В России может появиться аналог ОСАГО для IT, страховка будет покрывать потери компаний от хакерских атак и утечек данных. Для полиса даже выбрали название — ОКРУГ, что расшифровывается как «обязательное киберстрахование рисков и угроз», рассказал сенатор Артем Шейкин. Как будет устроен продукт, пока непонятно, в Совете федерации начнут разрабатывать идею осенью. По задумке парламентариев, страховка стимулирует бизнес тщательнее следить за кибербезопасностью. Доберется ли такой инструмент до рынка? Разбирался Иван Хорушевский.
Фото: Анатолий Жданов, Коммерсантъ
Фото: Анатолий Жданов, Коммерсантъ
В прошлом году российские компании пережили около 1 млн хакерских атак, в Сеть утекло больше 0,5 млрд строк данных, рассказали в Совете федерации, объясняя, почему именно сейчас задумались о создании «ОСАГО» для IT.
Пока об инициативе известно мало, однако вопросы к ней уже возникли. Ключевые — кого будут страховать? Какие потери покрывать? И в какую цену продукт обойдется бизнесу?
Парламентарии заявляют, что получить полис смогут любые предприятия независимости от размеров. Но какие расходы юрлицам компенсируют, пока неизвестно. Пока предлагается несколько вариантов страховки: первый — на восстановление IT-инфраструктуры, второй — на выплаты жертвам атак. Кроме того, компаниям вскоре могут грозить штрафы за утечки — от 5 млн руб. до 3% от годового оборота.
Последний пункт, впрочем, страховка вряд ли покроет, полагает сооснователь компании «Б-152» Максим Лагутин:
«От киберинцидентов страховки есть, то есть если компания пострадала из-за атаки, то ей компенсируют утерянную прибыль, затраты на восстановление структуры. Мне кажется, что речь идет именно о возмещении вреда физлицам, так как они будут пострадавшими, в размере нескольких тысяч или десятков тысяч рублей».
Правда, компенсируют потери жертвам атак компании пока неохотно. «Яндекс. Еда», например, после прошлогодней утечки, когда в Сети оказались данные миллионов пользователей, выплатила деньги лишь 13 клиентам — каждому по 5 тыс. руб.
От того, сколько бизнесу придется тратить на пострадавших, зависит и стоимость полиса. Этот параметр, впрочем, не единственный. Важно и то, насколько бережно компания относится к данным клиентов. Если у нее выстроены надежные системы киберзащиты, то аналог ОСАГО обойдется дешевле, объяснили в Совете федерации.
Но как оценивать бизнес по этому критерию, неясно, заметил управляющий директор и партнер компании «IT-Резерв» Павел Мясоедов:
«Например, бизнес предоставит информацию страховой о том, как хранятся данные пользователей. И какой-то внешний аудит решит провести penetration test, то есть попытается взломать систему защиты, оценить насколько это легко, есть ли уязвимости, и на основании этого предоставит свои рекомендации.
То есть страховой продукт при имеющейся структуре кибербезопасности обойдется в одну сумму, в случае исправления обнаруженных уязвимостей — в другую. Но кто станет этим внешним экспертом? Если бы у нас было достаточное количество подобных профессиональных игроков, то мы бы это все давно решали».
Вопросы к инициативе возникают и у страховых компаний. Непонятно, к примеру, как гарантировать, что продуктом не воспользуются мошенники, подчеркнул заместитель генерального директора компании «РЕСО-Гарантия» Игорь Иванов:
«Очень большая тут проблема — подтверждение страхового случая. И есть крайне большие риски злоупотреблений и мошенничества, потому что можно же сделать все, что необходимо для защиты информации, а можно ничего не делать, понадеявшись на страховую защиту.
Можно тщательно проверять сотрудников, которых выбирают на работу, а можно брать всех подряд и люди будут выносить информацию терабайтами».
Другими словами, пока бизнес к инициативе Совета федерации настроен критически. Логика у предпринимателей простая: если страховые агенты в ходе аудита укажут на проблемы с IT-безопасностью, зачем тогда платить за страховку? Проще потратить бюджет на устранение проблем.
С нами все ясно — Telegram-канал "Ъ FM".