Журнал ПЛАС » Архив » 2018 » ЖУРНАЛ ПЛАС №9 » 928 просмотров

Страхование киберрисков: нюансы российской практики

Страхование киберрисков: нюансы российской практики

На каком этапе развития находится сегодня российский рынок страхования киберрисков? Кто является его основными потребителями? Как меняются взгляды участников банковского сектора на потребность в такого рода страховых продуктах? Эти и другие вопросы мы задали Владимиру Кремеру, руководителю отдела страхования финансовых рисков АО «АИГ» (AIG в России).

ПЛАС: Мы часто сравниваем мировой и российский опыт развития той или иной сферы. Как на общем фоне выглядит российская практика страхования киберрисков?

В. Кремер: Российский рынок страхования киберрисков пока еще находится в процессе формирования. Пул реальных игроков на этом рынке представлен всего двумя международными страховщиками: AIG и Allianz, которые запустили свои продукты в России, адаптировали их к местным условиям и получили соответствующую лицензию. Проблема в том, что единой трактовки термина «киберриск» нет даже за рубежом. А в России это вообще достаточно расплывчатое определение. Вероятно, это повлияло на мнение многих моих коллег, считающих, что киберриски как объект страхования для компаний в России неактуален. Основа, на которой «вырос» этот вид страхования, — это ответственность за раскрытие данных (Cyber Liability), в основном персональных данных, но и корпоративной информации в том числе — тема, вызывающая всеобщее беспокойство. Как только возникает подобное раскрытие и кому-то в связи с этим наносится ущерб, возникает ответственность и расходы на защиту.

ПЛАС: А разве подобное не актуально для России?

В. Кремер: В нашей стране, даже если чьи-то данные будут раскрыты, вряд ли пострадавший захочет с кем-то судиться, поскольку ему будет крайне сложно доказать понесенный ущерб. Несмотря на то, что теоретически такое возможно, сложившаяся судебная практика отсутствует. Поэтому у многих участников рынка и нет осознания того, что такие риски могут реально возникнуть, причем с весьма неприятными последствиями. Как пример — недавняя публикация, согласно которой были раскрыты персональные данные клиентов Сбербанка и ВТБ, всплывшие в поисковиках Яндекса. Никаких сообщений о том, что за этим последовали какие-то грандиозные иски со стороны потерпевших, чьи персональные данные были скомпрометированы, мы не увидели. А вот на Западе такой факт наверняка вызвал бы настоящий скандал, и по меньшей мере повышенное внимание регулятора к такому инциденту было бы обеспечено.

Защита конфиденциальности информации — обязанность, которая вменяется и согласно российскому праву

В случае с Яндексом компании просто заблаговременно не позаботились о том, чтобы обеспечить надлежащее хранение данных. На языке, например, нового регламента ЕС по защите данных — GDPR (General Data Protection Regulation. — Ред.) это бы означало, что они не соблюдали законодательство. Впрочем, защита конфиденциальности информации — обязанность, которая вменяется и согласно российскому праву. Но, к сожалению, мы видим, что соответствующие законы пока не очень хорошо работают. Инциденты есть, а юридических последствий нет. Или они не очевидны.

ПЛАС: Вы упомянули регламенты GDPR, которые обязаны соблюдать не только европейские компании, но и структуры, находящиеся в российской юрисдикции, если их клиенты — резиденты зарубежных государств. Как это отразится на рынке применительно к теме нашего разговора?

В. Кремер: Однозначно отразится. Мы фиксируем повышенный интерес со стороны тех российских компаний, которые поняли, что могут или уже подпадают под действие GDPR, поскольку предлагают свои услуги гражданам Европы. Их юристы осознают величину рисков, связанных с введением этого законодательства. Так что определенный рост спроса на страхование будет связан и с этим, хотя таких компаний пока немного. Но тем не менее GDPR у всех на слуху. И я надеюсь, что это один из факторов, который поможет нам в развитии киберстрахования в России.

ПЛАС: Несколько слов о подходах к работе со страхователями в России и за рубежом. Существуют ли у наших игроков рынка свое мировоззрение, методика, критерии оценки рисков?

В. Кремер: У AIG и Allianz достаточно близкий подход и понимание этих рисков. Мы, естественно, изучаем продукты друг друга и находим там практически стопроцентное совпадение. Какие-то вещи, пожалуй, мы формулируем по-разному, но суть все равно одна та же. В нашем понимании это — комплексный подход к киберинциденту, комплексное реагирование, которое включает в себя в первую очередь покрытие потенциальной ответственности, связанной с раскрытием данных и расходов, обусловленных необходимостью отчетности перед регулятором. Когда происходит киберинцидент, регуляторы  нередко требуют от пострадавших компаний оперативного раскрытия информации относительно сути произошедшего и ожидаемого влияния на бизнес.

Считается, что главная задача, которая стоит перед любым киберпреступником, — скомпрометировать данные и выманить деньги

Кроме того, в случае киберинцидента необходимо и другое реагирование — нужно покрыть стоимость BN-услуг (часто стоимость расследования киберинцидента бывает довольно высокой), PR-услуг, связанных с минимизацией репутационного ущерба: расходы, связанные с восстановлением операционной системы, всей технологической системы компании, которая может быть завязана на систему автоматизированного управления. Если происходит сбой, то это приводит к нарушению работоспособности компании. Это именно то, что мы видели летом 2017 года, когда прошла волна вирусов-шифровальщиков. Некоторые компании либо не работали неделями, либо были вынуждены серьезно сокращать на время свои объемы. И это было связано с тем, что им нужно было восстановиться после этих атак. Налицо убыток от потери прибыли – и все это может быть эффективно застраховано.

Считается, что главная задача, которая стоит перед любым киберпреступником, — скомпрометировать данные и выманить деньги. Однако в реальности это может быть либо сугубо «рекламная» работа с целью продемонстрировать свои способности всем, а дальше их кому-то продать. Случаются и заказные атаки, в частности, DDoS-атаки. Многие компании даже не скрывали, что подвергают друг друга таким атакам при первой возможности. Имея в кармане около 50 долларов, сегодня можно организовать такую DDoS-атаку, от которой конкурент не сможет оправиться неделю. К сожалению, такие вещи стали легкодоступны.

ПЛАС: Сейчас все чаще объектами атак становятся банки. Какова их позиция по поводу необходимости страхования киберрисков?

Основная цель страховщика — понять, насколько киберинцидент вероятен в этой конкретной компании и в какой мере она защищена

В. Кремер: На одной из недавно прошедших в Москве конференций по страхованию банковских рисков проблематике страхования киберрисков была посвящена всего лишь одна презентация. Нам пришлось полемизировать с коллегами об актуальности этой темы для российских банков и обсуждать вопрос, почему у российских страховщиков до сих пор нет ни одного банковского клиента по этому виду страхования. Звучали разные доводы, основной из которых: банки — структуры закрытые и не хотят никого впускать в свои системы. Замечу, что этот вид страхования подразумевает оценку риска и соответствующую квалификацию специалистов, и весьма немногие банки готовы к ИТ-расследованию при страховом случае. Существуют и другие виды страхования, например, убытков от вынужденного перерыва в деятельности. В международной практике это очень распространенный вид страхования для банков. В американских банках основной триггер для покупки полиса — расходы, связанные с киберинцидентом, поскольку там очень жесткие требования по кредитному мониторингу, уведомлениям и т. д. И это очень затратно. На покрытие одного инцидента порой уходят миллионы долларов. Поэтому там абсолютно понятно, за что они платят. У нас пока жесткой регламентации таких уведомлений клиентов в связи с киберинцидентом нет, однако существуют требования в отношении ответов на запросы клиентов и компетентных органов — по срокам расследования, формату ответа и т. д. Поскольку соответствующие органы (например, Роскомнадзор, ФСТЭК или ФСБ) могут сделать запросы одновременно в отношении персональных данных нескольких субъектов, скажем, порядка 10, как того требует закон, финансовый институт как минимум столкнется с повышенной операционной нагрузкой для обработки таких запросов. А если, например, инцидент коснулся всей или большей части многотысячной клиентской базы, то на компанию может в один день обрушиться шквал запросов и клиентов, и государственных органов, и в такой ситуации своими силами банк вряд ли справится.

ПЛАС: Вы затронули тему уязвимости внешних периметров банковских систем. Каковы критерии оценки объекта страхования, если мы говорим о банковском секторе?

В. Кремер: Основная цель страховщика при такой оценке — понять, насколько киберинцидент вероятен в этой конкретной компании и в какой мере она защищена. Услуги оценки кибербезопасности оказывают многие вендоры, в том числе международного уровня, как, например, Group-IB и Лаборатория Касперского. Есть компании, в капитале которых мы участвуем — настолько мы верим в эту тему и понимаем, что она очень перспективна.

Есть, например, компании, которые занимаются оценкой работы сайта. Они изучают историю того, как сайт отвечает на какие-либо запросы с IP-адресов, о которых заведомо известно, что они зловредны, как отвечает на атаки вирусов, насколько быстро с ними справляется. На основании такой оценки специалисты составляют некий рейтинг. Этот отчет доступен и для нашего клиента.

Потеря персональных данных, как ни странно, может быть для компании потенциально более опасной

Естественно, мы также его получаем и оцениваем наряду со многими другими факторами индекс риска самой индустрии. Банковскому сектору присваивается самый высокий риск, ритейлу — индекс риска уровнем пониже. Кстати, и здесь есть своя градация — интернет-ритейл или офлайн-ритейл. Естественно, риски различаются, хотя и офлайн может доставить немало проблем, как, например, в результате инцидента в декабре 2017 года, когда онлайн-кассы перестали работать в результате атаки вируса-шифровальщика. Некоторые крупнейшие торговые сети посчитали, что они понесли убытки на сотни миллионов рублей, хотя кассы не работали всего один вечер. Так что убытки от простоя могут быть очень серьезные. Есть еще один критерий — количество единиц информации, которые обрабатывает компания-оператор данных. Чем больше это количество, тем выше риск, тем выше вероятность того, что какие-то данные окажутся раскрытыми, потерянными и т. д.

ПЛАС: Как выглядит с точки зрения страхования рисков ситуация с потерей персональных и корпоративных данных?

В. Кремер: С точки зрения реагирования на киберинцидент большой разницы для страховщика нет. В плане возникновения ответственности потеря персональных данных, как ни странно, может быть для компании потенциально более опасной. Мы оплачивали миллионные убытки компаниям, которые теряли персональные данные, и вовсе не обязательно банковские. Однажды это случилось с компанией в области индустрии развлечений. Мы оплатили в рамках страхового договора огромный убыток, связанный с утечкой данных пользователей. Что касается корпоративных данных, это может быть информация о каких-либо серьезных сделках, и потери таких данных тоже могут привести к не менее серьезным проблемам. Но мировая практика показывает, что в результате хищения персональных данных проблем бывает и гораздо больше.

ПЛАС: Какие обстоятельства могут привести к киберинцидентам?

В. Кремер: Человеческий фактор — всегда один из самых высоких рисков. Не случайно одна из дополнительных услуг, которые мы предлагаем нашим клиентам от партнеров — ведущих компаний из индустрии ИТ-безопасности, — это полностью настраиваемые и регулярно обновляемые тренинги для сотрудников. В ходе таких тренингов учат, как правильно реагировать на нестандартные ситуации, информируют о новых рисках и, соответственно, помогают компаниям управлять «человеческим фактором». Одно открытое сотрудником электронное письмо с вирусом может дорого обойтись компании. Бывали и не менее опасные для бизнеса случаи, по которым выплачивались серьезные суммы (правда, не в России), когда инциденты были связаны с потерей корпоративного ноутбука или смартфона (например, забытых в такси).

ПЛАС: У вас есть некий пул своих специалистов или вы привлекаете компании со стороны?

В. Кремер: Есть! Российский Cyber-полис, которым я горжусь без ложной скромности, — это первый полис, для которого мы создали так называемую панель специалистов, которых можно привлекать для реагирования на киберинцидент: проведения ИТ-расследования, оказания юридических услуг, минимизации репутационного ущерба.

В эту панель входят международные и ведущие российские компании, сервисы которых мы предлагаем нашим клиентам для юридической, PR- и ИТ-поддержки.

ПЛАС: Кто в России сейчас уже позаботился о страховании киберрисков?

В. Кремер: В основном это компании, которые оказывают услуги, связанные либо с информационными технологиями, разработкой программного обеспечения, передачей данных, либо различного рода медиауслуги, например, организовывают рекламные кампании или маркетинговые акции. В большинстве случаев страхование покупается по требованию заказчиков, но есть и компании, которые сами прекрасно осознают риск.

Риски страхуют компании, деятельность которых связана с облачными хранилищами, операторы дата-центров, фирмы, имеющие интернет-порталы, и т. п. В последнее время большой интерес проявляют компании реального сектора в отношении страхования убытков от сбоя компьютерной сети. Мы видим интерес к продуктам на стыке  профессиональной ответственности за ИТ-услуги и кибер-ответственности. Такой продукт есть в арсенале AIG, вскоре он появится и на российском рынке.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Читайте в этом номере:


Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных