«Страхование не должно подменять информационную безопасность»
Основные вопросы регламентации, виды и потенциальная емкость рынка киберстрахования
Требование страховаться от киберрисков не закреплено законодательно. Хотя проблема киберугроз актуальна для любого бизнеса. Киберстрахование — это элемент управления рисками безопасности каждого предприятия: от небольших медицинских и финансовых компаний, гостиниц, СМИ, банков до транспортных, металлургических, энергетических гигантов и др. Как страховщики оценивают ситуацию с развитием киберстрахования? Основные вопросы регламентации и законодательного регулирования? Что попадает под покрытие и какова потенциальная емкость рынка?
Фото: Игорь Иванко, Коммерсантъ
Виталий Бут, руководитель департамента информационной безопасности Страхового дома ВСК:
— Понятие «киберстрахование» размыто: в этот вид страхования вкладывают как страхование физических лиц от кражи денежных средств, страхование классических киберрисков юридических лиц, так и секцию по страхованию мошенничества. В покупке страховки заинтересованы прежде всего компании—обработчики больших объемов персональных данных, финансовые и медицинские организации, компании из сферы услуг, например гостиницы, которые накапливают много информации о гражданах и должны нести ответственность за их безопасное хранение. При этом страхового покрытия в 70–100 млн руб. достаточно, чтобы покрыть 99% потерь от инцидентов на качественном уровне. Убытки же нужно рассматривать с привлечением доверенных для заказчика компаний-интеграторов («Касперский», «Бизоны», «Позитив Технолоджис»), чтобы инцидент был тщательно расследован, а мнению могли доверять как страховщики, так и заказчики. Страхование не должно подменять информационную безопасность. Если инцидент наступает из-за неработающих процессов или отсутствия какой-либо защиты, это не должно быть страховым случаем.
Павел Волчков, заместитель директора центра информационной безопасности «Инфосистемы Джет»:
— Непопулярность страхования киберрисков связана с непрозрачностью и отсутствием устоявшихся, понятных методик как для страхователя, так и для страховщика: методик предварительной оценки состояния уровня ИТ и информационной безопасности организации, что влияет на определение страховой премии, методик определения уровня ущерба при наступлении страхового случая. Определение уровня ущерба является наиболее сложным моментом. Для некоторых случаев, например простой онлайн-бизнеса в результате DDoS-атаки, ущерб можно определить. Однако для ситуаций, связанных с утечкой данных, где значительная часть последствий — это ущерб репутации или потеря конкурентных преимуществ, оценить его в конкретных денежных суммах может быть крайне затруднительно. Другая сложность заключается в том, что кибератака на организацию может быть проведена в одно время (например, когда страховка еще не оформлена), а ее последствия могут проявиться или быть замечены лишь спустя большой промежуток — даже через годы.
Николай Галушин, генеральный директор «Национальной страховой информационной системы»:
— Страхование построено на принципе выявления рисков и предоставлении в той или иной форме защиты от них. В случае с киберрисками речь идет об уязвимости бизнеса, возможности минимизировать последствия и об источнике средств для устранения последствий наступления страхового события. Рынок может развиваться по тому пути, примеры которого уже были в мировой практике. Введение какого-то вида страхования нормативным актом — это сразу создание рынка. Это почти одномоментно большое число договоров, на котором можно строить математическую модель, оценивать риски, исключения, получать опыт судебной практики.
Ольга Глазкова, директор департамента страхования финансовых и профессиональных рисков страхового брокера Remind:
— Если говорить об обязательном или вмененном киберстраховании, то это в первую очередь должно касаться компаний, оперирующих большим количеством персональных данных, включая медицинские данные, на тот случай, чтобы был резерв для компенсации ущерба пострадавших субъектов персональных данных. То есть это риски ответственности. Для всех остальных это вопрос выбора, как и со страхованием имущества. С точки зрения покрытия если это производство, то его больше будет интересовать страхование собственного риска, прежде всего перерыв в деятельности. Кроме того, не стоит забывать и о возможности физического причинения вреда самой компании и третьим лицам вследствие кибератак.
Игорь Дячишин, руководитель юридической дирекции компании «Совкомбанк Страхование»:
— Вопросы, которые требуют проработки: будет ли признаваться страховым случаем сам факт утечки персональных данных? Каким образом будет подтверждаться факт утечки персональных данных именно от этого оператора данных? С оценкой размера морального вреда от утечки персональных данных достаточно трудно определиться. При этом каждый случай фактически индивидуален, учитывает множество факторов. Например, возраст: молодой организм проще справляется со стрессом, а пожилой чаще получает инфаркт, потеря денег (мошенники украли с карты) также переживается по-разному. Для кого-то 20 тыс. руб.— незначимая сумма, а для пенсионера — жизненно необходимая. Если идти по пути установления величины морального вреда через судебный механизм, то вопрос урегулирования страховых случаев в части компенсации нравственных страданий может растянуться на длительный период. При этом страхование в части возмещения должно по умолчанию работать без обращения в суд, чтобы пострадавший быстрее получил выплату. Для этого потребуются правила страхования, матрицы расчетов, таблицы выплат, которые бы опирались на базовые законодательные положения.
Алина Малышева, руководитель управления страхования финансовых рисков «АльфаСтрахования»:
— За последние год-два количество страхователей по киберрискам выросло на 50–60%. Продуктом интересуются компании из разных отраслей и разного масштаба: от металлургических предприятий до гостиничного бизнеса. Полноценное покрытие киберрисков, отвечающее всем требованиям страхователя, сейчас готовы предоставить не все страховые компании на российском рынке. Часть компаний поддерживает страхование киберрисков в качестве перестраховщиков. Программы приобретаются в добровольном порядке, и каждый клиент сам решает, насколько данные риски являются для него критичными и насколько страховая защита от возможных убытков в результате киберинцидента необходима. Многие клиенты приходят к страховщикам с запросом не конкретной страховой суммы (лимита), а максимальной суммы, которую может предоставить данная компания. Каждый страхователь выбирает лимит из предлагаемых страховщиком опций, и премия также играет роль. Средние лимиты по программам страхования киберрисков составляют 250–500 млн руб. Крупные программы могут включать лимит более 1,5 млрд руб., но, как правило, не более 2,5 млрд руб.
Вадим Михневич, директор по страхованию финансовых линий компании «Зетта Страхование»:
— Большинство страховщиков из топ-20 как минимум залицензировали правила страхования киберрисков. Активно по этому виду работают восемь-десять компаний. В первую очередь мы рекомендуем страховать киберриски компаниям, которые хранят большой объем персональных данных и чувствительной информации, а также компаниям, которые непосредственно связаны с непрерывным предоставлением услуг в интернете. Чтобы определить страховые суммы, целесообразно ориентироваться на выручку клиента от возможного перерыва в производстве в течение нескольких дней, а также учитывать дополнительные расходы на привлечение ИТ-специалистов для урегулирования инцидента. На практике такой потенциальный ущерб может существенно превышать возможности страховщика по страховой сумме, поэтому стороны часто исходят из максимальной емкости страховщика. В условиях текущего законодательства по персональным данным сумма возможного ущерба намного меньше.
Владимир Новиков, директор по рискам «СберСтрахования»:
— Само понятие киберстрахования есть только в документах ВСС, а в официальной отчетности Банка России его нет. Потенциально готовы эти риски страховать примерно 15 компаний, которые входят в рабочую группу ВСС по киберрискам, однако реальный опыт заключения договоров по киберстрахованию на сегодняшний день есть только у 6 из них. Требование страховаться от киберрисков не закреплено законодательно. Однако проблема киберугроз актуальна для любого бизнеса. Киберстрахование — это элемент управления рисками безопасности предприятия, и страховая сумма складывается из нескольких факторов: размера потенциальных потерь в случае киберинцидента и уровня защищенности компании. Если от киберинцидента может наступить перерыв в производстве, то страховая сумма должна рассчитываться исходя из потерь компании за каждый час или день простоя. Для крупных компаний сложно задать конкретные рамки. Если же говорить о предприятиях сегмента МСП, то, по расчетам «СберСтрахования», страховой суммы от 10 млн до 50 млн руб. в год достаточно, чтобы закрыть основные риски.
Евгений Уфимцев, президент Всероссийского союза страховщиков (ВСС):
— Сейчас общий объем сборов по страхованию киберрисков составляет за год около 900 млн руб. Если будет введено вмененное страхование ответственности за утечку персональных данных, то можно оценить ожидаемый годовой размер рынка (в зависимости от итоговых набора покрываемых рисков и системы компенсации ущерба) в 3–10 млрд руб. Соответствующая экспертиза есть практически у всех крупных страховщиков. Если будет принята модель, при которой страховые суммы устанавливаются на каждого потерпевшего, то они могут быть установлены по аналогии с действующими обязательными видами страхования, защищающими имущественные интересы третьих лиц, такими как существующие два обязательных вида: страхование ответственности перевозчиков и владельцев опасных объектов. Должно быть предусмотрено страхование от риска причинения вреда потребителям или третьим лицам в результате утечки их персональных данных.
Дмитрий Шишкин, начальник управления страхования ответственности «Ингосстраха»:
— В 2023 году рынок страхования киберрисков оценивается в диапазоне 0,6–0,9 млрд руб. Без принятия закона о страховании ответственности за утечки персональных данных объем рынка в 2024–2025 годах останется в тех же пределах. Если закон будет принят, то рынок вырастет в пять-десять раз. В настоящее время мы оцениваем рыночную емкость по страховым суммам в 2–2,5 млрд руб. Сейчас средний лимит по договору страхования киберрисков составляет 100–200 млн руб.
Катерина Якунина, председатель Совета Ассоциации профессиональных страховых брокеров:
— Де-факто сейчас рынок страхования киберрисков делится на две части: это несколько десятков крупных договоров по киберрискам с крупными юрлицами, большими страховыми суммами, с огромной предварительной работой и с согласованным перестрахованием и тысячи мелких договоров, которые продаются, как правило, через банковский канал. Объем рынка страхования киберрисков составляет около 1 млрд руб. в год. Оценить объем рынка страхования на перспективу сложно, потому что это зависит от того, какие меры будут приняты для его развития. Если говорить о вмененном страховании от утечек персональных данных, то (при условии решения проблемы с определением размера причиненного ущерба, возникшего из-за утечки персональных данных) объем этого рынка может составить несколько миллиардов рублей (в зависимости от того, на какие организации будет распространяться закон, как будет рассчитываться ущерб и т. п.).
Страховые компании по совокупному объему страховых премий (с учетом входящего перестрахования), на 01.01.2024 г. Таблица подготовлена «Эксперт РА» для “Ъ”
|
Таблица «Страховые компании по совокупному объему страховых премий (с учетом входящего перестрахования), на 01.01.2024 г.», подготовленна «Эксперт РА».