Операторов персональных данных могут обязать страховать риски утечек персональных данных. Минцифры рассматривает такой механизм в том числе для возмещения ущерба пострадавшим субъектам. Пока такие сервисы предоставляют узкий круг организаций, где ожидают, что к 2027 году не слишком значительный сейчас объем рынка может составить 10 млрд руб. Но эксперты говорят о сложности сегмента, в котором нередко трудно даже определить само понятие «страховой случай», а также доказать его.
Фото: Дмитрий Лебедев, Коммерсантъ
В Минцифры рассказали “Ъ”, что рассматривают варианты механизма возмещения вреда субъектам персональных данных вследствие утечек, к которым «относится страхование операторов данных от указанных рисков». Речь идет о предложенных министерством поправках к КоАП, по которым компания, допустившая инцидент, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему (см. “Ъ” от 30 мая). Станет ли страхование рисков утечек обязательным, в Минцифры не уточнили.
В России услуги «киберстрахования», как называют их сами компании, предоставляют «АльфаСтрахование», «Согаз» и «СберСтрахование». По данным компании «Союз Страхование», спрос на страховое покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд руб. «По самым смелым прогнозам, в течение пяти-семи лет страховать киберриски станет большинство крупных российских компаний, это будет нормой делового оборота компаний»,— считает гендиректор «Союз Страхование» Олег Ханин.
На фоне увеличения числа кибератак в РФ в 2022 году интерес к киберстрахованию растет, становится «более предметным и осознанным», говорят в «АльфаСтраховании», не раскрывая показателей.
«СберСтрахование» предлагает страховку юрлиц и ИП, поддержка осуществляется партнером Сбербанка — BI.Zone. «В 2022 году киберстрахование остается перспективным направлением, у рынка есть потенциал к росту»,— считают в «СберСтраховании». В компании ожидают сохранения интереса бизнеса, но прогнозировать объем рынка на 2023 год не берутся. В «Согазе» “Ъ” не ответили.
С начала военных действий на Украине в России резко возросла угроза кибератак, от DDoS до вирусных рассылок. Также участились случаи утечек данных: по данным InfoWatch, в РФ за первую половину 2022 года «утекли» 305 баз, что на 45,9% больше, чем за тот же период прошлого года (см. “Ъ” от 15 августа). Но еще до конфликта аналитики прогнозировали рост рынка киберстрахования во всем мире. По оценке Allied Market Research, к 2022 году глобальный рынок таких услуг должен был достичь $14 млрд, а по прогнозу Allianz, в 2025 году — $20 млрд.
Однако не все участники рынка считают киберстрахование перспективным бизнесом. «Тренд развивается за рубежом, особенно в США, но пока нам неизвестно о реальных кейсах в России,— подчеркивает собеседник “Ъ” на IT-рынке.— Практически такие услуги пока нереализуемы из-за непредсказуемости угроз, в том числе поскольку ландшафт угроз в моменте весьма нестабилен».
Неясен и правовой потенциал киберстрахования, отметил Олег Ханин.
«Законом запрещены выплаты вымогателям, а это один из самых распространенных методов кибермошенников на данный момент. И сейчас страховая компания не может покрыть инцидент, если клиент перевел средства хакерам»,— сказал он.
Основная проблема услуги в том, что сложно определить понятие «страховой случай», так как киберриски находятся на стыке с другими операционными рисками и ранее не входили в сам страховой пакет, поскольку зависели он множества факторов, говорит гендиректор агентства «Бизнесдром» Павел Самиев. «В их числе, например, действия сотрудников, которые допустили утечку»,—отмечает он. Второе значимое препятствие для развития сегмента, по его мнению, состоит в том, что киберпреступления сложно раскрыть и доказать, как и подтвердить сам факт инцидента. Из-за этого, полагает господин Самиев, могут возникать споры между страховой компанией и клиентом.