«В 2017 году, как и годом ранее, злоумышленников интересовали персональные и платежные данные, коммерческая тайна, интеллектуальная собственность», — сообщил руководитель центра информационной безопасности университета Иннополис Сергей Петренко. С экранов телевизоров, газетных и журнальных полос нам постоянно говорят о том, что количество кибератак ежегодно увеличивается и ущерб от них исчисляется миллиардами рублей. Возникают резонные вопросы: готовы ли сегодня предприниматели страховаться от угроз со стороны хакеров, а сами страховщики — развивать у себя соответствующее направление? Сегмент страхования от киберрисков в республике и в целом по стране только-только зарождается. Что же необходимо для его развития? Об этом мы поговорили с директором филиала СПАО «Ингосстрах» в Татарстане Игорем Волчковым.
Угрозы растут
— Игорь Викторович, насколько востребовано страхование от киберрисков у компаний Татарстана?
— Мы отмечаем повышение интереса к страхованию киберрисков со стороны организаций Республики Татарстан, наблюдается рост числа информационных угроз. При этом угрозы нацелены на госструктуры, крупные промышленные предприятия и банки. Например, согласно данным Министерства информатизации и связи Республики Татарстан, за 2017 год было совершено более 8 млн попыток компьютерного воздействия на региональные государственные информационные ресурсы. Количество попыток внешнего воздействия за декабрь 2017 года составило более 800 тысяч, а динамика роста попыток по отношению к началу 2017 года — 60%. Наибольший интерес к защите от киберрисков проявляют компании финансового сектора и IT.
Выплат по страховым случаям пока не было
— Какие продукты по киберстрахованию в Татарстане сегодня предлагают страховые компании? Проводились ли выплаты по киберрискам/информационным рискам в Татарстане? Можете ли вы назвать максимальный размер выплаты?
— На федеральном уровне некоторые страховщики предлагают, например, комплексную программу страхования рисков компаний, деятельность которых напрямую связана с хранением и обработкой персональных данных. В рамках полиса страхования предполагается защита не только денежных средств и информационных ресурсов, но также и покрытие рисков, связанных с претензиями и требованиями надзорных органов, расходами на восстановление утраченных данных. В Татарстане выплат пока не было, поскольку это направление развивается в регионе сравнительно недавно.
В зоне риска
— Компании каких отраслей экономики Татарстана предпочитают чаще всего страховаться от киберрисков?
— Страхование киберрисков в течение нескольких лет было актуально для организаций финансовой отрасли и IT. Однако в последнее время эта тенденция претерпела изменения — теперь в зону риска попадают все компании, так или иначе работающие с персональными данными и информационными базами. Это связано с тем, что информация становится таким же ценным ресурсом для злоумышленников, как и денежные средства. Кроме того, бизнес многих компаний (особенно в сегменте МСБ) связан с цифровыми ресурсами (сайт, приложение), и любая атака на данный ресурс может привести к приостановке деятельности и, соответственно, влиять на клиентов компаний. Стоит отметить, что около 80% информационных активов российских организаций не защищены от рисков киберугроз.
Императив
— Должно ли, с вашей точки зрения, киберстрахование быть обязательным и почему?
— Одна из ключевых составляющих киберстрахования и защиты от киберугроз – законодательное регулирование. Текущая ситуация показывает, что кибератака может нанести гораздо более серьезный ущерб компании, чем какое-либо стихийное бедствие. Безусловно, введение обязательного киберстрахования существенно повысит его массовость. Но этот процесс потребует комплексного подхода, в котором будут задействованы как государственные органы, так и бизнес. Так, на первом этапе мы считаем целесообразным разработку базисных мер, регулирующих область киберстрахования. Также необходимо рассмотреть такие вопросы, как обязанность компаний обеспечивать защищенность своих информационных систем. Организации, конечно же, занимаются этими вопросами, но каждая делает это в силу своих возможностей и средств.
Перечисленные выше меры необходимо реализовать для того, чтобы ввести стандартизированные тарифы и страховые суммы, которые являются неотъемлемой часть массового обязательного продукта. Сейчас же стоимость страхового полиса от киберугроз индивидуальна и может быть рассчитана только после полного аудита безопасности информационной системы клиента, что требует определенных затрат времени и средств. И это — серьезный барьер для развития массового продукта киберстрахования.
Вместе с тем, в России уже принимаются меры, которые способны оказать позитивное влияние на отрасль киберстрахования. К примеру, в программе «Цифровая экономика» указано, что с 2022 года страхование киберрисков станет обязательным условием для банковской сферы, аэропортов и вокзалов, а также для металлургической, машиностроительной, авиапромышленной и судостроительной отраслей. Мы поддерживаем этот процесс, так как перечисленные отрасли играют стратегическую роль в экономике страны.
Сейчас мы можем наблюдать за европейским опытом в киберстраховании — с 25 мая 2018 года началось применение регламента 2016/679 (Европейский регламент GDRP). Он повышает требования к компаниям в части хранения, обработки и защиты данных клиентов и, соответственно, побуждает их к развитию этих процессов и повышению интереса к страхованию от киберугроз.
Большие перспективы
— Каковы перспективы развития киберстрахования в Татарстане? Когда, с вашей точки зрения, этот вид страхования станет массовым в республике?
— Мы полагаем, что 2-3 года — это тот срок, когда данный вид страхования станет востребованным всеми финансовыми, технологическими и инновационными организациями и предприятиями. Это вопрос не только кражи денег из банкоматов и со счетов банков, но и защита ноу-хау, интеллектуальной собственности, а также вмешательство в функционирование цифровой инфраструктуры, работу автоматизированных систем предприятий и так далее.
Бизнесу нужны стимулы для страхования киберрисков
Свою точку зрения на развитие рынка киберстрахования в беседе с «МК-Поволжье» высказали президент-председатель правления Российской национальной перестраховочной компании (РНПК) Николай Галушин и председатель комитета Всероссийского союза страховщиков по противодействию мошенничеству Игорь Фатьянов, вице-президент Союза страховщиков Татарстана Рустэм Сабиров.
— Я вообще не сторонник обязательного страхования. Должны быть инструменты, которые бы стимулировали бизнес страховать свои киберриски. Во всем мире киберстрахование развивается по двум сценариям. Во-первых, это страхование ответственности, например, за утечку персональных данных. Хакеры проникли в вашу систему, украли базу данных и стали торговать ею на рынке. Теперь вашей компании начинают предъявлять претензии, связанные с ответственностью за раскрытие персональных данных. Второй сценарий — возмещение материального ущерба. Например, киберпреступники попали в вашу информационную систему и уничтожили ее. Вам нужно восстанавливать базы данных, ремонтировать «железо», заново отладить инфраструктуру. Я полагаю, что киберстрахование в России будет развиваться по сценарию материального ущерба. В прошлом году появился закон о защите критически важной инфраструктуры. Страхование от киберрисков вовсе не означает, что не нужно заниматься кибербезопасностью. Заниматься нужно. Но всегда стоит помнить о том, что избежать дополнительных финансовых нагрузок поможет договор страхования, — сказал Николай Галушин.
По словам главы РНПК, компании сейчас в основном инвестируют деньги в защиту самого периметра от хакеров. Но страховые компании готовы экспериментировать. «Эксперимент будет заключаться в том, что появятся договоры страхования не с очень большими страховыми суммами. Это необходимо для того, чтобы посмотреть на реакцию потенциальных покупателей. Посмотреть на убытки, попытаться научиться урегулировать их и так далее. Система должна быть отработана на небольших страховых суммах и небольших убытках. Пока договоров с очень крупными страховыми суммами, в десятки миллионов долларов, я в России не знаю», — отметил эксперт.
Будет спрос — будет предложение
Председатель комитета Всероссийского союза страховщиков по противодействию мошенничеству Игорь Фатьянов считает тему киберстрахования интересной.
— Сейчас достаточно много рисков, которые всплывают каждый день. А раз так, то возникает потребность в их покрытии. На первом этапе необходимо научить клиентов корректно оценивать эти риски. Например, если обнаружится шифровальщик, на сколько прервется ваша работа? Эти риски сейчас никто оценивать не станет, потому что не знает, что может случиться и каким будет масштаб бедствия. Продукты, конечно, есть, но спрос только-только начинает зарождаться.
Подводные камни
Вице-президент Союза страховщиков Татарстана, директор компании «ПСК-страхование» Рустэм Сабиров высказал свою точку зрения о рисках киберстрахования для самих страховщиков.
— Я бы не сказал, что существует рынок киберстрахования. Есть какие-то попытки, но пока мне кажется, что это больше разговоры, чем реальная работа. Заявок от клиентов на киберстрахование я пока не видел. Вполне может быть, что в крупных компаниях существуют отдельные договоры. Чтобы эта услуга продавалась, во-первых, нужен спрос. А страховым компаниям, чтобы эту услугу предложить, нужна еще и статистика. Если бы каждый владелец кредитной карточки или компьютера застраховался — это было бы одно. В этом случае мы получили бы достаточно объективную картину. Но есть опасение, что будут страховать лишь те, кто действительно оказывается в зоне риска, кто точно уверен, что хакеры не обойдут его стороной. И поэтому статистика будет совершенно другая. Думаю, киберстрахование начнет развиваться в Татарстане не раньше, чем через 5-6 лет, потому что слишком много неизвестных в этом уравнении.
Если 100% потребителей какого-то сегмента будут застрахованы, тогда те, кто реально должен отвечать за безопасность, просто перестанут ею заниматься. А зачем, если все застраховано? Тогда не нужны будут ни служба безопасности, ни усиленные защитой банкоматы, специальные коды… Люди просто расслабятся и не станут этими задачами заниматься. Поэтому вопрос кибербезопасности — это не только вопрос страхования. Оно в списке мероприятий по обеспечению информационной безопасности должно идти точно не под номером один. Страхование по определению покрывает какие-то непредвиденные риски. Если мы точно знаем, что риски предвиденные, то они не должны страховаться, — пояснил Рустэм Сабиров.
Вопросов, связанных со страхованием от киберугроз, еще очень-очень много. Но хакерские атаки с каждым днем становятся все более яростными. А раз так, то у бизнес-сообщества и страховщиков не так много времени, чтобы сформировать спрос и предложение.
