Не слишком страховой случай
Максим Буйлов о борьбе с киберрисками
На прошедшей в среду конференции «Страхование киберрисков: законодательные аспекты» президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев оценил емкость рынка киберстрахования в скромные 10 млрд руб., хотя, по экспертным оценкам, потребность в такой защите достигает 40 млрд руб. Более того, реальные сборы еще ниже — 1,3 млрд руб. за 2023 год (см. “Ъ” от 29 января).
Максим Буйлов
Фото: Дмитрий Лебедев, Коммерсантъ
Перспективы изменения ситуации туманны, так как новый закон о страховании киберрисков (см. “Ъ” от 12 февраля) не предполагает введения обязательных полисов даже для компаний, занимающихся обработкой персональных данных. Помимо страховки, пояснил автор законопроекта, член комитета Совета федерации по конституционному законодательству Артем Шейкин, оператор данных может выбрать формирование «резервного фонда или использовать банковские гарантии».
В ВСС считают, что страховой полис — самый выгодный и удобный для клиентов инструмент. А чтобы также думали и потенциальные застрахованные, господин Уфимцев предложил расходы на страхование киберрисков отнести на себестоимость.
Но потребуется уточнение некоторых моментов. Например, в законе речь идет о возмещении морального и имущественного вреда в полном объеме, однако страховая сумма должна быть определена при заключении договора, а такая формулировка не позволяет это сделать. Президент ВСС пообещал, что тариф «не будет драконовским».
Между тем до сих пор не определено, на какие категории компаний распространятся требования закона и что считать страховым событием. По мнению Артема Шейкина, необходимо классифицировать организацию по чувствительности утечек, а также выделить категории самих персональных данных, потому что «не все утечки приносят ущерб».
Другими словами, все будет решать правоприменительная практика. Если примут закон об оборотных штрафах за утечки и государство будет активно использовать такое наказание, спрос на профильное страхование может действительно вырасти. А если ущерб будет считаться по доказанной сумме потерь от конкретной утечки, то собственный фонд на оплату подобных претензий будет более предпочтительным, как, пожалуй, и банковские гарантии.
С учетом того что против первого варианта существует солидное лобби, а многие крупные операторы персональных данных подконтрольны или близки государству, второй, более мягкий вариант расчета ущерба выглядит более реалистичным.
В результате каким-то компаниям удастся немного заработать, каким-то немного сэкономить, граждане поберегут нервы, потому что, скорее всего, сенсаций от Роскомнадзора об утечке неизвестно откуда сотен миллионов неизвестно чьих данных за раз поубавится. Но страхование киберрисков вряд ли станет серьезным сегментом рынка.