- 3 марта, 2024
- 77
СКОРОСТЬ СЕГОДНЯ ВАЖНЕЕ
Президент ВСС Евгений Уфимцев, понимая всю сложность и широту проблемы, уверен, что вмененное страхование киберрисков нужно запускать как можно скорее: количество киберугроз нарастает, и у граждан должна быть финансовая защита от них. При этом глава Страхового союза допускает, что на первом этапе такое страхование может носить ограниченный характер.
ССТ: Видят ли страховщики перспективу в создании направления страхования киберрисков, и насколько они готовы предложить бизнесу свою защиту?
Евгений Уфимцев: Мы не то, что готовы, мы уже запаздываем! На февральской конференции по кибербезопасности в Екатеринбурге я слушал много выступлений коллег из банков, которые рассказывали о том, как много они делают для обеспечения своей информационной безопасности. У меня возникла такая ассоциация: все их усилия по обеспечению информационной безопасности напоминают шикарный автомобиль, у которого все больше и больше мощность, но при этом вред, который может нанести этот автомобиль кому-то другому, не застрахован.
ССТ: Сейчас страховщики заключают договоры киберстрахования на добровольной основе. Как вы относитесь к идее вмененного страхования?
Е. У.: В 2023 году собрано примерно 900 млн руб. премии по этому направлению деятельности. Круг компаний — страховщиков киберрисков пока ограничен. Но мы считаем, что потенциал этого рынка и задачи, которые могут решать страховщики, действительно большие.
IT-индустрия в нашей стране находится на очень хорошем мировом уровне, при этом в каких-то аспектах она его даже обгоняет. Поэтому защита от негативных последствий инновационных решений, защита граждан обязательно должна быть. Нужно начинать эту работу, и мы готовы ее поддерживать.
В ВСС создана специальная рабочая группа. Мы знаем об инициативе Совета Федерации по законопроекту о вмененном страховании киберугроз, и мы будем активно участвовать в его обсуждении. Считаю, что нужно начать внедрять такое страхование и не бояться того, что мы сразу не закроем все риски.
ССТ: Почему Вы считаете, что сейчас важнее скорость принятия решения?
Е. У.: Возьмем ОСАГО, которому уже 20 лет. Здесь до сих пор лимит — 400 тыс. руб. Может показаться, что его нужно поднимать, ведь машины стоят уже несколько миллионов рублей. Но даже сейчас свыше 99 % потерпевших получают выплаты, укладывающиеся в действующий лимит.
На мой взгляд, можно запускать закон, в котором на первом этапе его становления будут установленные лимиты, которые определят, в рамках каких сумм или какого предела человек может получить компенсацию. Кроме того, возможно, человек сам, в добровольном порядке, сможет приобрести полис на больший лимит, если он этого хочет. Но в рамках ответственности какого-то юридического лица, банка, предприятия, организации должны быть определены лимиты, которые позволяли бы страховщику правильно прогнозировать риски, а людям получать определенную компенсацию.
ССТ: Как можно зафиксировать, что страховой случай произошел и можно получить выплату?
Е. У.: Что касается фиксации убытков, точно такой же пример есть в страховании ответственности владельцев опасных объектов. Есть утвержденные таблицы, где рассчитывается компенсация в зависимости от тяжести травмы. Человек получает определенный процент от максимального лимита. Например, перелом пальца — выплачивается 5 % от страховой суммы.
Для страхования киберрисков можно разработать механизмы градации получения страховой выплаты в случае утечки персональных данных в зависимости от степени их тяжести. Если утекли данные просто с номером телефона — это один случай, один лимит, одна страховая сумма. Если утекли более чувствительные данные (банковские реквизиты, медицинские данные), то здесь выплата может быть более высокая.
Страховое сообщество готово обсуждать все подходы. Мы считаем, что к этому нужно подходить организованно и системно. На первом этапе начальными лимитами мы сможем просто ограничивать степень влияния риска. Нельзя допустить, чтобы рынок стал неуправляемый. Нужно сделать так, чтобы страховщики реально страховали, а люди почувствовали, что у них есть защита.
ССТ: Если установлен факт утечки данных, но никто из клиентов финансово пока не пострадал, то могут ли они рассчитывать на страховые выплаты?
Е. У.: На мой взгляд, есть два механизма, которые могут быть предложены для организации выплат. Один механизм — списочный, по которому пострадавшими будут считаться все, независимо от того, доказаны их финансовые потери или нет, просто по факту утечки данных при наличии соответствующего заключения госорганов, например, Роскомнадзора. Тогда по таблице выплат все клиенты организации, чьи данные подверглись риску, получают страховую выплату. Второй вариант — когда существует конкретное подтверждение размера понесенных финансовых потерь. Такое тоже возможно, но я считаю, что нужно начинать с первого варианта.
ССТ: Утечка данных может быть из-за внешнего воздействия, а может быть из-за действий сотрудников самой компании. Важна ли для фиксации страхового случая причина?
Е. У.: Закон должен описывать не только права страхователя и его клиентов, но и обязанности, и требования со стороны страховой компании по обеспечению сохранности данных. У страховщика должна быть обязанность и возможность разбираться, кто виновник происшествия, а после страховой выплаты применить к нему регрессное требование.
ССТ: Какие факторы повлияют на развитие рынка кибер-страхования?
Е. У.: Сейчас у руководителей предприятий нет ответственности за утечку данных. Те случаи утечки, которые были зафиксированы, приводили к символическим штрафам. Причин задуматься и начать страховать ответственность перед клиентами за утечку персональных данных, к сожалению, нет. Все изменится, когда будет возможность предъявить претензии к руководителю организации за утечку данных.
Я считаю, что законодательная инициатива по вмененному киберстрахованию очень правильная. Вы можете выбрать, из какого источника будут компенсированы потери граждан. Например, это может быть страхование. Но пока не будет реальной ответственности, рынок активно развиваться не будет.
Также наличие договора страхования станет смягчающим обстоятельством, когда комиссия будет рассматривать, все ли сделал руководитель в рамках обеспечения информационной безопасности, в рамках компенсации убытков пострадавшим. Было ли сделано максимум возможного?
ССТ: Должны ли страховщики оценивать риски защищенности информации на предприятии перед заключением договора страхования?
Е. У.: Страховщики должны и могут быть экспертами, чтобы предприятие не опиралось только на свою внутреннюю экспертизу. Для целей страхования, для правильной тарификации операторам персональных данных нужно будет открывать и показывать свои информационные системы. И страховщик будет дополнительно подтверждать уровень информационной защищенности предприятия.
Кроме того, страховщик может исполнять функцию информирования, в том числе Банка России о том, что в той или иной организации чрезмерно высокие риски. Экспертная составляющая от страховщиков — это профилактика наступления страхового случая. Это тоже очень важный фактор для укрепления дисциплины всех участников страховых бизнес-отношений.
Часто при оценке целесообразности принятия закона о страховании киберугроз речь идет именно о крупных компаниях. Но здесь уже есть развилка. Банки контролируются Банком России, выполняют многочисленные требования регулятора, и в связи с этим являются весьма продвинутыми организациями в части кибербезопасности. А рядом работают строительные организации с оборотами больше любого среднего банка. Утечка данных там будет очень чувствительной, ведь застройщики хранят все персональные данные, все банковские реквизиты.
ССТ: Эксперты, обсуждая страхование киберрисков, чаще всего говорят про крупные предприятия и банки. А какие предприятия на самом деле наиболее уязвимы?
Е. У.: Да, очень часто при оценке целесообразности принятия закона о страховании киберугроз речь идет именно о крупных компаниях. Но здесь уже есть развилка. Банки контролируются Банком России, выполняют многочисленные требования регулятора, и в связи с этим являются весьма продвинутыми организациями в части кибербезопасности. А рядом работают строительные организации с оборотами больше любого среднего банка. Утечка данных там будет очень чувствительной, ведь застройщики хранят все персональные данные, все банковские реквизиты. Но требований к ним с точки зрения информационной безопасности близко нет.
Или возьмем больницу. Там также работают с большим количеством чувствительных данных, связанных с жизнью и здоровьем человека. Мне кажется, можно сделать большую ошибку, если мы будем моделировать рынок страхования киберрисков на очень хорошо отрегулированном банковском сегменте. Потребности в обеспечении информационной безопасности, модели формирования киберугроз гораздо более широкие. Они затрагивают самые разные сферы экономики.
По банкам и другим «продвинутым» организациям будет другая оценка риска. Будут другие риски именно потому, что они очень хорошо отрегулированы. Но после них есть еще 2–3 уровня разных организаций, которые обрабатывают очень важные персональные данные, где очень критичны утечки. Нет такого мегарегулятора, который жестко регулировал бы строителей, другие предприятия, и вводил жесткие требования по информационной безопасности. Да, есть Роскомнадзор и Минцифры, что-то в этом плане рекомендующие. Но не более того.
Поэтому мы понимаем, насколько нужен закон о страховании киберрисков именно через страхование ответственности. Он нужен не только для банков, но и для других участников, которые используют персональные данные. Это — главное и правильное направление.