IT-компании рискуют перестраховаться
Правительство и бизнес обсуждают введение обязательного страхования от кибератак
В правительстве и IT-отрасли активно обсуждается введение в России механизма обязательного страхования компаний от кибератак, число которых продолжает расти. Летом данную инициативу выдвинул Совфед, в контексте введения оборотных штрафов за утечки персональных данных о ней говорило и Минцифры. Однако пока четких критериев оценки ущерба для компенсации нет, а ЦБ, регулирующий рынок страхования, считает, что для создания единых требований к такой услуге должен быть наработан достаточный опыт в этой сфере.
Публично обсуждать инициативу о создании механизма страхования компаний от кибератак в правительстве начали летом. Член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин 30 июня сообщил СМИ, что создание рынка страхования от киберугроз в России — «важная инициатива, которая может существенно улучшить кибербезопасность в стране». «Подобно тому как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных»,— говорил господин Шейкин «РИА Новости». Подробно разрабатывать механизм киберстрахования в парламенте планировали начать осенью нынешнего года.
Как рассказал “Ъ” Артем Шейкин, на данный момент сенаторы получают обратную связь по вопросу создания обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. «Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования была направлена как раз на борьбу с утечками персональной информации»,— напоминает он. Внести законопроект в Госдуму планируется после создания необходимой нормативной базы.
IT-отрасль встречает инициативу сенаторов с интересом, так как ранее подобного механизма на законодательном уровне не было, и компании по-прежнему рискуют пострадать от кибератак, при этом не получая никакой компенсации. «Когда летом Совет федерации предложил идею киберстрахования, это вызвало активные дискуссии среди экспертов и представителей бизнеса»,— рассказывает гендиректор IT-компании ONLY Кирилл Владимиров. Бизнес уже активно пользуется различными страховыми продуктами, такими как имущественное страхование или страхование ответственности, объясняет он. Но именно киберугрозы, такие как взломы, шифровальщики, фишинг или DDoS-атаки, становятся все более актуальными, рассуждает он.
Директор компании Ideco Дмитрий Хомутов считает, что киберстрахование предназначено для компенсации финансовых затрат бизнеса из-за инцидента, связанного с нарушением кибербезопасности: покрытие расходов на юридическую и PR-помощь, компенсация клиентам и контрагентам, восстановление работоспособности информационной системы. Также оно сопровождается экспертной поддержкой — анализ уязвимостей, разработка регламентов противодействия и реагирования киберугрозам.
«Главное преимущество киберстрахования заключается в том, что оно предоставляет финансовую защиту в случае успешной кибератаки. Это особенно важно, если учесть масштабы возможных убытков от таких атак — например, когда из-за действий злоумышленников компания может потерять доступ к критическим данным или, что еще хуже, допустить утечку персональных данных клиентов»,— отмечает Кирилл Владимиров.
Повод задуматься
Интерес к страхованию компаний от угрозы и последствия кибератак бизнес начал проявлять с 2022 года, когда число атак на российскую IT-инфраструктуру резко возросло, а также участились случаи утечек персональных данных. Угроза остается ощутимой: общее число кибератак на российские компании в апреле—июне выросло почти в два раза, до 12,7 тыс. инцидентов, сообщали в МТС RED. Особенно активизировались хакеры в отношении IT-компаний: количество таких атак увеличилось вчетверо, до 4 тыс. По данным Positive Technologies, доля IT-компаний в общем числе атакованных почти утроилась и достигла 17% от всех жертв хакеров. В «Газинформсервисе» отмечали рост атак на IT-компании на 20–25%. При этом именно IT-организации реализуют в России программы импортозамещения и занимаются хранением и обработкой данных своих клиентов (см. “Ъ” от 29 августа).
Обсуждение механизма страховых выплат компаниям из-за утечек данных и других инцидентов появилось в контексте законопроекта об оборотных штрафах, который разрабатывается Минцифры, чтобы ужесточить работу с персональными данными любых компаний в России. Однако он пока так и не был внесен в Госдуму. В прошлом году в Минцифры сообщали “Ъ”, что рассматривают варианты механизма возмещения вреда субъектам персональных данных вследствие утечек, к которым «относится страхование операторов данных от указанных рисков». Как сообщал РБК, к июлю в правительстве закончили рассмотрение законопроекта, его финальная версия предусматривает максимальный штраф за утечку данных до 3% выручки компании.
По данным «Союз Страхования», спрос на покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд руб. В «АльфаСтраховании» отмечали, что из-за роста киберрисков спрос на такое страхование со стороны бизнеса стал «более предметным и осознанным».
Зарубежный опыт
По июльской оценке индийской консалтинговой компании MarketDigits, в 2023 году мировой рынок киберстрахования составляет $13,33 млрд, и аналитики прогнозируют, что к 2030-му он достигнет $84,62 млрд, а среднегодовой темп роста составит 26,1%. Эксперты считают, что стимулом роста направления стала пандемия COVID-19, которая ускорила цифровизацию бизнеса и вынудила организации перейти на удаленную работу, что привело к росту уязвимости IT-систем.
Сейчас же на желание компаний «перестраховаться» влияет продолжение роста кибератак и утечек данных. Например, пишут исследователи, в марте 2022 года хакеры украли криптовалюту почти на $540 млн из проекта блокчейна Ronin. Однако в других странах ситуацию видят иначе: согласно результатам недавнего исследования страховой компании QBE Insurance Group в Сингапуре, проводимого при участии малого и среднего бизнеса, 39% респондентов не рассматривают приобретение страховки от кибератак. Объясняют компании это тем, что не видят реальных угроз со стороны хакеров и не думают, что могут быть серьезно атакованы. К тому же 54% респондентов говорят, что не хранят конфиденциальные данные в интернете и, следовательно, не видят необходимости в киберстраховании.
Также среди сдерживающих факторов глобальные аналитические компании видят высокую стоимость страховых пакетов: ставки страховых взносов в целом выросли на 30%, а такие компании, как American International Group Inc., сокращают лимиты страхового покрытия по мере роста затрат, пишут аналитики MarketDigits. Кроме того, пока нигде нет единого стандарта, по которому было бы возможно сформировать страховое предложение. То есть как именно классифицировать те или иные потери компании из-за хакерской атаки, начиная от кражи конфиденциальных данных и заканчивая исками от пользователей сервисов, чьи данные оказались в сети.
Интерес к киберстрахованию за рубежом наступил после введения оборотных штрафов за утечку персональных данных, и не исключено, что с введением аналогичных законодательных мер в России услуги киберстрахования станут востребованными, считает гендиректор Security Vision Руслан Рахметов. Особенно среди компаний, обрабатывающих огромные массивы пользовательских данных, отмечает он: маркетплейсов, интернет-гигантов, банков, страховых и медицинских учреждений и т. д. Кроме того, субъектам критической инфраструктуры (КИИ, телеком, ТЭК и т. д.) также имеет смысл обратить внимание на киберстрахование, особенно с учетом тяжести потенциальных негативных последствий от кибератак на их объекты.
Киберстраховой пакет для российского рынка
По данным консалтинговой компании Kept по итогам 2022 года, рынок страхования в России в целом растет умеренными темпами: в среднем аналитики констатировали его рост на 2% в 2022 году и прогнозировали рост на 1% в 2023-м. Аналитики напоминали, что ухудшение макроэкономической ситуации в начале 2022 года сказалось на страховом рынке: сборы за первое полугодие 2022-го сократились на 3,6% относительно первой половины 2021-го. Но эксперты ожидают, что в 2023 году объем сборов страховых компаний составит 1,8 трлн руб.
Рынок страховых услуг в целом в первую очередь регулирует Банк России. В ЦБ “Ъ” отметили, что создание нового института страхования киберрисков является одной из задач, определенных стратегическим документом Банка России «Основные направления развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы».
Однако, по мнению Банка России, для установления единых требований к такому страховому продукту страховщиками должен быть наработан достаточный опыт в этой сфере. Кроме того, до введения обязательного страхования киберрисков следует определить объект страхования, провести всестороннюю экономическую оценку целесообразности этого инструмента защиты интересов потребителей, а также проанализировать предполагаемый объем требований по возмещению вреда и расходов участников страхового рынка.
Артем Шейкин со своей стороны отмечает, что формирование правовых основ для создания ОКРУГа потребует изменений в налоговом законодательстве. Сейчас закон не разделяет ответственность за утечки персональных данных, содержащие, к примеру, ФИО и номер телефона, и утечки биометрических данных. Кроме того, говорит сенатор, предстоит создать институт оценки киберзащищенности с методикой проведения оценки, который позволит привлекать широкую экспертизу для оценки защищенности, но не отдельных уязвимостей, а возможности критических потерь путем кибератак.
Эксперты в области кибербезопасности также видят ряд нерешенных вопросов к инициативе. Киберстрахование — теоретически полезный инструмент, который позволит диверсифицировать риски цифровизации, а потому легче внедрять инновации, отмечает замгендиректора ГК «Гарда» Рустэм Хайретдинов. Но внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных в этом ущербе натолкнется на всплеск страхового мошенничества или заградительных ставок.
Также, предупреждает он, обязательное страхование, не подкрепленное бизнес-смыслом, станет просто очередным налогом. По мнению ГК «Гарда», полезно будет начинать с малого, например страховать только ущерб от простоев или страховать компанию от штрафов, наложенных государственными органами: «Это позволит накопить статистику и наладить независимую оценку ущерба и методики выявления виновников инцидента».