Атаки без возмещения

Как страховые компании защищают своих клиентов от киберрисков

Несмотря на то что только банковский сектор за последние два года потерял от действий хакеров более 1,5 млрд руб., страхование от киберрисков пока не стало популярным в России. Впрочем, эксперты называют этот сегмент перспективным — имущества в электронном виде становится все больше, с ростом посягательств на него будет развиваться и киберстрахование.

Развитие страхования от киберрисков в России сдерживают небольшие штрафы за кражу персональных данных

Фото: dpa/AFP

ЕЛЕНА ВЕБЕР

Редкий полис

В 26 млн руб. обошлась "Ингосстраху" хакерская атака на сайт клиента-реестродержателя. Такое возмещение страховщик заплатил акционеру нефтедобывающей компании за хищение акций с помощью вируса: "червь" проник в базы данных регистратора, в результате реальный владелец акций был заменен в базе на другое лицо. "После чего это лицо пришло со своими реальными документами в офис регистратора и на "законных" основаниях выставило пакет акций на продажу",— рассказал начальник управления страхования ответственности "Ингосстраха" Дмитрий Шишкин.

В данном случае выплату обеспечила нецелевая страховка от кибератак — покрытие риска было оформлено в рамках договора комплексного страхования реестродержателя (регистратора). Покупка отдельного киберполиса на нашем рынке пока еще большая редкость. Киберстрахование обычно продается в качестве опции в комплексном полисе, например, для банка (ВВВ, Bankers Blanket Bond — страхование банков от преступлений) или для участника рынка ценных бумаг. Киберриски по таким полисам связаны с финансовыми угрозами — это потеря персональных данных клиентов (покрываются расходы на восстановление данных или убытки от их потери), кража денег или акций со счетов клиентов и т. п., рассказывает Дмитрий Шишкин. "Значительный пласт киберрисков — вывод из строя оборудования, организация взрывов, пожаров, ложного срабатывания сигнализаций, когда прибегают к помощи хакеров,— в России недооценивается",— сокрушается он.

На черном рынке США мединформация ценится гораздо выше, чем номер кредитной карты

Кибератаки на банки есть и в практике "АльфаСтрахования", но суммы выплат в компании не обнародуют. "Надеемся, что сработавшее страховое покрытие сыграло ключевую роль в том, что убытки банка, возмещенные страховщиком, остались незамеченными ни для прессы, ни для клиентов",— говорит глава управления страхования финансовых рисков "АльфаСтрахования" Андрей Макаренцев.

В российской практике компании AIG было несколько случаев возмещения ущерба от атак на банки ради кражи денег со счетов, рассказывает руководитель отдела страхования финансовых рисков AIG в России Владимир Кремер. Убытки покрывались по страховке от мошенничества, а выплаты, по его словам, составили "несколько сот тысяч долларов". "Но это только возмещение ущерба от кражи",— подчеркивает он. Затраты клиента на IT-расследование инцидента и прочие расходы (юридические, PR) покрываются в рамках отдельного полиса по киберрискам, уточнил Кремер.

В западной практике встречаются более крупные выплаты. В отчете международного страхового брокера Willis Towers Watson указывается, что в 2008 году было выплачено $60 млн предприятию финансового сектора в результате взлома данных, что привело к перевыпуску карт покупателей. В 2007 году $40 млн возмещения получило предприятие ритейла, у которого из-за несанкционированного проникновения в систему оказались скомпрометированы номера 45 млн карт клиентов. А в 2011 году хакеры взломали сеть компании в сфере бытовой электроники, и получили доступ к данным 31 млн пользователей онлайн-игры. Сумма страховки составила $15 млн.

"Наш клиент — сеть универмагов класса люкс — получил уведомление от эмитента кредитных карт о взломе системы, в результате чего были скомпрометированы персональные данные 35 тыс. держателей карт универмага",— рассказывает о международном опыте AIG Владимир Кремер. Страховая компания потратила $200 тыс. на то, чтобы уведомить держателей и заменить карты, а также на услуги кредитного мониторинга.

Масштаб угрозы

Ежедневно жертвами киберинцидентов в России становятся 16 компаний, которые теряют в день в общей сложности почти 500 тыс. руб.,— эти данные компании Group IB, специализирующейся на расследовании и предотвращении высокотехнологичных преступлений, приводит замдиректора департамента страхования финансовых линий "Альянс" Вадим Михневич. "Расходы на восстановление дееспособности систем составляют $20-60 тыс.",— добавляет он. В целом в 2016 году ущерб мировой экономики от действий киберпреступников превысил $35 млрд, говорит Андрей Макаренцев.

По данным Group IB, в России ущерб в связи с атаками на банки в 2015-2016 годах составил более 1,5 млрд руб. При этом средняя сумма хищения у юрлица в интернет-банкинге — 480 тыс. руб., а если брать целевые атаки на банк, средняя сумма --140 млн руб. (данные за 2016 год). Большая часть подобных рисков не покрывалась страховкой, поясняют в "Альянсе", так как далеко не все российские банки покупают покрытие ECC (Electronic Computer Crime; спецусловия страхования, которые привязаны к банковской деятельности и касаются умышленных противоправных действий), а отдельные полисы киберрисков вообще не покупают.

Глобальный объем рынка страхования киберрисков оценивается в $2,5 млрд сборов, говорит Вадим Михневич. Причем 80% премий приходится на США — из-за жесткого законодательства и развитой IT-инфраструктуры. Для сравнения: по данным ЦБ, страхование финансовых рисков в целом (киберриски в статистике не выделяются) принесло российским страховщикам 14,4 млрд руб. из 1 трлн руб. сборов в 2015 году.

От киберугроз, как правило, страхуются банки и компании финансового сектора, профучастники рынка ценных бумаг — биржевые регистраторы и депозитарии. В целом необходимость такого полиса признают компании, которые хранят большие объемы персональных данных,— интернет-магазины, компании телекоммуникаций, участники рынка здравоохранения, производственные предприятия, добавляет Вадим Михневич.

Мы чаще сталкиваемся не с киберпреступлениями, а с бытовыми историями — муж по доверенности дал поручение на продажу акций жены, вывел деньги на ее карту и потратил с нее деньги

На медучреждения в мире обрушивается на 340% больше кибератак, чем в среднем на компании других секторов, приводит данные компании Raytheon председатель наблюдательного совета Российского антитеррористического страхового пула Александр Гульченко. "Во-первых, их системы в среднем хуже защищены, так как используют старое оборудование,— объясняет эксперт.— Во-вторых, они хранят ценные сведения: имена, даты рождения, номера страховок, диагнозы, платежную информацию. С помощью этого хакеры могут подделывать документы для покупки и перепродажи лекарств, для обращений по мнимому страховому случаю. На черном рынке США мединформация ценится гораздо дороже, чем номер кредитной карты".

В российской практике законы не стимулируют бизнес страховаться от компьютерных взломов. "Штрафы за нарушение законодательства о персональных данных у нас не так велики, как в Европе и США,— говорит Вадим Михневич.— Например, в Европе штраф доходит до 4% консолидированного оборота компании". В России же штраф для юрлиц составляет 5-10 тыс. руб. (ст. 13.11 КоАП РФ), а нарушение тайны частной жизни (ст. 137 УК РФ) предусматривает штраф до 200 тыс. руб.

Нет в нашей стране и громких случаев с исками к компаниям (например, интернет-магазинам) от клиентов, чьи персональные данные были украдены при взломе, добавляет исполнительный директор, член правления "Согаза" Дмитрий Талаев: "А пока таких случаев нет, нет и осознания важности страхования этих рисков".

Кроме того, непонятно, как будет оцениваться ущерб,— это тоже удерживает наши компании от покупки киберполисов. "По идее у страховщика должен быть полный доступ к данным застрахованного клиента — думаю, что не все готовы его предоставить в полном объеме",— перечисляет возможные затруднения технический директор холдинга высокотехнологичного кредитования ID Finance Павел Шарейко. Страховщики, с другой стороны, жалуются на ограниченные возможности в расследовании таких случаев, это препятствует урегулированию, считает заместитель главы департамента андеррайтинга СК МАКС Алексей Хуторянский.

Но дело не только в спросе — страховщиков, готовых предоставлять такое покрытие в России, можно пересчитать по пальцам, признает гендиректор страхового общества "Помощь" Александр Локтаев. Причина — недостаток экспертизы: правильно оценить и тарифицировать эти риски под силу лишь крупным СК.

"Для оценки страховой премии и выплат потребуется информация о частоте инцидентов, возможном ущербе, мерах, принятых организацией для минимизации вероятности инцидента и ущерба, об эффективности и оперативности этих мер",— рассказывает замдиректора по развитию бизнеса Positive Technologies в России Алексей Качалин. Такие данные могут представить лишь эксперты по информационной безопасности.

Даже участники рынка ценных бумаг — целевой сегмент страхования киберрисков — замечают, что страховщики не рвутся их страховать. "Страховщикам не всегда понятны риски профучастников-брокеров. Это сложнее, чем массовые продукты типа каско,— рассуждает основатель интернет-магазина акций Freedom24.ru Дмитрий Панченко.— Мы на тендере получили адекватные предложения только от двух компаний, остальные были очень дорогими и длительными по процедуре".

При этом страховаться имеет смысл комплексно, считает Панченко, а страхование именно от киберугроз сделает покупку акций непривлекательной, так как тарифы страховых компаний высоки. "Мы чаще сталкиваемся не с киберпреступлениями, а с бытовыми историями — муж по доверенности дал поручение на продажу акций жены, вывел деньги на ее карту и потратил с нее деньги",— рассказывает Дмитрий Панченко. По его словам, Freedom24.ru страхуется от киберугроз тем, что все значимые процессы — переводы ценных бумаг, ввод-вывод денег — замыкает на внутреннвих сотрудников, а также инвестирует в IT.

Эксперты сходятся на том, что рынок страхования киберрисков неизбежно будет расти из-за проникновения технологий и повышения изощренности хакеров. За пять лет рост может быть 2-3-кратным, говорит Вадим Михневич. В России уже появляются программы с покрытием рисков виртуального вымогательства и ущерба деловой репутации. "Имущества в электронном виде становится все больше — значит, появится и его страхование",— резюмирует Дмитрий Панченко.

Вся лента