Защиты нет, но возможно возмещение
Какие банковские риски нужно страховать
В конце октября Минфин одобрил законопроект об ответственности банков перед клиентами, пострадавшими от мошенников, его рассмотрение Госдумой планируется в текущую сессию. А это означает, что добавляется новый риск, за который банк несет финансовую ответственность перед клиентами. Поэтому возникает резонный вопрос: какие из старых и новых банковских рисков можно, нужно и получится застраховать.
Фото: Евгений Павленко, Коммерсантъ
Страховке не подлежит
Участившиеся DDoS-атаки, совершенствующиеся методы социальной инженерии, расширяющееся мошенничество, санкционное давление — жизнь банков становится все труднее, а банки нуждаются в страховке. Но несмотря на то что страховка не избавляет от рисков, она помогает справиться с их последствиями.
Самым серьезным риском для банковского сектора на сегодня являются последствия экономических санкций, которые больно ударили практически по всем финансовым организациям и по российскому бизнесу в целом. Однако это именно то, от чего застраховаться невозможно, ни буквально, ни образно.
«Форс-мажор при введении каких-то ограничительных мер, санкций, например, не является страхуемым риском»,— подчеркивает генеральный директор аналитического агентства «БизнесДром» Павел Самиев.
Кредитный риск с точки зрения невыполнения обязательств кредитного характера по ценным бумагам, по облигациям, по займам сам по себе тоже не страхуется, как и дефолты — корпоративные или суверенные.
Хотя есть специальное кредитное страхование при торговых операциях, в том числе импортных и экспортных. Но в условиях тотальных санкций, скорее всего, страховщик отнесет ситуацию к форс-мажорным обстоятельствам, которые освобождают его от выплат.
Киберстраховка с кибераудитом
На втором месте по значимости и наносимому банкам ущербу — так называемые киберриски, которые можно разделить на три составляющие:
- кибератаки на банки, которые приводят к нарушениям в работе и/или утечке данных;
- взлом личных кабинетов и мобильных приложений отдельных лиц;
- вывод денег с личных счетов клиентов с помощью методов социальной инженерии.
Киберриски в чистом виде — масштабные атаки на представителей финансового сектора — растут не только количественно, но и меняются качественно. По сообщению заместителя председателя ЦБ РФ Германа Зубарева, в третьем квартале 2022 года число DDoS-атак на финансовые организации удвоилось по сравнению с аналогичным периодом прошлого года, при этом количество атак с использованием вредоносного программного обеспечения увеличилось на четверть.
«Финансовые институты, а особенно банки, находятся в наиболее рисковой зоне с точки зрения киберинцидентов»,— соглашается руководитель управления финансовых рисков «АльфаСтрахования» Екатерина Крючкова, которая считает, что страхование киберрисков для многих банков единственный вариант решения проблемы возмещения IT-убытков. Как пояснил зампред ЦБ, есть атаки хакеров-активистов, с которыми справляются программы, работающие без участия человека. А есть профессиональные целевые атаки, которые имеют длительный эффект и наносят серьезный ущерб банку. В них могут быть и элементы фишинга, и даже участие сотрудников банка, которые вставляют носитель с вредоносной программой в рабочий компьютер.
Кредитные организации довольно хорошо защищены от киберрисков, отмечает Сергей Ентц, председатель совета директоров банка «Держава», поскольку и банки сами совершенствуют защиту, и ЦБ постоянно ужесточает требования информационной безопасности в секторе. «Банки тратят значительные средства на организацию систем антифрода — если придется еще и страховать риски, затраты окажутся чрезмерными,— говорит Сергей Ентц.— Если, к примеру, вводить обязательное страхование ответственности кредитных организаций, то, вероятно, следует ослабить требования к защите, чтобы ответственность была переложена на страховые компании. А вот захотят ли они взять ее на себя — это большой вопрос».
Екатерина Крючкова считает, что российские страховщики сегодня не готовы предоставить крупным банкам необходимую страховую емкость, которой было бы достаточно для покрытия масштабных IT-убытков таких страхователей.
И все же кибератаки на банки — это как раз тот операционный риск, который страхуется, так как можно идентифицировать внешнее воздействие на систему.
«СберСтрахование», один из лидеров на рынке киберстрахования, предлагает корпоративным клиентам программы страхования от киберрисков, которые предусматривают защиту от потери данных или информационных систем в целом, перерыва в производстве, кражи финансовых активов, а также страхование гражданской ответственности и дополнительных расходов на расследование и восстановление данных. Продукт представляет собой конструктор: клиент может выбирать наиболее актуальные для себя риски, а также объем страхового покрытия.
Как отмечает Владимир Новиков, директор по рискам «СберСтрахования», этот вид набирает популярность: в 2021 году было заключено в 2,7 раза больше договоров, чем в 2020-м. Эксперт полагает, что в банковской отрасли киберстрахование сегодня является фактически обязательным, но только наряду с внедрением самых современных способов киберзащиты.
«Страховка — способ справиться с последствиями непредвиденного события, но не способ избежать их. Поэтому вместе с киберстраховкой страховщики часто предлагают услуги по кибераудиту систем защиты и составлению плана по их усилению»,— рассказывает господин Новиков.
По мнению госпожи Крючковой, страхование классических киберрисков сейчас «рынок середняка». Именно средние по размеру финансовые организации не в состоянии тратить большие средства на создание собственных эффективных современных систем антифрода, но могут себе позволить застраховать подобные риски.
Повод для новой страховки
По данным экспертов, в 2021 году совокупное количество операций по переводу денежных средств без согласия клиента и случаев, когда применялась «социальная инженерия», то есть человек сам передал злоумышленникам доступ к своим счетам, увеличилось на 33,8% (1035,01 тыс. операций против 773,27 тыс. операций годом ранее).
С подачи мегарегулятора и при поддержке Минфина у банков вскоре может возникнуть еще один риск — ответственность перед клиентами, пострадавшими от мошенников. Довольно спорный законопроект (№197920–8) об обязанности банков возмещать в полном объеме в течение 30 дней средства, похищенные мошенниками, внесен в Госдуму в конце сентября главой комитета по финансовому рынку Анатолием Аксаковым. Из пояснительной записки следует, что обязанность будет действовать даже при применении методов «социальной инженерии». В конце октября Минфин одобрил законопроект, его рассмотрение Госдумой планируется в текущую сессию.
Если законопроект будет принят, это усложнит проведение трансакций, так как банки будут перестраховываться и перепроверять операции, чтобы потом не пришлось возвращать клиенту деньги. Проводить сверку с базой данных о случаях и попытках переводов денежных средств без согласия клиента, которую ведет Банк России, придется не только банку плательщика, но и банку получателя средств.
Уже сейчас автоматизированная банковская система проверяет обрабатываемые заявки на совпадение информации о получателе средств, о параметрах устройств с информацией, полученной из базы данных о подобных мошеннических случаях. Анализируется характер, параметры, объемы проводимой операции (время, дни, суммы, место, устройство, с которого заходит клиент). При нестандартных параметрах платежа операция блокируется, банк связывается с клиентом для ее подтверждения, рассказывает Сергей Ентц. Если банки обяжут возвращать клиенту похищенные средства полностью, количество таких ситуаций возрастет кратно, полагают эксперты.
Впрочем, подобные нововведения наводят на мысль о возможном появлении в скором времени интереса кредитных организаций к страхованию своей ответственности перед клиентами (сейчас ее практически никто из банков не страхует). Однако пока энтузиазма ни у страховщиков, ни у банков по этому поводу не наблюдается.
В отличие от массированной DDoS-атаки, которую легко распознать и доказать, при взломе отдельного личного кабинета возникает вопрос, а не причастен ли к этой «атаке» сам клиент банка. Вывод средств с участием клиента, который просто не осознает, что делает, отдавая пароли,— еще более сомнительная история, которую страховщики, скорее всего, будут брать на страхование крайне неохотно.
«Важным представляется решение вопроса, как отличить событие ущерба в связи с недостатком информации или опыта у лица, совершающего операции в интернете, от события мошеннического характера со стороны клиента банка или его сговора с реальным "мошенником"»,— отмечает Игорь Лаппи, руководитель страховой группы Совкомбанка. Критерии представляются размытыми, интерпретации могут быть и в пользу потерпевшего, и против, поясняет эксперт, подчеркивая, что проведение расследования по таким инцидентам затруднительно.
Павел Самиев считает инициативу неправильной, особенно если дело касается применения социальной инженерии. «Если обязать банки нести ответственность за рискованные действия человека, то это будет перекладываться на всех клиентов — это будет заложено в тарифы банков. То есть фактически платить мошенникам будет весь рынок»,— говорит господин Самиев. Если же имела место уязвимость системы банка перед кибермошенниками — это реализация киберриска, банк должен нести за это ответственность, этот риск можно застраховать, отмечает эксперт. Но доказывать, что это не сам клиент «взломал» собственный личный кабинет под видом внешнего проникновения, скорее всего, придется в суде. Если подобная судебная практика будет наработана, возможно, некоторые страховщики разработают продукты под такие риски.