Привет, я Вадим Михневич - Директор по страхованию финансовых линий АО СК «Альянс». В 2018 году в России 90% утечек конфиденциальной информации случились в результате внутренних нарушений, сообщил аналитический центр компании InfoWatch. Наибольший процент умышленных утечек в России приходится на такие отрасли, как банки и финансы (70%), высокие технологии (65%), промышленность и транспорт (60%). Информационные активы эти трех вертикалей выглядят наиболее привлекательными для злоумышленников, но попасться в их сети могут компании и из других отраслей. Сегодня на рынке доступны различные средства защиты от киберпреступлений. Мы в компании "Альянс" наблюдаем растущий интерес бизнеса к страхованию от таких рисков, и потому подготовили ответы на самые популярные вопросы.
Что такое страхование киберрисков?
Страхование киберрисков – относительно новая услуга на российском рынке и уже популярная на Западе. Она направлена на финансовую защиту компаний в случае утечки корпоративных и личных данных, перерывов в производстве, кибервымогательства, а также привлечения к ответственности за компрометацию данных, произошедших в результате киберпреступления. Такие полисы сейчас предоставляют ведущие страховые компании на рынке.
Что считается страховым случаем по полису страхования киберрисков?
Полис покрывает убытки (потерю чистой операционной прибыли) от перерывов в производстве по причине кибератаки, технического сбоя и человеческой ошибки. То есть если в технологической линии предприятия происходит сбой, связанный с определенными событиями, указанными в полисе, и компания в течение какого-то времени не может производить продукцию, полис покрывает убытки по этому инциденту.
Для российских рисков сейчас предусмотрены следующие элементы страхового покрытия, которые считаются основными и активно применяются в мировой практике:
- Ущерб третьих лиц: ответственность за компрометацию данных. Такое покрытие незаконного раскрытия и использования персональных данных будет работать даже в случае, если причиной раскрытия послужил технический сбой или человеческая ошибка, а не только атака хакеров. Возмещением будет служить не только ущерб, причиненный пострадавшим от раскрытия третьим лицам, но и расходы на уведомление пострадавших.
- Собственный ущерб компании-страхователя из-за перерыва в производстве или деятельности, вызванный недоступностью IT-системы. DDoS атаки и даже обычные технические сбои на долгое время могут вывести из стоя IT-системы компании. Как можно было убедиться на примере одного из российских операторов телекоммуникационной связи, такой случай перерыва может длиться намного более 12 часов.
- Покрытие сопутствующих расходов: привлечение форензик-консультантов (IT-криминалистов) для расследования кибер-инцидентов и определения дальнейших шагов по защите, расходы на проведение внутреннего расследования, организация услуг колл-центра, расходы на PR и юридическую консультацию. В полис также могут быть дополнительно включены расходы на юридические консультации, консультации специалистов в области PR и оповещение клиентов компании об атаке в различной форме.
Кому нужен такой полис?
По данным барометра рисков Allianz, кибератаки и производственные перерывы на сегодняшний день расцениваются во всем мире как одна из самых опасных угроз для компаний из самых разных отраслей. Даже средний страховой убыток от киберинцидента сейчас превышает €2 млн, а убытки от крупных событий могут исчисляться сотнями миллионов и больше. Для сравнения, средний убыток от пожара или взрыва составляет порядка €1,5 млн.
На Западе страхование киберрисков популярно как у крупного, так и у среднего и малого бизнеса. В России же о нем пока чаще других задумываются крупные финансовые институты, а также российские компании, имеющие зарубежные «дочки». Последние могут попасть под действие европейского закона GDPR, который предусматривает штрафы за нарушение конфиденциальности данных в размере до 4% от годовой глобальной выручки компании за прошлый год (максимально €20 млн).
Популярно страхование киберрисков и среди западных компаний, присутствующих на российском рынке. Некоторые из них – например, производители ПО, а также платежные системы, уже сейчас в обязательном порядке просят своих партнеров – финансовые организации или IT-компании, осуществляющие взаиморасчеты по стандартам Payment Card Industry Data Security Standard (PCI DSS), страховать риски. Организации, которые получают сертификат PCI DSS, в обязательном порядке должны предъявить полис страхования киберрисков.
Какие объемы вложений и выплат подразумевает такой полис?
Примерный диапазон премии для небольших компаний составляет от $7 тыс. до $12 тыс. (за 1 млн лимита), для крупных промышленных компаний — $50-100 тыс. (за лимиты 3-5 млн). Назвать более точные цифры достаточно сложно, поскольку все риски и котировки индивидуальны.
При расчете тарифа во внимание принимаются такие факторы, как сфера бизнеса, IT-инфраструктура и ее защищенность, уровень внутреннего риск-менеджмента, риски перерыва в деятельности. Для компаний из финансовой сферы, например, банков, премия будет выше, чем для остальных сегментов, так как банки хранят большой объем персональных данных, и риск перерыва в деятельности сразу может перерасти в крупный убыток.
Если защита от киберрисков так актуальна сегодня, почему не страхуется больше компаний?
Страховщики наблюдают рост убытков от перерывов в производстве, вызванных киберинцидентами. Так, объем требований, связанных с остановкой деятельности в результате вирусов WannaCry и NotPetya, превысил $100 млн. А убытки «Мегафона» и дочерней компании Yota, вызванные техническими проблемами с сетью в мае 2017 года, были оценены более чем в $200 млн. После крупных киберинцидентов мы всегда наблюдаем всплеск интереса к страхованию такого рода.
Осознавая масштабы бедствия, большинство компаний, хранящих большие объемы персональных данных, признают необходимость наличия полиса страхования киберрисков. Однако на практике российский бизнес пока чаще делает ставку на улучшение собственных IT-систем. И это не удивительно, ведь последствия киберинцидентов, помимо потери прибыли, для российских компаний пока не очень внушительны. Так, несмотря на то что очередные изменения в статью 13.11 КоАП, вступившие в силу 1 июля 2017 года, увеличили размер штрафов за нарушения при обработке персональных данных, они все равно пока ощутимо меньше европейских и американских штрафов.
Несколько иначе обстоят дела в сегменте производственных предприятий. Их интерес к страхованию киберрисков последовательно растет. Доля запросов от них составляет порядка 40%, так как риски собственного ущерба от перерыва в производстве чаще всего намного очевиднее для клиента, чем возможность предъявления претензий за компрометацию данных.
Ответственность бизнеса за киберинциденты, в том числе и в России, по мнению экспертов, будет со временем расти. А вкупе с последовательной автоматизацией процессов и переходом большинства сервисов в онлайн это неминуемо приведет к росту спроса на страхование киберрисков. Учитывая темпы развития современных технологий, речь, скорее всего, идет о сравнительно недалекой перспективе двух-трех лет.