Не всякая утечка ведет к ущербу
Почему обязательное киберстрахование не спасет от утечек персональных данных
Массовые утечки персональных данных в 2022–2023 годах побудили законодателей выступить с инициативой, предложив ввести обязательное киберстрахование для операторов персональных данных, то есть для всех компаний без исключения. Участники рынка и эксперты по кибербезопасности преимущественно против массовой практики подобной обязаловки, поскольку киберриски необходимо оценивать индивидуально, исходя из реалий каждого предприятия, а причиненный ущерб сложно подсчитать. При этом рассматриваемая инициатива теоретически могла бы стать новой точкой роста для страховых компаний. В международной практике обязательного страхования киберрисков нет.
Фото: Евгений Павленко, Коммерсантъ
Между страховкой и штрафом
Причина стремления законодателей защитить интересы граждан на волне огромного массива утечек данных вполне понятна. По статистике центра мониторинга внешних цифровых угроз Solar AURA ГК «Солар», с января по октябрь 2023 года в публичный доступ попали данные более 330 российских организаций. «Это означает, что каждый день в России происходила как минимум одна утечка,— указывает директор центра противодействия кибератакам Solar JSOC ГК "Солар" Владимир Дрюков.— В том числе хакеры выложили в сеть почти 220 млн телефонных номеров, что превышает численность населения РФ в полтора раза». Разумеется, приведенные примеры не первые случаи подобного рода в публичном поле.
То есть о важности страхования киберрисков говорили всегда, однако в 2023 году этот вид страхования предложили сделать обязательным. Идею выдвинул летом 2023-го Совет федерации. «Если организация является оператором по обработке персональных данных граждан, то возникает необходимость иметь финансовое обеспечение на постоянной основе, которое будет использовано для возмещения вреда, причиненного субъектам персональных данных, в случае нарушения законодательства,— пояснил инициативу член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин.— Если из-за действия или бездействия операторов будет допущена утечка персональных данных граждан, то созданное финансовое обеспечение в первоочередном порядке направляется на возмещение вреда субъектам персональных данных». А так как с персональными данными работают все компании: от «Газпрома» до микропредприятия с двумя сотрудниками, то и возмещать ущерб от утечки должны будут все. Законопроект находится в стадии доработки и получения обратной связи от заинтересованных ведомств, отметил сенатор. Проект концептуально был поддержан Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.
На данный момент невозможно однозначно сказать, какой вариант финансового обеспечения будет закреплен в законопроекте после согласования во всех ведомствах, однако в первоначальной версии документа упор делался на страховании — речь шла об обязательном киберстраховании рисков и угроз (сокращенно — ОКРУГ).
Артем Шейкин также указал, что введение ОКРУГа (или иного способа возмещения ущерба, если он будет предусмотрен) может напрямую повлиять на практику привлечения операторов к административной ответственности за утечку персональных данных.
Напомним, 4 декабря в Госдуму был внесен законопроект «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», предлагающий увеличение штрафов за утечку персональных данных в разы. Так, неуведомление Роскомнадзора об утечке обойдется в 1–3 млн руб., утеря данных физлиц — 3 млн, повторная же утечка обойдется минимум в 20 млн руб. Сенатор рассказал, что пока в проекте не предусмотрены нормы, снижающие ответственность компаний, компенсировавших ущерб пострадавшим, однако «окончательно этот вопрос будет решаться при обсуждении законопроекта ко второму чтению».
Сложно подсчитать
«В СМИ идею обязательного киберстрахования сравнивают часто с ОСАГО, причем в негативном ключе: якобы это квазианалог,— говорит генеральный директор SafeTech Денис Калемберг.— Однако тот же ОСАГО оказывается нелишним, когда лично твоя машина попадает в ДТП с дорогим авто, поэтому сама по себе идея страховать киберриски — здравая, вопрос в реализации».
Директор «Академии информационных систем» Юрий Малинин соглашается, что «логика с утерей персональных данных третьих лиц должна быть простая: систему взломали, данные утекли — отвечай. Но при этом все должно быть дифференцированно причиненному ущербу, который сложно подсчитать».
Опрос экспертов по информационной безопасности показывает, что они с большой настороженностью относятся к идее застраховать киберриски всех без исключения операторов персональных данных. В том числе и потому, что киберриски необходимо оценивать индивидуально, исходя из реалий каждого предприятия.
«Очевидно, что заключению договора страхования должен предшествовать обязательный аудит информбезопасности, должен быть сформирован пул подрядчиков, которым страховая компания доверяет, страховые компании должны оценить риски по каждому клиенту»,— указывает Денис Калемберг.
«Возможны очевидные сложности с определением размера ущерба, поскольку пока большинство подобных кейсов непубличны, есть лишь единичные публикации и нет широкой базы, на основании которой страховые компании могут строить свои риск-модели,— рассуждает Юрий Малинин.— Это означает, что с большой долей вероятности тарифы будут максимально возможными».
«Этот вид страхования сложен и дорог, а возмещение по такому полису страхования киберрисков априори не может быть большим,— отмечает управляющий RTM-Group Евгений Царев.— Выдаче полиса должен предшествовать аудит по информбезопасности, в случае инцидента также необходимо тщательное расследование». Кроме того, продолжает эксперт, невозможно застраховать от всех возможных кибератак, ставших причиной утечки данных, значит, будут ограничения типа «утечка персональных данных в размере от 1 тыс. учетных записей, произошедшая в результате… Кроме того, работающие с персональными данными компании настолько различны, что при равнении их всех под единый стандарт будет пшик, а не полис. Работать это будет лишь при выделении сегмента рынка». Юрий Малинин также отмечает, что при поддержке регулятора целесообразно в качестве пилота отработать подобную инициативу на какой-то из отраслей.
«Однако если не будет четкой взаимосвязи между уровнем киберзащищенности и стоимостью полиса, то есть риски, что часть игроков может в принципе перестать инвестировать в информбезопасность»,— высказывает опасение коммерческий директор Servicepipe Данила Чежин.
Страховщики за «вмененность» страховок
Страховой рынок, в том числе и активно занимающиеся киберстрахованием игроки, в основном выступает против идеи сделать страхование киберрисков обязательным, хотя рассматриваемая инициатива теоретически могла бы стать новой точкой роста для страховых компаний.
По мнению Николая Галушина, гендиректора дочернего предприятия Банка России «Национальная страховая информационная система», обязательное страхование киберрисков нецелесообразно ни для одной из сторон: «Обязательное страхование по букве закона — это отдельный закон, публичный договор и тарифное регулирование, такая конструкция тяжела для всех участников правоотношений и для регулятора, который должен определять тариф».
С ним согласна председатель Совета Ассоциации профессиональных страховых брокеров Катерина Якунина, считающая более целесообразным введение вмененного страхования (добровольное страхование, покупка/наличие которого необходимы для получения доступа к некоторым видам деятельности, к тем или иным льготам, специальным возможностям, при таком страховании договор непубличен, тариф не регулируется, страховая компания вправе отказать в заключении договора).
Две основные проблемы
Заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов убежден, что киберстрахование — полезный инструмент, позволяющий диверсифицировать риски цифровизации и облегчающий внедрение инноваций. Но начинать надо с малого, например страховать компанию от штрафов, наложенных государственными органами, что даст возможность накопить статистику и наладить независимую оценку ущерба и методики выявления виновников инцидента.
Заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов
Фото: Предоставлено ГК InfoWatch
Расследования десятков инцидентов, которые привели к реальному ущербу, показывают две основные проблемы оценки ущерба. Первая: при желании можно обосновать любую наперед заданную сумму, особенно если дело касается утечек клиентской информации. Например, посчитать, что все клиенты, чьи данные утекли, не купили что-то из-за утечки. Вторая причина — почти всегда в инциденте есть доля вины и самого пострадавшего: его сотрудники могли нарушить какие-то правила — пользователи попались на фишинг, ИТ-служба не обновила ПО, программисты разработали ПО с «дырой», ИБ-служба неправильно настроила средства защиты и т. п. И если в отношениях между заказчиком и подрядчиком такая ситуация лишь повод к переговорам о дисконте штрафных выплат, то в случае участия страховой компании по инциденту, в котором вы виноваты сами, вы просто не получите никаких выплат.
Именно такое разночтение в оценке ущерба и определении виновного тормозит накопление статистики, без которой страховщики не могут точно определить взносы и выплаты. Страхование — это точная наука, опирающаяся на понятные математические модели, которые бессильны без накопленных данных.
Сегодня компании страхуют скорее невыполнение контрактных обязательств по защите от киберугроз. Скажем, компания заказывает сервис по защите от какого-то вида атак, если атака пройдет, то считается, что сервис выполнен не был, и оплата за заранее оговоренный период (обычно месяц, но бывает и квартал) не взимается. Риск невыполнения контрактных условий иногда перестраховывается исполнителем, а иногда весь риск берется исполнителем на себя. Средняя цена такой страховки — 10% от суммы контракта. Что касается усилий игроков рынка по страхованию не от невыполнения обязательств, а от понесенного ущерба или — идеально — упущенной выгоды, то они пока плодов не принесли — слишком по-разному оценивают свои потери и упущенную выгоду жертвы атак и страховые компании.
Обязательное страхование, не подкрепленное бизнес-смыслом, станет просто очередной обязательной статьей расходов, а бизнес любит расходы минимизировать, поэтому могут появиться полисы страхования «для галочки», которые можно предъявить проверяющим, но по которым выплаты получить нереально. То есть внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных в этом ущербе натолкнется на всплеск страхового мошенничества или заградительных ставок.
Руководитель управления страхования финансовых рисков «АльфаСтрахования» Алина Малышева отметила, что обязательное страхование хорошо подходит для совокупности однородных и независимых между собой в смысле риска объектов, поэтому в обязательном формате страхование для бизнеса может оказаться неспособным учесть различия между компаниями и их системами.
Не поддерживает идею обязательности и начальник управления страхования ответственности «Ингосстраха» Дмитрий Шишкин, считающий, что мир ИТ быстро меняется и страховым компания необходимо реагировать на изменения крайне оперативно, что невозможно при введении обязательного страхования.
Алексей Алькин, руководитель отдела страхования корпоративной ответственности и финансовых линий компании «Абсолют Страхование», полагает, что закон об оборотных штрафах и без введения обязательности страхования создаст естественный спрос у клиентов.
В «Югории» указывают, что для введения обязательности киберстрахования «требуется систематизация законодательства в сфере ИТ, стандартизация процедуры киберстрахования, разработка методик аудита защищенности систем, оценок уязвимости систем и оценки ущерба». А в ВСК считают, что при обязательности страхования есть риски избыточного регулирования.
В «Зета-страховании» уверены, что обязательное страхование киберрисков нужно в первую очередь небольшим компаниям, которым не хватает собственной экспертизы в организации защиты от ИТ-рисков. По словам вице-президента «РЕСО-Гарантии» Игоря Иванова, у МСБ, по сути, нет никакой защиты от киберрисков, в лучшем случае — антивирус, и брать таких клиентов на страхование ответственный страховщик не сможет.
Кроме того, как отмечает господин Галушин, не всякая утечка ведет к ущербу: «Те же утечки происходят в результате внешнего события, а сам держатель (скажем, оператор персональных данных) мог предпринимать все технические усилия для защиты чужих персональных данных, тем не менее система оказалась уязвима. Для начала нужно доказать, что он не принял всех должных мер защиты персональных данных, потом надо доказать, что в результате утечки персональных данных был нанесен ущерб их владельцу, а потом нужно установить величину такого ущерба в рублях, скорее всего — решением суда».
По мнению директора по маркетингу страхового брокера Remind Армена Гюлумяна, при обязательном страховании, которое должно быть максимально стандартизировано и унифицировано, наиболее вероятный подход вмененного ущерба — когда будет устанавливаться единый размер выплаты за утечку данных одного субъекта, например. К тому же порой крайне сложно (почти невозможно) установить, откуда именно утекли данные, потому что в открытый доступ часто выкладываются старые базы, слитые из разных источников. Армен Гюлумян отмечает, что любая обязательность страхования убивает конкуренцию, от введения такого вида страхования не выиграет никто. Страхование ответственности может быть обязательным, но оно должно зависеть от вида деятельности, а не покрывать одинаковые случаи (утечка данных) для совершенно разных отраслей, типов и размера организаций.
При этом президент ВСС Евгений Уфимцев отмечает, что в таком страховании не может быть единого тарифа, он должен зависеть от степени защищенности ИТ-систем компании и клиентских данных.
Международная практика
«На сегодняшний день страхование киберрисков не является обязательным ни в одной стране мира,— отмечает старший менеджер группы по оказанию услуг в области кибербезопасности Kept Марк Гордеев.— Такой вид страхования продолжает оставаться добровольным инструментом снижения потенциальных издержек». Партнер Группы компаний Б1 Ольга Вострикова добавляет, что рынок сформирован добровольными программами крупных международных игроков, а рост этого рынка связан с ужесточением требований регуляторов в области защиты информации, увеличением размера штрафов за утечки персональных данных, а также ростом оценки возможных потерь в случае инцидентов в ИТ-инфраструктуре.
По словам Ольги Востриковой, в мировом опыте киберстрахования компаний существуют два основных типа. Первый связан с прямыми убытками, возникающими у компаний в результате последствий инцидентов безопасности, происходящих в ее инфраструктуре, включая простои, повреждение и утрату данных. Второй представляет собой страхование ответственности для защиты от претензий третьих лиц в случае, если произошедший на стороне компании инцидент привел к необходимости возмещения понесенных ими убытков. При этом лимиты покрытия зависят от масштабов бизнеса и оценки им возможных объемов потерь в случае реализации соответствующих рисков.
По словам Марка Гордеева, в международной практике есть определенный порог входа в киберстрахование: для приобретения страхового полиса компании необходимо доказать свою способность защищаться, включая наличие зрелой системы управления информационной безопасностью и наличие определенных мер и средств защиты. Все это позволяет снизить размер страховой премии. Страховые компании, в свою очередь, могут «на входе» проводить аудиты информационной безопасности своих потенциальных клиентов с помощью пула доверенных консультантов, специализирующихся на вопросах информационной безопасности. Уже после оформления полиса в случае киберинцидента страховая помогает клиентам не только финансово, но и предоставляет экспертную поддержку в устранении последствий атаки и восстановлении работы — опять же с помощью пула доверенных консультантов.