Киберстрахование на российском рынке +7





Нет, речь пойдёт не о киберспортсменах, которые хотят застраховать себя от ушибов мышкой или испорченного плохим монитором зрения. Поговорим о страховании киберрисков при использовании IT-технологий.

На фоне стремительного развития цифровых технологий и усложнения IT-инфраструктуры компаний заметен и значительный рост числа киберпреступлений. По данным МВД, в 2018 году их стало на 92% больше, чем в 2017. Неудивительно, что вопросы защиты от рисков потери данных, простоя, хакерских атак или утечки конфиденциальной информации становятся более актуальными, а страхование киберрисков выглядит разумным способом минимизации ущерба.

Компании захотели знать, какие гарантии защиты обрабатываемых данных предоставляет сервис-провайдер, и как предлагается минимизировать ущерб в том случае, если атаку остановить не удалось.

Процедура страхования киберрисков выглядит громоздко и сложно, ведь кроме страховой организации в договоре должна фигурировать и некая компания-аудитор информационной безопасности (ИБ), которая будет оценивать риски и готовить заключения для страховой компании. Но на российском страховом рынке уже есть предложения по комплексному киберстрахованию.

Что предлагают страховые компании


АльфаСтрахование

«Альфа» предлагает бизнесу продукт АльфаCyber. Договор может быть заключён от всех или от некоторых видов киберопасности. При желании клиент может выбрать один из стандартных страховых пакетов или составить индивидуальный, учитывая особенности бизнеса и индивидуальные потребности. Базовые пакеты полиса покрывают риски утраты и искажения данных (включая вирусы-шифровальщики), программного обеспечения, разглашения персональных данных и включает расследование и диагностику кибератак.

Также в полисе можно предусмотреть защиту от рисков: утраты информации; хищения интеллектуальной собственности; неправомерного использования вычислительных ресурсов; вымогательства; хищения денежных средств; нарушения конфиденциальности и разглашение персональных данных; причинения вреда имуществу, жизни и здоровью третьих лиц; ущерба деловой репутации; утрате, гибели или повреждению готовой продукции, сырья, материалов; перерыва в деятельности.

Стоимость страхования зависит от набора рисков, страховой суммы и франшизы, а также рода деятельности страхователя и результатов оценки рискозащищенности.

AIG

Компания, которая одной из первых применила широкий и единый подход к киберугрозам, разработала программу страхования CyberEdge для защиты персональных данных на предприятии от последствий их утечки или незаконного использования. Чтобы помочь компаниям защититься от хищения персональных данных, действий хакеров, ошибок персонала и многого другого, AIG предоставляет клиентам доступ к услугам компаний, специализирующихся на кибербезопасности и расследованиях киберпреступлений, юридической консультации и антикризисному PR. Фактически, это удобный инструмент для предотвращения убытков и преодоления последствий утечки данных.

Страховка включает в себя обязательные и дополнительные покрытия. В обязательные входят:

  • Убытки в связи с нарушениями данных
  • Административное расследование в отношении данных
  • Расходы на реагирование при нарушении данных.
  • Ответственность за содержание информации.
  • Виртуальное вымогательство.
  • Перерыв в работе сети

Дополнительные покрытия включают ответственность за содержание информации, виртуальное вымогательство, убытки от сбоев в работе сети в результате нарушения функционирования системы безопасности, компенсацию недополученной прибыли.
В российском отделении AIG не зафиксировали ни одного случая обращения от клиентов по причине заражения вирусами WannaCry или Petya, но эти случаи также вызвали рост интереса клиентов к услуге страхования рисков. «После инцидентов мы видим рост интереса к услугам страхования от кибер-рисков и сейчас ведем переговоры с рядом компаний. Однако чем крупнее бизнес, тем сложнее и дольше утверждается бюджет — поэтому на заключение соглашения может потребоваться достаточно много времени»,
заявил руководитель отдела страхования финансовых рисков AIG в России Владимир Кремер.

Allianz

Allianz разработала свой продукт по страхованию кибер-рисков Allianz Cyber Protect. Полис предоставляет страховку от следующих категорий рисков:

  • Гражданская ответственность за утрату персональных и финансовых данных клиентов;
  • Убытков, которые несет сам застрахованный по причине простоя, кибервымогательства;
  • Покрытие расходов на расследование инцидентов и помощь со стороны специалистов по форензику.

«Рост востребованности киберстрахования в США уже находится в активной стадии, так как законы о защите данных позволяют сориентировать компании, а регуляторные изменения и возрастающие уровни ответственности обеспечивают ускоренный рост в остальных странах, — комментирует Найджел Пирсон, ответственный за киберстрахование в Allianz Global Corporate & Specialty (AGCS). — Мы наблюдаем общую тенденцию установления более строгих режимов регулирования защиты данных, сопряженных с угрозой серьезных штрафов в случае утечки информации».

Государственное регулирование


Пока что каких-либо стандартов в области киберстрахования нет, а законодательство слабо развито в части определения ответственности за нарушения и преступления в сфере информационной безопасности.

Но в ближайшее время ситуация должна измениться. В национальном проекте «Цифровая экономика Российской Федерации» предусмотрен ряд мер, направленных на популяризацию добровольного страхования рисков информационной безопасности и повышение киберкультуры. Также в проект включено предложение о проработке возможности использования налоговых льгот при страховании киберрисков.



Алгоритм страхования киберрисков


Как выглядит процедура киберстрахования? Чтобы ответить на этот вопрос, возьмём информационную систему с уже созданной системой защиты данных. Это может быть система хранения персональных данных, госсистема с аттестатом на соответствие требованиям информационной безопасности или другая информационная система со средствами защиты, выбранных по принципу разумности и соразмерности затрат.

В этом случае компании нужно будет пройти следующие этапы:

  • Выбор страховой компании, предлагающей комплексную услугу по страхованию киберрисков;
  • Выбор экспертной организации для проведения аудита ИБ (из числа организаций, аккредитованных страховой компанией);
  • Аудит и оценка рисков ИБ (проводится экспертной организацией);
  • Определение страховых случаев;
  • Определение размера страхового покрытия и страховых взносов;
  • Формирование договора на комплексную услугу киберстрахования.

Если у компании система защиты ещё не создана или не соответствует требованиям законодательства РФ по защите, то предварительным этапом станет создание системы защиты либо размещение информационной системы у сервис-провайдера с заключением договора на хранение конфиденциальной информации.

Виды страховых рисков


В мировой практике существует несколько рисков, которые частично или полностью могут получить страховую защиту:

  • Риск присвоения и использования конфиденциальной информации сотрудниками компании и ее использования;
  • Риск получения хакером информации о номерах кредитных карт или счетов клиентов компании;
  • Риск хищения денежных средств со счетов в банке или ценных бумаг со счета в депозитарии;
  • Риск хищения данных кредитных карт и средств с них;
  • Риск утраты или разглашения информации из-за ошибки сотрудника;
  • Перерыв в работе предприятия, его компьютерной сети, его сайта;
  • Убытки, связанные с размещением на сайте страхователя ложной информации или информации, имеющей характер диффамации;
  • Риск утери материального носителя, содержащего конфиденциальную информацию.



Страховое покрытие


Практически во всех страховых случаях наиболее сложным вопросом является вопрос достоверной оценки стоимости утраченной информации.

Кроме того, при оценке информации как нематериального актива и получения страхового возмещения не исключены проблемы с нашим налоговым законодательством, которое не преминет обозначить всю сумму страхового возмещения как прибыль и обложить ее налогом. Этот вопрос на уровне разъяснений Минфина ещё не отрегулирован.

Также не всё ясно с выплатой страхового покрытия, рассчитываемого как размер расходов, понесенных на восстановление нарушенного права. Доказать необходимость совершения того или иного расхода или его размер будет достаточно сложно, поэтому примерный перечень таких расходов и пределы их стоимости желательно заранее прописывать в договорах страхования.

Страховое покрытие может включать:

  • Убытки в связи с нарушениями персональных данных или корпоративной информации;
  • Убытки в результате длительного перерыва в функционировании сети ;
  • Убытки и расходы в результате публичного раскрытия персональных данных или корпоративной информации;
  • Денежные средства, выплаченные для ограничения или прекращения угрозы безопасности, которая иначе может вызвать убыток;
  • Покрытие расходов, связанных с проведением расследований регулирующими органами;
  • Услуги по реагированию в случае утечки данных, восстановление личной репутации, инструктаж на случай утечки персональных данных, а также расходы на уведомления и мониторинг, связанные с утечкой информации;
  • Покрытие расходов, связанных с восстановлением, повторным сбором или воссозданием информации после утечки или несанкционированного использования данных;
  • Расходы страхователя на защиту в суде;
  • Расходы на управление кризисными ситуациями;
  • Ущерб, причиненный третьим лицам.

Выводы


Несмотря на достаточно молодой рынок страхования киберуслуг, уже имеются сложные комплексные решения. Ожидается, что и облачные провайдеры в скором времени будут предоставлять услуги по страхованию своей ответственности. Уже сейчас компания Cloud4Y помимо гарантий, предлагаемых соглашением об уровне обслуживания, готова предложить клиентам удобный способ страхования рисков размещения инфраструктуры и сервисов в облаке.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (2):

  1. teecat
    /#20252198

    Все это конечно хорошо, но очень бы хотелось посмотреть на примеры выплат (и статистику по количеству застрахованных). Разговор о компенсациях идет давно. И даже Есет предлагает автоматически страховать при покупке продуктов. Но дело в том, что совершенно не ясно, что считать заражением (и как разделять по типам вредоносных программ) и второе — крайне легко самому себе сделать заражение.
    Скажем — при сканировании нашли троян — заражение или нет? А если он просто в архиве? И таких вопросов море

  2. pyrk2142
    /#20253002

    Возникает дополнительный вопрос: не создаёт ли это порочную практику, когда компании выгоднее потратить 0.25n денег на формальное прохождение аудита и покупку страховки, чем потратить 1n денег на честное обеспечение безопасности. Как минимум, о чем-то похожем уже слышал. Выгода очевидна: экономия кучи денег, нет головной боли, можно на уровне корпоративной политики наплевать на пользователей, а они только промолчат и сглотнут слюну от негодования. К сожалению, не встречал большого количества ситуаций, когда пользователи были настолько недовольны тем, что компании продолбали их данные, чтобы с этим пришлось что-то делать.