283
Страхование от фрода: каким ему быть в России?
страхования банковских рисков, и в частности рисков потери данных в информационных системах, а также рисков электронного мошенничества (фрод) в России находится в самом начале своего становления. О некоторых оценках и прогнозах ситуации в своем интервью журналу «ПЛАС» рассказывает Владимир Кремер, руководитель Отдела страхования финансовых рисков российского подразделения страховой компании AIG.
ПЛАС: Как вы оцениваете современный объем и другие характеристики рынка для продуктов страхования киберрисков у финансовых учреждений и ритейлеров в мире? Каковы здесь «подводные камни» для страховщика и для клиента?
В. Кремер: Что касается оценок AIG, то наши американские коллеги уже давно наблюдают очень высокую востребованность таких продуктов как у организаций, работающих в финансовом секторе, так и у компаний из других секторов экономики. Это не только банки и торговые сети, но и любые другие компании, которые так или иначе сталкиваются с проблемой защиты данных своих клиентов. В Европе страхование данных пока лишь набирает обороты, в частности, в России мы только запустили этот продукт в октябре 2012 года. Тем не менее мы уже видим интерес, проявляемый к этому продукту не только со стороны финансовых институтов и IT-компаний (наиболее очевидных потребителей этого страхования), но и со стороны компаний из других секторов экономики, связанных с обработкой данных.
В частности, говоря о банковском секторе, в силу того, что нарушения данных финансовыми институтами грозят особо серьезными последствиями (которые нередко имеют системный характер), мы предпочитаем иметь дело с довольно ограниченным кругом клиентов и проводим специализированную, особо тщательную оценку риска, что позволяет нам удерживать убыточность по этому виду на приемлемом уровне.
 |
| Ущерб от фрода |
Нюанс в том, что в случае с нефинансовыми компаниями потенциальный ущерб от киберрисков, как правило, может быть оценен по масштабам недополученной прибыли, длительности перерыва в их деятельности или какому-либо другому объективному показателю, демонстрирующему, что клиенту был нанесен конкретный ущерб. В ситуации же с финансовыми институтами следствием нарушения или утечки данных клиентов и/или взлома информационных систем банка в большинстве случаев является ущерб от несанкционированного списания средств со счетов клиентов. И если утрата данных носит крупномасштабный характер, потенциальные убытки и, следовательно, суммы страховых выплат даже по одному финансовому институту могут исчисляться десятками миллионов долларов. Так, в случае с одним из банков в США ущерб от утечки данных составил порядка 18 млн долл.
На сегодняшний день интерес к страхованию киберрисков постоянно подогревается инцидентами в системах информационной безопасности различных кредитно-финансовых институтов. Другое дело, что страховые компании в силу природы их бизнеса стараются не обременять себя гарантированными потерями от высоких рисков.
 |
| Фрод и страхование |
Страховая компания AIG
ЗАО «АИГ» является частью международной группы American Internation al Group, Inc. (AIG). В России компания представлена уже 19 лет, имеет рейтинг финансовой устойчивости А+ (Эксперт РА).
AIG – один из мировых лидеров в области личного и имущественного страхования, предоставляющий услуги страхования более чем в 90 странах юридическим лицам, государственным учреждениям и частным клиентам, используя преимущества крупнейшей глобальной сети имущественного и личного страхования. Кроме того, компании AIG являются ведущими страховыми компаниями в области страхования жизни и пенсии в США. Обыкновенные акции AIG размещены на фондовых биржах Нью-Йорка и Токио.
ПЛАС: Насколько сегодня развит в России рынок продуктов страхования киберрисков? На каком рыночном фоне вы запускали в России продукт CyberEdge, и в чем его отличия от других страховых продуктов в сфере банкинга и ритейла, защищающих от электронного мошенничества?
В. Кремер: Отмечу, что с самим возникновением киберпространства ряд страховых продуктов, которые ранее защищали от мошенничества в офлайне, были модернизированы и теперь позволяют получить защиту от мошенничества и в киберпространстве. Такие продукты возникли задолго до появления CyberEdge и достаточно широко представлены и в России, и за рубежом.
Больше всего такие продукты распространены в банковской индустрии – в качестве примера можно привести страхование от электронных и компьютерных преступлений для банков (по которому страхуются незаконные списания средств со счетов банка с использованием электронных средств) или страхование держателей карт (которое, кстати, AIG открыло для российского рынка в 2005 году и по которому могут быть застрахованы денежные средства держателя карты от несанкционированных списаний вследствие утери/кражи карты, скимминга карты или несанкционированного использования карты в Интернете).
Особенность же CyberEdge заключается в том, что он нацелен именно на компенсацию тех убытков, которые вызваны утратой или нарушением данных в информационных системах. Его уникальность заключается в комплексном подходе – этот продукт покрывает как ответственность наших клиентов за нарушение данных, так и их собственный ущерб. В наш век информации данные уже сами по себе являются ценностью, а их сохранность для многих организаций сегодня является одной из важнейших задач. В случае с CyberEdge мы создавали продукт, который позволит компаниям получить защиту от рисков, связанных именно с утратой/повреждением данных, и главное – от последующих проблем, вызванных данной утратой.
Для понимания серьезности последствий давайте сравним последствия кибератак для компаний, работающих в различных отраслях. В случае с финансовыми институтами утрата данных может повлечь и, скорее всего, повлечет за собой хищение практически всех доступных средств со счетов клиентов. В случае, например, с авиаперевозчиками хакерская атака на систему online-бронирования может привести к тому, что компания какое-то время просто не сможет продавать билеты. Помимо убытков от перерыва в деятельности данные о передвижении клиентов компании могут стать достоянием гласности, и в результате авиаперевозчик также может понести серьезные репутационные и финансовые убытки. В других секторах – своя специфика.
С нашей точки зрения, сегодня проблема защиты клиентских и корпоративных данных – проблема, непосредственно затрагивающая основной бизнес как банков, так и небанковских коммерческих организаций. И хотя рынок страхования такого рода угроз только начал формироваться, комплексные предложения, подобные CyberEdge, на наш взгляд, должны вызвать интерес всего бизнес-сообщества наравне с другими имеющимися на этом рынке страховыми продуктами.
ПЛАС: Насколько будут востребованы на российском рынке продукты, страхующие прямые риски банков от мошенничества? Вырастет ли спрос на них, если принцип zero liability в том или ином виде будет все же законодательно имплементирован в отношении держателей карт?
В. Кремер: Фактически речь здесь идет о части услуг страхования (а именно, о страховании рисков несанкционированного использования карты и фишинга/ скимминга), которые страховщики традиционно предлагали держателям карт, но только теперь эта часть услуг предлагается самому банку. Такие продукты, по нашим оценкам, будут востребованы на рынке, и спрос на них в обозримой перспективе будет расти. Действительно, немалую роль в росте спроса может сыграть отложенная на сегодняшний день перспектива внедрения в российскую правоприменительную практику принципов «нулевой ответственности» держателя карты за несанкционированные списания с его счета. В этом случае потребность держателя карты в страховании несанкционированного использования отпадет, и страхование подобных рисков перейдет в сферу интересов банков (вопрос в том, будет ли со стороны страховщиков адекватное предложение в ответ на появившийся спрос). Однако следует отметить, что оставшаяся часть услуг страхования держателей карт, ответственность за которую не может быть возложена на банки (ограбление клиента после снятия наличных, защита покупок и другие риски держателя), будет по-прежнему востребована держателями карт.
ПЛАС: Будет ли AIG продвигать такие продукты на российском рынке, и насколько высока будет конкуренция среди страховщиков в этом сегменте? Как мы знаем, такие продукты на российском рынке уже присутствуют и работают вне зависимости от наличия/отсутствия принципа zero liability в России.
В. Кремер: На наш взгляд, общая проблема заключается в том, что, несмотря на наличие у многих банков сложных и дорогостоящих систем мониторинга транзакций в реальном времени, а также иных систем по предотвращению несанкционированных транзакций, в целом банки не в состоянии в достаточной степени контролировать ситуацию с мошенничеством.
Данный риск, конечно, можно застраховать, но в силу того, что фактическая защищенность российских банков сегодня крайне невысока, клиенту зачастую выгоднее инвестировать десятки тысяч долларов в совершенствование своих систем безопасности, нежели тратить сопоставимые средства на страхование, которое защитит их только от катастрофи- ческих убытков.
Говоря о страховании рисков банка, важно подчеркнуть, что речь идет не о предоставлении защиты от каждой мошеннической транзакции, а об убытках, которые являются катастрофическими для клиента-страхователя. Иными словами, это те убытки, которые могут произойти, к примеру, один раз в несколько лет.
Если же для страховщика очевидно, что у клиента убытки будут случаться регулярно (вопрос лишь в размере таких убытков), встает вопрос, является ли продажа страхового продукта такому клиенту реальным страхованием или просто «обменом деньгами».
Многие российские компании сегодня уже занимаются такого рода страхованием, и их совершенно не смущает тот факт, что они получают столько, сколько и выплачивают. Как правило, они находят возможным брать на себя такие риски, например, в рамках каких-то комплексных отношений с банком, скажем, получая от него огромное количество бизнеса по залоговому страхованию, участвуя в страховании других рисков банка и т. д. В этом случае страховщики не расстроятся, если выплаты по такому страхованию не сильно превысят 100%.
Бизнес-модель российского офиса AIG ориентирована в первую очередь на рост прибыли. Поэтому риски, с которыми мы готовы работать, должны иметь вероятность наступления, существенно меньшую, чем 100%.
ПЛАС: Но ведь электронное мошенничество распространено на рынках стран Запада в большей мере, чем у нас, тем не менее там страхование этих рисков является нормой. Почему же в России, по вашим словам, страховщикам работать с данным видом страхования банков менее выгодно, если у нас ниже уровень угроз?
В. Кремер: В силу того, что электронное мошенничество у нас пока распространено не в такой степени, как на развитых рынках, текущие риски в России несколько ниже, чем на Западе. Но, как это ни парадоксально, отсутствие реальной практики такого страхования и некоторые особенности российского менталитета часто заставляют российских страхователей думать, что они должны страховать весь риск, то есть любые убытки, которые могут произойти. Соответственно, их представления о том, как должен выглядеть полис и условия страхования, кардинально отличаются от западных. Там банки понимают, что они должны страховать только катастрофические последствия. Российский бизнес, и банковский в том числе, в большинстве случаев пока не готов платить за страхование катастрофических последствий. Здесь применяется своя, может быть, простая, но не совсем понятная для западного бизнеса логика: «если наступят катастрофические последствия, то мы, может быть, вообще уйдем из бизнеса. Зачем тогда от них страховаться?»
ПЛАС: Возможно, это обусловленное конкретной рыночной ситуацией отсутствие у российских компаний долгосрочного планирования и недооценка важности риск-менеджмента?
В. Кремер: Я бы сказал, что это специфический менталитет российского бизнеса, который во многом отличен от западного. Так, если для западных компаний страхование является инструментом риск-менеджмента, то для отечественного бизнеса страхование очень часто рассматривается как некая инвестиция, которая должна в будущем принести доход. Согласно такой логике, если вы купили полис и ни разу им в течение года не воспользовались, то вам «должны вернуть деньги». Иначе это «плохая инвестиция», и затраченные средства лучше было бы вложить во что-то другое. Такой подход очень распространен и, к сожалению, очень мешает развитию рынка страхования в России в целом и страхованию рисков электронного мошенничества в частности. В результате, по нашим оценкам, сегодня про- никновение страхования от электронного мошенничества среди российских банков не превышает 5% от их общего числа.
ПЛАС: Правильно ли мы понимаем ваш прогноз, что пока ситуация выглядит так: с введением принципа нулевой ответственности у банков в значительной степени возрастет потребность в страховании рисков электронного мошенничества, но при этом им, скорее всего, будет предложено очень мало эффективных страховых продуктов по рискам электронного мошенничества? И это во многом именно из-за особенностей клиентского поведения на рынке страхования в России?
В. Кремер: Думаю, да. Во-первых, на мой взгляд, из российских страховщиков, готовых работать в данной сфере, с возникновением массового спроса на подобные продукты со стороны банков лишь немногие будут способны действовать самостоятельно. Многим потребуется перестрахование. Условия при этом, несомненно, будут весьма ограниченными, и клиенты, вероятно, задумаются над необходимостью данного страхования как такового.
ПЛАС: Можно ли говорить, что в сфере страхования киберрисков, связанных с потерями данных, ситуация выглядит по-другому? В частности, каковы ваши планы по развитию продукта CyberEdge?
В. Кремер: Здесь ситуация действительно несколько иная. Речь фактически идет о полном отсутствии сформированного рынка как такового. С одной стороны, это плохо, потому что некому продавать страховой продукт сиюминутно, но с другой – это хорошо, т. к. у нас появляется возможность самостоятельно формировать этот рынок. Безусловно, мы инвестируем в создание этого рынка значительные временные и финансовые средства, но игра стоит свеч. В России практически не представлено страхование, которое бы защищало от утечки данных и гарантировало покрытие дополнительных расходов, скажем, на восстановление репутации. И мы пока не слышали, чтобы кто-то из наших конкурентов собирался выпустить такого рода полис. У нас же уже сегодня есть ряд запросов, которые мы получили от нескольких банков и IT-компаний. Некоторые компании даже приобрели у нас эти полисы в 2012 г., хотя массовый запуск и продвижение продукта начинается с 2013 г
ПЛАС: Имела бы, на ваш взгляд, смысл инициатива, исходящая от регуляторов, которая обязывала бы банки к обязательному страхованию своих рисков по электронному мошенничеству и рисков по потере данных?
В. Кремер: С одной стороны, подобная инициатива стала бы реальным прорывом, который в значительной мере мог бы способствовать развитию рынка страхования и укрепить веру клиентов в надежность финансовых учреждений и самих инструментов безналичных расчетов, таких как карты. С другой стороны, нужно смотреть на вещи реально: может ли подобное предложение быть принято в виде законодательной нормы? Вполне вероятно, что если законом были бы установлены какие-то минимальные требования по страхованию ответственности, которые банки должны были бы выполнить, то весомая часть отечественных банков, которым следовало бы потратить на страховку значительно больше «минимального лимита», продолжали бы довольствоваться обязательным минимумом, исходя из своего восприятия страхования рисков как некоей «неприятной инвестиции», а если говорить точнее – некоего дополнительного налога. Тем не менее подобная картина куда оптимистичнее, чем нынешнее положение дел, когда из более чем 900 банков в России полисы по страхованию от электронного мошенничества имеют лишь несколько десятков.
