В России сенаторы уже занимаются разработкой законопроекта.
Согласно данным криминалистического центра СК, в 2022 году в России было зафиксировано порядка 510 тысяч преступлений с использованием IT. Десять лет назад таких случаев было не больше 10 тысяч.
В последние годы хакерские атаки стали профессиональнее, а ущерб от них достиг колоссальных масштабов в денежном эквиваленте. По этой причине актуальность киберстрахования в нашу цифровую эру является бесспорной с точки зрения логики, но не мировой статистики. Всего 10% компаний интересуются киберстрахованием, и только 5% из них заключают договоры.
Достоверность статистики осложняется тем, что многие крупные компании, подвергшиеся хакерской атаке, умалчивают об инциденте. Потому страховщикам трудно рассчитать оценку рисков, объем потенциальных компенсаций и страховые взносы.
Защита бизнеса в цифровую эру
В России киберстрахование развивается с 2015 года. Причиной его появления, естественно, стали хакерские атаки и ущерб, который они наносят.
Киберстрахование — это страховой продукт, призванный защитить юридические лица от рисков при пользовании интернета, работе с IT-инфраструктурами, а также при хранении и обработке персональных данных в электронном виде. Это касается бизнеса, которому доход приносят не станки, а приложения.
В отличие от страхования здоровья или имущества, киберстрахование является самым молодым направлением на рынке, и оно только развивается.
Что? Где? Когда?
Страховые организации могут компенсировать потерпевшим клиентам ущерб, нанесенный в таких случаях:
1. Реагирование потерпевшей компании на инцидент. Это DDoS, кража данных, вымогательство, вирус и хакерская атака. Сюда входят расходы на услуги экспертов, которых привлекли к приостановке кибератаки.
2. Простой бизнес-процессов. Объем возмещения упущенной прибыли могут рассчитывать на основе данных об обороте предприятия за прошлые годы.
3. Вымогательство
4. Ответственность перед третьими лицами. Это в случае кражи персональных данных, когда потерпевшая компания должна компенсировать убытки своим клиентам с учетом их требований.
5. Фишинг
В комплекс полиса киберстрахования могут также входить:
- расследование (статистика потерянных данных)
- кризисная коммуникация (для восстановления репутации)
- расходы на восстановление данных (при отсутствии резервного копирования)
- покрытие штрафов со стороны госорганов (нарушение срока подачи отчетности из-за кибератак)
Если в инциденте виноват сотрудник компании с высоким правом доступа, то этот случай не считается страховым. То же самое касается использования нелицензированных программ. Но если рядовой сотрудник откроет фишинговое письмо, то страховка будет выплачена.
Киберзащита в киберстрахование не включается — это «проблема» каждого отдельно взятого предприятия.
Для кого?
Многие специалисты рекомендуют начинать оценивать информационные риски и связанные с ними убытки всем компаниям, которые активно используют в работе или оказании услуг информационные технологии, а также занимаются обработкой персональных данных. К таким относится предоставление способа онлайн-оплаты услуг компании, а такая услуга предоставляется как представителями крупного, так и малого бизнеса. То есть практически каждая компания должна соответствовать требованиям законодательства в области обеспечения информационной безопасности.
Зачастую хакерским атакам подвергаются финансовые предприятия. Для их ограбления мошенники стремятся заполучить логин и пароль работника с высоким уровнем доступа, например, главного бухгалтера. Однако высокие риски таких угроз имеют и госорганы, так как у них имеется обширная база персональных данных. Среди компаний, которым нужно киберстрахование, поставщики контента, онлайн-школы или онлайн-сервисы такси.
Киберстрахование не является панацеей от всех информационных рисков. Это лишь один из способов нивелирования киберрисков.
Защита или очередной налог?
Правительство РФ и представители IT-отрасли обсуждают вопрос введения обязательного страхования компаний от кибератак. С такой инициативой уже выступал Совфед, говорили об этом и в Минцифры, правда, в контексте законопроекта об оборотных штрафах. В Центробанке, который регулирует рынок страхования, вообще считают, что важно наработать достаточный опыт в сфере киберстрахования, прежде чем создавать единые требования к такой услуге. Потому на сегодняшний день четкого решения по вопросу киберстрахования нет.
У такой идеи есть и свои противники, которые уверены, что киберстрахование станет очередным новым налогом и не решит проблему киберугрозы.
В настоящее время данный вид корпоративного страхования не находит своего выражения в детальном правовом регулировании законодательством России. Однако в связи с растущим объемом внедряемых информационных технологий в экономическую деятельность предприятий перспективы развития страхования информационных рисков нельзя переоценить.
Мнение юристов
Главная проблема в приобретении такого страхового полиса заключается в сложности определения объема информации, подверженной риску, и в установлении точного объема убытков в результате наступления страхового случая. Предпринимателям немаловажно предварительно приложить усилия по обеспечению надлежащего уровня информационной безопасности.
Если компания принимает решение воспользоваться услугами киберстрахования, ей нужно привлечь экспертную организацию для проведения аудита уровня информационной безопасности. Такая услуга может быть предоставлена страховыми компаниями, но мы рекомендуем проводить аудит в независимых экспертных организациях.
Нельзя полностью поручить оценку объема и ценности информации IT-специалисту. Необходимо привлечь финансового и правового экспертов, так как коммерческая информация и персональные данные являются экономическими и юридическими категориями. Их предмет и качество должны оценивать профильные специалисты.
— юрист Right Side Герман Александров
Из-за повышения хакерских атак спрос на киберстрахование со стороны бизнеса стал вполне осознанным. Согласно данным «Союз Страхования», за последние два года интерес российских компаний к покрытию киберрисков вырос на 20%. Ожидается, что в течение следующих 3-5 лет сегмент будет расти до 8-10 млрд рублей.
Перед получением страхового полиса по защите от киберрисков предпринимателям важно тщательно подойти к выбору экспертной организации. Ее специалисты качественно проведут аудит информационной безопасности и дадут оценку всех возможных рисков.
