Гражданско-правовая характеристика договора киберстрахования

П роблема кибератак охватывает все отрасли экономики, нанося существенный урон как бизнесу, так и обычным гражданам и системе национальной безопасности в целом [5].

Устойчивость в значительной степени зависит от способности государства адаптироваться к изменениям, прогнозировать и преодолевать угрозы, а также гибко реагировать на вызовы, обеспечивая при этом стабильность и улучшение качества жизни граждан. Это включает в себя разработку и реализацию комплексных стратегий во всех сферах – от энергетической политики до образования и научных исследо- ваний, что обеспечивает устойчивое развитие и безопасность государства в долгосрочной перспективе.

Актуальность исследования обусловлена тем обстоятельствам, что «в 2024 году количество кибератак достигло рекордного уровня – 1 811 562 707 инцидентов, не считая DDoS-атаки и случаи, связанные с фишинговыми сообщениями. Такие атаки становятся всё более изощренными, а их последствия – разрушительными. Организации, подвергшиеся нападению, часто оказываются перед сложным выбором: либо заплатить выкуп, либо понести серьезные убытки из-за утраты критически важных данных» [6].

Только в 2024 году произошел ряд масштабных киберинцидентов на ИТ-инфраструктуру судебных учреждений, сайты федерального удостоверяющего центра, на сеть СМИ и телеканалов , включая ВГТРК, Россия 1 и Россия 24, DDoS-атаки крупнейших российских банков, в том числе ПАО «Сбербанк», МИД РФ, на пользователей Android-смартфонов и др. [7].

В литературе подчеркивается эффективность экономических инструментов(в том числе страхования) для охраны отдельных сфер жизнедеятельности [11].

Представляется, что киберстрахование может стать одним из ключевых инструментов защиты от кибератак и утечек персональных данных и чувствительной информации, выступая перспективным направлением развития страховой отрасли как в России, так и за рубежом.

«Киберстрахование, или страхование информационных рисков, – вид страховки, позволяющий бизнесу получить компенсацию за убытки от хакерских атак, утечек данных, взлома серверов и вирусов. Бизнесу важно защитить от ИТ-рисков собственную информационную инфраструктуру, коммерческую тайну, чувствительную информацию и персональные данные сотрудников и клиентов. В страховке от информационных рисков заинтересованы фирмы, обрабатывающие большие объемы персональных данных: маркетплейсы и офлайн-ритейл, банки, иные финансовые организации, медицинские учреждения, отели и иные компании из сферы услуг. Классическая страховка от киберрисков позволяет бизнесу быстрее реагировать на киберинциденты, привлекать специалистов и покрывать расходы на восстановление ИТ-инфраструктуры, сокращать время простоя. Также наличие такого полиса может стать конкурентным преимуществом при участии в тендерах на поставку товаров, работ или услуг. Обычные договоры страхования зачастую исключают киберриски из сферы своего действия» [2].

Ключевая проблема в области киберстрахования на сегодняшний день заключается в отсутствии правового регулирования данной сферы отношений. Нормы действующего законодательства, включая нормы Гражданского кодекса Российской Федерации (далее – ГК РФ) и ФЗ от 27.11.1992 № 4015-1 «Об организации страхового дела», не содержат положений о договоре страхования киберрисков.

При этом согласно Указу Президента Российской Федерации от 07.05.2024 № 309 «О национальных целях развития РоссийскойФедерации на период до 2030 года и на перспективу до 2036 года» технологическое лидерство и цифровая трансформация государственного и муниципального управления, экономики и социальной сферы являются национальными целями развития России. В рамках указанных целей поставлена задача по обеспечению сетевого сувере- нитета и информационной безопасности в информационно-телекоммуникационной сети Интернет.

Считаем важным шагом в достижении поставленных Президентом Российской Федерации целей и задач формирование эффективного правового поля в области киберстрахования, закрепление в нормах ГК РФ и специального законодательства института киберстрахования.

В настоящем исследовании автор на основе анализа действующих правил страхования крупных российских страховщиков, предлагающих услуги киберстрахования на российском рынке [7; 8; 9], представляет общую гражданско-правовую характеристику договора киберстрахования, которая может быть положена в основу формирования действующего законодательства об институте киберстрахования.

Определение понятия, предмета и правовой природы договора киберстрахования

По договору киберстрахования одна сторона (страховщик) обязуется за обусловленную договором плату (страховую премию) при наступлении киберинцидента, оказавшего воздействие на информационные ресурсы страхователя (серверы, инфраструктура, сайт, электронная почта, базы данных и др.) с целью нанесения прямого или косвенного ущерба его деятельности и / или утечки персональных данных физических лиц, повлекших имущественный ущерб страхователя и третьих лиц, возместить другой стороне (страхователю) или иному лицу, в пользу которого заключен договор (выгодоприобретателю), причиненные вследствие этого убытки в застрахованном имуществе либо убытки в связи с иными имущественными интересами страхователя(выплатить страховое возмещение) в пределах определенной договором суммы (страховой суммы).

Указанное определение полностью совпадает с предметом договора киберстрахования, являющимся его существенным условием.

Киберинцидент может быть внешним и внутренним (со стороны сотрудников страхователя, подрядчиков), умышленным или неумышленным (в результате социальной инженерии) [3].

По правовой природе договор киберстрахования является разновидностью договора имущественного страхования, консенсуальным, возмездным, взаимным, двустороннеобязывающим.

Форма договора всегда письменная исходя из положений ст. 161 ГК РФ.

Субъектный состав договора киберстрахования: страховщик, страхователь и третьи лица (клиенты компании, ее сотрудники), чьи персональные данные могут быть разглашены в результате киберинцидента.

На сегодняшний день на отечественном рынке услуги киберстрахования предлагают только шесть крупнейших страховых компаний, имеющих доста- точные активы для покрытия ущерба от киберинцидентов. Это говорит о недостаточном развитии отечественной отрасли киберстрахования.

Что же касается страхователей, то их круг достаточно широкий. «Киберстрахование отвечает за защиту от вторжения в информационные ресурсы компании. А поскольку сейчас практически любой бизнес построен вокруг ИТ, то фактически – это вторжение в основной бизнес любой компании. Любой бизнес можно и нужно страховать от киберрисков – и завод по обогащению урана, и банк, и маркетплейс, и гостиничный бизнес, и магазин стройматериалов» [3].

Объекты страхования

Объектами киберстрахования могут быть как вещи (например, компьютерное оборудование от его повреждения в результате кибератаки), так и имущественные права(неполученная прибыль, финансовые потери от кибервымогательства), имущественные обязанности (возмещение убытков и уплата неустойки за неисполнение контрактов по причине простоя), ответственность перед третьими лицами (например, за утечку персональных данных и списание средств с банковских счетов клиентов).

«Для одних бизнес – это производственное оборудование, которое может быть выведено из строя путем кибератак, и необходимость его восстановления. Для других – финансовые убытки от перерыва в деятельности из-за срыва контрактов и невозможности исполнения обязательств. Для третьих– финансовые потери из-за списания денег со счетов через уязвимости в системе проведения платежей. Еще для кого-то – раскрытие информации о клиентах, совершение преступлений с персональными данными клиентов и иски со стороны третьих лиц. А порой – это всё сразу» [3].

Интересный вопрос относительно объектов киберстрахования назрел на практике. 30 ноября 2024 года Президент Российской Федерации подписал два федеральных закона: № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации» и № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», которыми ужесточена ответственность за утечку персональных данных, включая существенное повышение размера административных штрафов (ст. 13.11 КоАП РФ) и введение уголовной ответственности (ст. 272.1 УК РФ). К примеру, по ст. 13.11 КоАП РФ при утечке данных более 100 тыс. граждан и/или более 1 млн идентификаторов размер штрафа для компаний составит от 10 до 15 млн руб.

Могут ли штрафы за утечку персональных данных быть объектом страхования, учитывая, что они уплачиваются в доход государства?

Согласно ст. 928 ГК РФ не допускается страхование противоправных интересов, то есть не до- пускается страхование на случай нарушения закона страхователем и, очевидно, последствий такого нарушения закона.

Согласно п. 12 ст. 1 Федерального закона от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», «действия (бездействие) оператора, повлекшие неправомерную передачу (предоставление, распространение, доступ) информации, включающей персональные данные от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния, влекут наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц – от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц – от трех миллионов до пяти миллионов рублей» [13]. При этом одним из обязательных условий наступления административной ответственности является наличие вины. Следовательно, административная ответственность за утечку персональных данных наступит только тогда, когда речь пойдет исключительно о виновных действиях (бездействиях) оператора персональных данных – страхователя, то есть совершенном оператором данных виновном противоправном деянии в форме действия и бездействия, повлекшем утечку персональных данных.

Напомним, что в соответствии сп. 2 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» «оператор персональных данных – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных» [13].

Таким образом, можно сделать обоснованный вывод, что киберстрахование не сможет покрывать административные и уголовные штрафы за утечки персональных данных.

Стоит обратить внимание, что не любая утечка персональных данных, не любой киберинцидент должны выступать основанием для выплаты страхового возмещения, поскольку не всегда отраженный киберинцидент, произошедшая утечка персональных данных сопровождаются имущественным ущербом страхователя и/или третьих лиц или причинением морального вреда физическому лицу.

Поэтому крайне важно определиться с понятием страхового риска и прежде всего страхового случая как основания выплаты страхового возмещения. Более подробно об этом в статье [1].

Обобщение практики крупных российских страховщиков, предлагающих на сегодняшний день услуги по киберстрахованию [8; 9; 10], позволяет выделить несколько основных страховых рисков и страховых случаев:

•    компьютерные атаки; •    внедрение вируса, в том числе работником фирмы;

•    сбой информационной системы страхователя [2]; •    утечка персональных данных; •    другие, повлекшие имущественный ущерб страхователя и/или третьих лиц.

Как показывает практика, являются основаниями для освобождения страховщика от выплаты возмещения по договору киберстрахования и не рассматриваются в качестве страховых случаев следующие обстоятельства:

•    обстоятельства непреодолимой силы, включая военные действия и чрезвычайные обстоятельства (например, стихийные бедствия); •    использование кибероружия; •    отключение электричества [2].

За рамками настоящего исследования остаются вопросы содержания договора киберстрахования, ответственности его субъектов, целесообразности введения обязательного киберстрахования в России, которые станут предметом дальнейших научных изысканий автора.Развитие правовых основ, направленных на продвижение применения и совершенствования технологий искусственного интеллекта, по мнению ряда авторов, будет способствовать созданию единых правил по регулированию общественных отношений, связанных с применением новых технологий [4], в том числе в страховой сфере.

Таким образом, несмотря на отсутствие правового регулирования отношений в договоре киберстрахования, киберстрахование как никогда актуально в современном российском гражданском обороте, и его значимость в борьбе с киберугрозами невозможно переоценить. Безусловно,данный институт нуждается в закреплении в российском законодательстве и формировании эффективной правовой основы его функционирования.