Киберриски растут, но можно ли от них застраховаться, как от ДТП?

«Важно приблизиться к безопасности киберпространства на уровне безопасности автомобиля», – писал недавно журнал The Economist. Мы не можем полностью избежать киберугрозы, как и ДТП. Это было бы слишком дорого и обременительно для экономики. Однако эффективное управление киберрисками позволит смягчить удар, превратив отказ тормозов на высокой скорости в легкое столкновение в пробке.

Число киберпреступлений в России в прошлом году выросло почти на треть, свидетельствует официальная статистика. Это, пожалуй, единственный вид преступности, где ситуация ухудшается такими пугающими темпами. По словам главы управления «К» МВД России Алексея Мошкова, за истекший год зафиксировано 3600 кибератак, что на 28% больше, чем годом ранее. Нужно понимать, что это только официальная статистика. Кроме ущерба чьим-то репутации или кошельку, подобные действия преступников могут представлять собой звенья одной цепочки и в итоге привести к крупным хищениям — денег или данных уже не просто отдельных пользователей, а целого круга, связанного каким-либо образом, например клиентов одного банка.

Федерация европейских ассоциаций по управлению рисками (Federation of European Risk Management Associations, FERMA) предупреждает: многие компании по-прежнему не уделяют должного внимания киберрискам, хотя их число в последние годы только растет и ущерб от преступных или халатных действий все значительней. Слабо повышают уровень сознательности и ответственности компаний и все более солидные штрафы со стороны регуляторов за несоблюдение норм или потерю данных. Количество же возможностей причинить серьезный урон увеличивается, и кибератаки становятся все более непредсказуемыми. Можно установить лучшее антивирусное ПО, нанять самых классных специалистов, которые день и ночь будут противостоять кибератакам, но как предусмотреть человеческий фактор — потерю мобильного устройства с важными данными или крупный системный сбой в программном обеспечении у провайдера?

Оправдываться невозможностью предусмотреть все непродуктивно. Согласно совместному исследованию FERMA и Harvard Business Analytic Services, опросивших респондентов, занятых в сфере риск-менеджмента и виртуально привязанных к Европе, менее половины (49%) компаний имеют стратегию по разъяснению широкой публике инцидентов, связанных с киберрисками. Всего лишь 19% респондентов заявили, что у них есть страховка безопасности и конфиденциальности для подобных случаев.

Член управляющего совета FERMA Джулия Грэм справедливо обращает внимание, что информационная безопасность уже не входит в компетенцию только специализированного подразделения. А опрос, проведенный по заказу страховой компании AIG среди риск-, IT-менеджеров, исполнительных лиц и брокеров, которые участвуют в принятии решений по страхованию в частном бизнесе в США и Канаде, свидетельствует: они ставят киберриски на первое место среди возможных угроз для компании. Именно эту проблему назвали главной 85% участников опроса, придав ей больше значения, чем рискам снижения доходов, нанесения ущерба собственности или инвестиционным потерям. Такое внимание связано, в том числе, с далекоидущими последствиями проблем в области кибербезопасности. Ущерб может не ограничиться денежными потерями: за пропажей ноутбука с личными данными может последовать уход клиентов, проблемы с регулирующими и даже правоохранительными органами, что неминуемо скажется на репутации в целом.

Но почему же осознанные опасения пока не вызывают желания защищаться от этих рисков? Пожалуй, достаточно низкий спрос на продукты страхования от кибератак связан, в том числе, с низким уровнем информированности о наличии и эффективности таких продуктов. При невысоком доверии к российской страховой индустрии в целом нет ничего удивительного в том, что рынок встречает с недоверием совершенно новый и непонятный продукт. Однако я бы не стал рассчитывать, что так будет всегда. Стоит вспомнить, как вводилось страхование вкладов населения в российских банках. Вся страна следила за дискуссиями на государственном уровне: какая сумма должна быть застрахована, на сколько вкладов это может распространиться. Теперь участие в системе страхования вкладов — обязательное условие для привлечения клиентов, которые в первую очередь обращают внимание на это, а уже потом на заманчивые проценты. Полагаю, что уже в ближайшем будущем клиенты и партнеры, прежде чем вступить в деловые отношения с какой-нибудь компанией, начнут интересоваться: а как она защищает персональные данные, сведения, составляющие коммерческую тайну, что предусмотрено на случай их разглашения, утери? Ответом на все это станет страхование киберрисков. И, поскольку наша реальность еще далеко не насыщена виртуальными продуктами и услугами, при их применении необходимо постоянно искать новые решения обеспечения безопасности.

Автор - руководитель отдела страхования финансовых рисков AIG в России