Страхование в периметре защиты от киберрисков
Опубликовано: 09 / 07 / 2023
|
|
|
|
В рамках прошедшего 7 июля текущего 2023 г. Финансового конгресса ЦБ РФ прозвучало предложение ВСС о необходимости в состав рекомендаций центробанка по мерам защиты от киберрисков включить положения о страховании: именно финорганизации заботятся в этой связи о самой IT-инфраструктуре и о ПО, но почему-то не думают о страховке. О каком виде рисков идет речь и спасает ли от них страхование?
|
|
По мере компьютеризации и цифровизации «всего и вся» предсказуемо растет число киберинцидентов и киберпреступлений — атак программ-вымогателей, фактов компрометации данных и прочих подобных неприятностей. И это порождает ответственность тех, кто не смог защитить чувствительные данные.
Отметим, что киберугрозы появились в 80-е гг. прошлого столетия, актуальность приобрели в связи с развитием интернета, а на новый уровень вышли во время ковид-пандемии, когда происходил стремительный и, строго говоря, неподготовленный переход компаний в режим онлайн-работы.
По данным исследования «АльфаСтрахования», в 2021 г. число запросов от крупного и среднего бизнеса на котирование и страхование киберрисков увеличилось по сравнению с 2020 г. на 60%.
Именно в этот период в дарк- и в интернет хлынули буквально потоки корпоративных тайн и персональных данных, в связи с чем возникли убытки и начались судебные разбирательства. Действительно, ни в одной стране мира к такому варианту не был готов никто. Кстати, первой пострадала Индия — как мировой бэк-офиса в сфере IT. Но докатилась волна и до России.
Тонкости cyber insurance
Киберстрахование (cyber insurance) по определению представляет собой набор страховых продуктов, призванных защитить бизнес или физлицо от рисков, которые связаны с тремя основными моментами:
· пользованием сетью интернет;
· работой с IT-инфраструктурами;
· хранением и обработкой электронных данных.
Статистика в данной сфере заметно «хромает». Виной тут и разнообразие киберинцидентов с постоянным появление новых уязвимостей, и нежелание пострадавших афишировать произошедшее в виду нанесения ущерба их репутации.
Диапазон же негативных последствий крайне широк — от простого уничтожения данных до коммерческого шпионажа, от вымогательства до прямого хищения денежных средств, от снижения производственных показателей до приостановки деятельности хозяйствующего субъекта.
Киберриски не даром сравнивают с ущербом от терроризма или военных действий: по всем этим рискам страховые компании применяют оговорки.
В целом полисы cyber insurance принципиально не новы. В банковском секторе уже не одно десятилетие страхуются риски, связанные с финансовым трафиком (счета, переводы) и с пластиковыми картами, а также чрезвычайные происшествия с базами данных, информационные утечки и пр.
Что можно и что нельзя застраховать
На волне постпандемийного хайпа в киберстрахование ринулись все — от акул страхового бизнеса до стартапов. Серьезные маркетинговые вливания создали переизбыток информации, но не ликвидировали дефицит знаний.
Под рисками в страховании всегда понимаются исключительно внезапные события, а перечень страхуемых информрисков достаточно ограничен. Реально можно застраховаться от таких событий:
· компьютерная атака (таргетированная);
· внедрение в систему вредоносного ПО;
· технические сбои в работе оборудования и программного обеспечения;
· приведшие к сбоям ошибки персонала.
Соответственно, и говорить о комплексной страховой защите IT-систем (как это возможно, к примеру, при имущественном страховании) невозможно: полис «от всего» окажется не только очень дорогим, но и бесполезным на практике.
Страховая защита от киберрисков выглядит как набор точечно устанавливаемых в наиболее уязвимые участки информационной системы монощитов, цель которых — минимизировать убытки, возникающие в этом конкретном месте при наступлении чрезвычайного происшествия.
Эффективно страхуются следующие последствия поражения IT-системы:
· утрата программного обеспечения или электронных данных из-за ошибок и сбоев;
· утрата хранящейся в электронной форме денег, ценных бумаг или интеллектуальной собственности как результат хищения;
· неправомерное и несанкционированное использование ресурсов третьими лицами (например, майнинг);
· вымогательство с использованием киберсредсвт;
· претензии в связи с разглашением ПД, нарушением конфиденциальности, нанесением ущерба третьим лицам;
· перерывы в хоздеятельности, обусловленные отсутствием доступа к электронным данным или сбоем ИТ-системы;
· повреждение/гибель готовой продукции или оборудования как следствие застрахованного риска.
О перспективах российского рынка киберстрахования
На сегодняшний день на этот вид страхования в России приходится менее 1% от всех страховых сборов в корпоративном сегменте рынка. Однако на фоне развития и популяризации IT-решений эксперты видят серьезные перспективы.
В частности, в ВСС оценивают данный рынок как быстрорастущий: по итогам текущего 2023 г. союз спрогнозировал его объем на уровне 1,35 млрд. руб., а в следующие два года — троекратный рост (до 10 млрд. руб.)
