Введение: Вопросы ответственности за персональные данные, защиты конфиденциальной информации и личных данных в интернете сегодня стоят как никогда остро. Любая компания, осуществляющая ежедневно обработку электронных персональных данных посредством использования портативных устройств, компьютеров, серверов, Интернет- ресурсов, подвергается рискам кибератак. Последствия кибератак, такие как, например, утечка данных с ваших серверов, могут быть очень существенными. Поэтому сегодня необходимо уделять главное внимание защите информационных систем персональных данных от кибератаки, от взлома сетей.
Появление страхования киберрисков:
Страхование специфических рисков, связанных с информационными технологиями, за рубежом возникло довольно давно и развивалось по другому сценарию, нежели в России. Первым специальным страховым полисом, предоставлявшим защиту от компьютерных рисков, в Европе принято считать полис страхования банков от электронных и компьютерных преступлений, разработанный и принятый в качестве типового в английской ассоциации Ллойдс в 1981 г. К слову, страхование от компьютерных рисков за рубежом и сейчас иногда является частью других страховых программ. Не секрет, что в Европе и Америке страховой рынок развивался на протяжении веков, и страховая культура в предпринимательстве чрезвычайно высока, что означает наличие на каждом предприятии определенной страховой программы, которая может включать данный вид страхования. В России начало страхованию компьютерных рисков было положено в 1997 г., когда «Ингосстрах» получил лицензию на страхование банков от электронных и компьютерных преступлений. Отечественный финансовый рынок - банки, брокеры, дилеры и депозитарии - сейчас является основным потребителем услуг по страхованию информационных рисков. На сегодняшний день застраховано несколько десятков банков и профессиональных участников фондового рынка со страховыми суммами от нескольких сотен тысяч до десятков миллионов долларов. По данным аналитиков Всемирного экономического форума, в 2019 году куберугрозы занимают 5-е место по вероятности возникновения и 7-е по размеру возможного ущерба среди всех глобальных рисков. Полностью исключить вероятность успешной хакерской атаки нельзя ни в одной компании мира, но можно переложить данные риски на страховщика.
Страховая защита от кибератак покрывает:
Ответственность, связанную с использованием персональных данных или корпоративной информации (убытки страхователя, включая расходы на защиту, возникающие в результате заявленного или фактического нарушения персональных данных или корпоративной информации); Ущерб от перерывов в деятельности (покрытие потери чистой прибыли в результате длительного перерыва в функционировании сети страхователя, вызванного атакой на сетевые ресурсы и сервисы с целью приостановления деятельности и затруднения доступа к ним либо нарушением системы безопасности сети) – очень часто является дополнительной опцией; Виртуальное вымогательство (денежные средства, выплаченные с письменного согласия страховщика для ограничения или прекращения угрозы безопасности, которая иначе может вызвать убыток страхователю) – очень часто является дополнительной опцией; Антикризисный PR (услуги по реагированию в случае утечки данных, восстановление личной репутации, инструктаж на случай утечки персональных данных, а также расходы на уведомления и мониторинг, связанные с утечкой информации); Расходы на восстановление системы; Расходы на восстановление и дешифровку данных, включая стоимость необходимого программного обеспечения; Расходы по минимизации последствий и расследованию причин киберпреступления со стороны регулирующих органов.
Основные виды угроз, покрываемые страховым полисом:
Кибератака – целенаправленное и несанкционированное воздействие программных и/или программно-аппаратных средств на компьютерную систему; Ошибки и умысел (бездействие) работников, приводящие к кибератаке; Технический сбой.
Виды страхования информационных рисков на Западе:
В нашей стране страхование информационных рисков еще только развивается, тем не менее многие виды страхования на Западе прижились и стали неотъемлемой частью страховой программы любой уважающей себя компании, использующей в своей работе информационные технологии вообще и Интернет в частности. Прежде всего, это страхование от компьютерных преступлений, которое предоставляет защиту от взлома информационных систем, как извне, так и со стороны сотрудников компании, действий компьютерных вирусов, случайной утраты носителей информации и финансового мошенничества с использованием компьютерных систем. Объектами страхования в этом случае являются «электронные» деньги, которые могут быть украдены, а также ценная информация, которая может быть утрачена. Как и в большинстве случаев, информация страхуется по стоимости восстановления. При таком подходе страховая компания возмещает расходы по оплате сверхурочной работы сотрудников предприятия, привлечению сторонних экспертов и аудиторских компаний, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Некоторые виды информации, например патенты или проектная документация, могут страховаться по дополнительным соглашениям, предусматривающим особый порядок возмещения ущерба, - выплату страховой суммы без требования обязательного восстановления. Однако такие соглашения - исключение из правил, не отражающее общую практику. Второй наиболее популярный вид страхования - страхование профессиональной ответственности, то есть гражданской ответственности за ущерб, который может быть нанесен компанией ее клиентам/потребителям. Нанести такой ущерб и, соответственно, столкнуться с необходимостью выплачивать компенсацию можно вследствие предоставления некачественных услуг, перерывов в обслуживании, неквалифицированных действий персонала и многих других причин. Здесь может страховаться ответственность операторов связи, системных интеграторов, консультантов и программистов, регистраторов доменных имен и многих других участников рынка информационных технологий. Это страхование настолько прочно вошло в деловую практику, что без требований к страхованию профессиональной ответственности в развитых странах не обходится ни один серьезный тендер. Довольно часто страхование от компьютерных преступлений и страхование ответственности предлагаются зарубежными страховщиками в едином пакете. Несмотря на то, что стоимость его за рубежом довольно высока и может достигать нескольких процентов от страховой суммы, этот продукт пользуется спросом.
Российские перспективы: Не так давно в России появились страховые полисы, ориентированные на нефинансовые организации - предприятия любых отраслей и видов деятельности. Для них страховая защита может включать в себя помимо упоминавшихся рисков атак хакеров и действий компьютерных вирусов также новые риски сбоев информационных систем, перерыва в коммерческой деятельности, возникновения дополнительных расходов на аренду резервных центров и защиту репутации пострадавшей компании. Особенно актуально такое страхование для промышленных предприятий, которые имеют комплексные автоматизированные системы, контролирующие критические участки деятельности компании: технологический цикл производства, сбыт, финансы. Это еще очень молодое направление страхового бизнеса, и пока таких полисов в России немного. По мере того, как предприятия будут становиться все более зависимыми от надежности информационных технологий, популярность этого вида страхования будет расти. Тем не менее, не все западные страховые продукты можно привнести на наш рынок. Для того чтобы страхование успешно развивалось, нужны определенные условия - такие, как умеренная убыточность, возможность сбора доказательств и объективного подтверждения страхового случая, возможность определения размеров ущерба, а также наличие механизмов контроля страхового мошенничества. По различным объективным (законодательство, страховая культура, деловая практика) и субъективным (нежелание компаний вкладывать деньги в информационную безопасность) причинам в России не все эти условия сейчас имеются.
