Российские страховщики будут зарабатывать на хакерах
Вирус-шифровальщик Bad Rabbit атаковавший серверы Киевского метрополитена, одесского аэропорта и ряда банковских структур в РФ вновь поднял тему страхования от кибератак. Эксперты Центра информационной безопасности Университета Иннополис только за лето и сентябрь этого года ежесуточно фиксировали в мире 57 млн событий информационной безопасности, в том числе инцидентов, вызывающих простой бизнес-процессов. В правительстве страны уже прорабатывается вопрос о том, чтобы обязать с 2020 года компании машиностроения, металлургии, авиапрома, судостроения, банковского сектора, а также вокзалы и аэропорты иметь страховой полис информационной безопасности (ИБ). Также в России может быть введен индустриальный стандарт по обязательному аудиту ИБ. В нем будут прописаны условия данного вида страхования, сбора статистических данных, модели расчетов и тарифов. Реализация проекта потребует внесения поправок в Налоговый кодекс и законодательство об организации страхового дела: будет добавлен новый вид страхования.
Полис против хакеров
«Страхование от киберрисков уже существует на российском рынке, но его распространенность крайне низка», - считает директор по страховым и инвестиционным рейтингам «Эксперт РА» Ольга Скуратова. По словам аналитика, некоторые страховые компании уже сегодня обеспечивают банки, финансовые организации, телекоммуникационные и другие компании страховой защитой на случай атак или сбоев информационных систем.
Поэтому идея введения страхования от киберугроз, по мнению Ольги Скуратовой, – это не столько появление нового вида страхования, сколько способ сделать его более масштабным и массовым. «На сегодняшний день формат такого вида, как обязательный пока не был поддержан представителями Минфина, а значит, от идеи до ее воплощения, если оно вообще состоится именно в том виде, о котором сегодня идет речь, пройдет немало времени», - сообщила представитель «Эксперт РА».
Рассуждая о том, будет ли страхование от киберрисков обязательным или добровольным, Ольга Скуратова отметила, что оно несет в себе определенное количество угроз для страхового рынка и неразрешенных на данный момент вопросов. Во-первых, по ее словам, отсутствует накопленная в достаточном количестве статистика по этому виду страхования, что существенно затрудняет процесс тарификации. Во-вторых, страхование от киберрисков как обязательный вид, как отметила аналитик «Эксперт РА», не будет поддержано ни бизнесом, так как станет дополнительной финансовой нагрузкой для компаний, ни самими страховщиками ввиду высокой неопределенности в части принимаемых рисков и законодательно закрепляемых тарифов. «Дополнительным стимулом для развития этого вида страхования в добровольном формате могли бы стать налоговые послабления. В то же время, актуальность рисков кибератак и сбоев информационных систем нарастает вместе с диджитализацией, которая наблюдается во всех сферах экономики и производства», - подчеркнула эксперт. Поэтому, уточнила Скуратова, можно ожидать, что спрос на страхование от киберугроз будет поддерживаться растущими рисками и объемами потерь от их реализации.
Бизнес видит риски
Директор по глобальным продажам и работе с партнерами «Лаборатории Касперского» Вениамин Левцов в беседе с РБК-Татарстан подчеркнул, что страховая компания предлагает различные условия в зависимости от оцененной степени зрелости системы ИБ клиента. «Возможно, страхователю будет проще и разумнее с точки зрения развития системы ИБ компании, заранее внимательно ознакомиться с системой ИБ компании и внедрить некоторые улучшения, чтобы повысить оценку защищенности и снизить затраты по договору», - уточнил эксперт.
Представитель «Лаборатории Касперского» уверен, что в договоре должен быть максимально ясно отражен критерий серьезности инцидента. Основной же вопрос, по его словам, связан с предметом покрытия. «Договор содержит только устранение последствий инцидента или же покрытие связанных с инцидентом негативных последствий для бизнеса? – этот вопрос должен быть освещен максимально полно», - считает эксперт. В первом случае, по его словам, должно быть приведено описание всех покрываемых страховкой мер по расследованию и устранению последствий инцидента. Во втором – четкое определение того, как установить связь между инцидентом и ущербом для бизнеса.
«Разумеется, обязывающий, регулятивный, подход – то что принято называть compliance – должен создать некоторый вынужденный спрос и соответственно рынок. Но лично я придерживаюсь позиции, что обязательное страхование будет работать только для организаций, владеющих критической инфраструктурой», - высказал свое мнение Вениамин Левцов. В целом, заключают аналитики «Лаборатории Касперского», бизнес начинает все яснее осознавать преимущества страхования, и со временем начнет воспринимать его как один из инструментов обеспечения ИБ и покрытия связанных рисков.
Цена услуги
Степень вовлечения технологий в бизнес растет колоссальными темпами. Это создает дополнительные возможности для бизнеса, но влечет и дополнительные риски, - отметил в беседе с РБК-Татарстан вице-президент страхового брокера Marsh в России Армен Гюлумян. «Поэтому абсолютно без сомнений, что востребованность киберстрахования будет расти с каждым годом», - уверен эксперт.
Отвечая на вопрос издания о том, какие условия должны быть прописаны в договоре страхования от киберрисков, Армен Гюлумян подчеркнул, что для каждого бизнеса есть свои нюансы, которые должны быть учтены в договоре страхования. «Чтобы ответить на этот вопрос, необходимо проанализировать основные риски конкретного бизнеса, смоделировать и рассчитать его потенциальные убытки. И уже исходя из этой информации формировать договор», - считает вице-президент Marsh. В противном случае, по его мнению, страхование может оказаться либо недостаточным, либо избыточным и дорогим.
Эксперт обратил внимание на тот факт, что обязательное страхование не ведет к развитию страховой культуры – это доказано как на российском, так и на зарубежном опыте. «Единственное, что может быть приемлемым, – это применение так называемого вмененного страхования, когда полис требуется законодательством, но закон не регулирует тарифы и другие основополагающие условия договора», - уточнил Армен Гюлумян. Их, по его мнению, должен определять рынок.