Кибер-страхование как способ обеспечения информационной безопасности

В современном мире, каждая из организаций будь это правительственные структуры, финансовые, коммерческие, медицинские и другие - собирают, обрабатывают и хранят огромные объемы личных данных людей: пользователей, клиентов, сотрудников. В основном вся эта информация является конфиденциальной, и ее утечка, потеря, хищение может иметь негативные последствия, как для человека, в целом, так и для организации. В том числе, под кибер-атакой могут оказаться организации, обеспечивающие инфраструктуру города, страны и общества, как такового. К ним относятся: электроснабжение, водоснабжение, теплоснабжение, транспортные структуры и т.д. В той или иной мере, каждая система взаимодействует с ЭВМ и безопасность этих и других организаций имеет крайне важное значение для полноценного функционирования и жизни общества [3].

Поскольку многие современные компании используют в своей деятельности современные технологии, то они могут подвергнуться кибер-атаке со стороны злоумышленников или недобросовестных конкурентов. Потеря или утечка персональных данных, сбой или остановка работоспособности сервера и многие другие проблемы приносят компаниям многомиллионные финансовые потери.

За последние годы от хакерских атак пострадали сотни компаний, поэтому бур- ное развитие кибер-страхования в России - это перспектива недалекого будущего.

Перерыв в производстве и киберинциденты занимают первые строчки в списке десяти самых главных угроз, которые видит для себя бизнес. Далее следуют стихийные бедствия, изменение рыночной ситуации, поправки в законодательных и нормативных актах и так далее.

За последние пять лет кибер-инциденты поднялись с 15-й на 2-ю строчку рейтинга. Подобно стихийному бедствию кибератаки могут навредить сотням компаний. Так называемые кибер-ураганы, когда хакеры вмешиваются в деятельность большого количества предприятий, используя их зависимость от общей интернет-инфраструктуры, происходят все чаще [1].

Кибер-атаки становятся все более изощренными. Центр стратегических и международных исследований совместно с McAfee в 2014 году оценил убыток глобальной экономики от кибер-преступности в $445 млрд. К 2020 году этот показатель может достигнуть $3 трлн.

В 2018 году число кибер-преступлений в России выросло в два раза. Только по официальным данным Генпрокуратуры произошло больше 150 тыс. инцидентов. В среднем ежемесячно регистрируют больше 13 тыс. атак. Доля таких преступлений выросла с 4,4% до 8,1%, при этом расследовано только 31,8 тыс. Если смотреть статистику за 10 лет, кибер-преступность продемонстрировала рост в 10 раз [2].

Несмотря на информацию о растущем количестве угроз и кибер-рисков, в подавляющем большинстве российский бизнес пока неохотно передает свои риски страховщикам, ссылаясь на собственную «надежную систему IT-безопасности».

Вместе с тем, очевидно, что рост автоматизации бизнеса и ужесточение законодательных нормативов ставят бизнес перед необходимостью расширения системы риск-менеджмента, в том числе аудитов кибер-безопасности и привлечения страхования кибер-рисков. Учитывая начавшиеся перемены, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет.

Уже сегодня рынок предлагает большой выбор страховых покрытий для разных рисков.

Само содержание корпоративных программ страхования от кибер-атак у большинства страховщиков идентичное. Объект страхования - имущественные интересы клиента. Они могут быть связаны с рисками [1]:

• -    наступления ответственности за причинение ущерба имуществу граждан и других юридических лиц;

• -    наступления непредвиденных расходов;

• -    получения убытков от перерывов в производстве.

Некоторые страховщики предлагают расширить классический полис имущественного страхования или страхования от перерыва в производстве.

В него включают риск кибер-атаки. Также можно приобрести страховку от кибер-угроз отдельно. Но в России такие продукты - редкость. В частности, программы страхования от кибер-угроз предлагают «АльфаСтрахование», «Сбербанк Страхование», «Согаз», «Альянс» и ещё нескольких крупных игроков рынка.

Договор можно заключить как на все, так и на отдельные кибер-риски. Есть стандартные пакеты и индивидуальные. Вторые ещё называют конструкторами – клиент выбирает услуги под особенности бизнеса.

Что касается базовой программы, в неё входят риски утраты и искажения данных, программного обеспечения, разглашения персональных данных, расследование и диагностика кибер-атак. В полис-конструктор можно включить риск хищения интеллектуальной собственности, вымогательство, ущерб деловой репутации и т.д. Цена программы страхования зависит от количества и набора рисков, покрытия и франшизы, а также рода деятельности страхователя и результатов оценки риско-защищенности.

Рассмотрим распространённые элементы кибер-страховок подробнее [3].

• -    риски утечки корпоративных и личных данных. Не всегда мошенников интересуют деньги. Иногда цель атаки - хищение информации о сотрудниках компании, продукции и т.д.

• -    перерыв в производстве. Атака на сетевые ресурсы и серверы может вывести из строя целые подразделения. В результате перерыва в рабочем процессе компания теряет прибыль. Эти потери компенсируют по страховому полису.

• -    компрометация конфиденциальности передаваемой информации. В убытки входят не только непосредственные потери, но и траты на защиту своих прав, в том числе юридическую.

• -    риск ущерба деловой репутации. Страховая компания покроет убытки и расходы, связанные с публичным раскрытием похищенной конфиденциальной информации, ложными или вводящими в заблуждение заявлениями (например, в СМИ).

• -    виртуальное вымогательство. Если кибер-преступники требуют деньги за прекращение угрозы безопасности, клиент с согласия страховой компании выплачивает их, после чего СК возвращает ему всю сумму.

• -    антикризисный PR. Если украденные данные разместили в публичном доступе, исказили, использовали против компании-страхователя, СК оплатит услуги по восстановлению репутации.

Полис включает также покрытие [2]:

• -    расходов, связанных с восстановлением, повторных сбором или воссозданием информации после утечки или несанкционированного использования данных;

• -    рисков «технических сбоев» и «умышленных действий сотрудников»;

• -    услуг юристов, которые проводят инструктаж по предотвращению утечки персональных данных и действиям, если такая утечка всё же произошла;

• -    убытков, связанных с хищением денег со счетов, корпоративных карт компании.

Кроме того, по полису можно возместить убытки, связанные с проведением расследований регулирующими органами. Кстати, некоторые СК компенсируют затраты на внутренние расследования внутри компании-страхователя. Например, расходы на экспертов в области информационных технологий (услуги форензик).

Страховщик также возмещает расходы клиента по требованиям третьих лиц (например, клиентов, которые совершают покупки на сайте компании) из-за утечки данных или нарушения конфиденциальности. В полис может входить и защита в связи с требованием регулирующих органов.

Могут быть возмещены расходы на уведомление третьих лиц о произошедшей атаке, сбое, утечке данных и т.д., расходы на мониторинг после наступления страхового события (чтобы предотвратить повторную кибер-атаку) [3].

Страховая компания не покроет убытки от ущерба в результате утечек данных, хакерских атак, кибер-угроз, которые произошли до покупки полиса. Даже если последствия от них наступили в момент действия договора.

Не подпадает под страховой случай кибер-атака в результате военных действий, мародёрства, вторжений зарубежных врагов, революции и других народных волнений. Теоретически это значит, что страховая компания не покроет расходы, если кибер-преступление будет организовано за границей и будет признано атакой на страну, а не на конкретную компанию.

Если убытки от кибер-атаки связаны с операциями на рынке ценных бумаг, их также не покроют. Однако некоторые страховые компании делают на этот счёт исключения.

Также в договорах страхования можно встретить любопытное исключение, касающееся того, что страхователь может лишиться выплаты из-за нечестности. Под этим понимают ненадлежащее или неполное указание стоимости товара на сайте, подлинности товара, а также несоответствие товаров, продуктов или услуг заявленному качеству и рабочим характеристикам. Также в числе исключений ошибки в обнародованных финансовых данных компании.

Не удастся покрыть убытки от сбоев в работе электричества, интернета. Сюда же относятся сбои в работе кабельного, спутникового, телекоммуникационного сетевого оборудования, включая проблемы в предоставлении услуг сторонним провайдером. Если в компании установлено нелицензионное программное обеспечение, это также станет препятствием для получения выплаты.

Мошенничество в киберпространстве набирает обороты, опережая современные средства защиты. Опасность может поджидать где угодно. Хотя страхование -цивилизованный способ защиты от рисков, в России эффективным и распространённым этот инструмент станет ещё нескоро [2].

Немногие страховые компании готовы сегодня предложить качественный, системный продукт, направленный на защиту клиентов от кибер-преступности.

Инструментарий еще не отработан, а почти полное отсутствие практики выплат не дает возможности проверить все страховые случаи и виды покрытий на системные ошибки. На сегодняшний день для широкого внедрения этого вида страхования отсутствует и законодательная база, и судебная практика. Недостаточно пока в российских страховых компаний специалистов, имеющих представление о структуре рисков. Но, начало положено и, скорее всего, в течение ближайших трех лет мы столкнемся со взрывным ростом этого вида страхования.