восстановить их будет невозможно, и предприятие не сможет работать».
ССТ: Из чего складывается убыток для предприятия?
Р. Т.: Прежде всего, это потеря данных, которые необходимы для работы предприятия. Кроме того, вредоносные программы могут вмешиваться в управление производством. Предприятие может остановиться, то есть будут убытки от перерыва в производстве. Не менее важное — репутационные риски. Если клиенты понимают, что банк или медицинское учреждение, например, является источником утечки данных, то они перестанут быть его клиентами. Предприятие может затратить существенные суммы и на восстановление данных, и на восстановление репутации.
Еще один риск — претензии от регулятора и других государственных органов, связанные с несвоевременной отчетностью, с жалобами клиентов, и так далее. Это могут быть огромные расходы. Кроме того, следует помнить, что если предприятие обрабатывает данные европейских граждан, то объем ответственности за их утечку регулируется европейским законодательством, где штрафы составляют до 5 % от оборота предприятия. И это только штрафы, без учета сумм компенсаций пострадавшим!