Почему не получается адекватно страховать киберриски

Потери от хакерских атак и технических сбоев уже превышают ущерб от природных катастроф

Финансовые потери от урагана «Катрина» составили $120 млрд – эквивалентные затраты в ближайшие 10 лет компании и государства могут понести от масштабной кибератаки, считают эксперты страхового рынка Lloyd’s. Эти данные подтверждаются барометром рисков Allianz, который оценил ущерб от буйства природы за прошедшие 10 лет в $208 млрд, а от хакерских атак только за 2018 г. – в $600 млрд. Тем не менее защита от катастроф уже давно включается в соглашения и договоры страхования по всему миру, а страховка от хакерских атак все еще остается terra incognita для многих представителей отечественного бизнеса.

В России о комплексном страховании киберрисков пока чаще других задумываются крупные финансовые институты. Так, по информации из публичных источников, попытки застраховаться от кибератак предпринимали Сбербанк и Московская биржа. Но при изучении вопроса одни страховщики сталкиваются с неготовностью компаний допускать их к оценке собственной IT-инфраструктуры (что необходимо для покупки полиса), а другие – с недостаточной емкостью рынка страхования от киберрисков. Большинство крупных и средних банков пока чаще страхуют риски электронных и компьютерных преступлений в рамках договоров комплексного банковского страхования, а не киберрисков.

Несмотря на сомнения бизнес-игроков, игнорировать растущее с каждым годом число хакерских атак становится все сложнее.

В активах многих компаний сегодня находятся данные и сервисные платформы их клиентов и поставщиков – именно они являются главным объектом внимания хакеров. Вместе с тем растет и опасность перерывов в производстве, вызванных киберинцидентами. В мае 2017 г. абонентам «Мегафона» и дочерней компании Yota из-за технических проблем с сетью несколько часов были недоступны голосовая связь и доступ в интернет. Максимальная сумма ущерба в связи с неоднократными сбоями в этой системе оценивается более чем в $200 млн. А ущерб от часовых сбоев в работе Uber, «Яндекс.Такси», а также мобильного и интернет-банков ВТБ и «Открытия» в феврале 2019 г. еще только предстоит оценить. Частично ущерб такого рода можно было бы компенсировать за счет страхования от киберрисков, но пока внимание бизнеса в большей мере направлено на повышение безопасности собственных IT-систем.

Ответственность бизнеса за киберинциденты, в том числе и в России, по мнению экспертов, будет со временем расти. Уже сейчас российские компании, имеющие зарубежные «дочки», могут попасть под действие европейского закона GDPR, который предусматривает штрафы за нарушение конфиденциальности данных в размере до 4% от годовой глобальной выручки компании за прошлый год (максимально 20 млн евро).

Сейчас также разрабатывается правительственная программа «Цифровая экономика», призванная законодательно отрегулировать эту сферу по шести приоритетным проектам. Она позволит потребителям требовать возмещения ущерба (даже такого, как психологический стресс) и быстрее возмещать убытки, связанные с утечкой данных.

Можно ожидать, что на законодательном уровне государство также поднимет вопрос о необходимости страхования от киберрисков. В таком случае уже существующие на нашем рынке страховые продукты в этой области могут стать более востребованными, так как содержат защиту от разного рода инцидентов: страхование третьих лиц от ущерба, причиненного им в связи с нарушением конфиденциальности данных; страхование компании от перерывов в производстве, вызванных киберинцидентами или техническим сбоем систем; сопутствующие расходы на IT-расследование, юридическое сопровождение, антикризисный PR и прочее.

Уже сейчас некоторые западные производители программного обеспечения и платежных систем в обязательном порядке требуют страховать риски своих партнеров – финансовых организаций или IT-компаний, осуществляющих взаиморасчеты по стандартам Payment Card Industry Data Security Standard (PCI DSS – стандарт безопасности данных индустрии платежных карт). Организации, получающие сертификат PCI DSS, должны предъявить полис страхования киберрисков.

Еще одним фактором роста в ближайшие годы могут стать динамично развивающиеся провайдеры услуг, такие как сервисы заказа такси, каршеринги и другие, ведь последовательная автоматизация процессов и переход большинства сервисов в онлайн так или иначе потребуют адекватной защиты от возможных технических сбоев. Учитывая темпы развития подобных сервисов, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет.

Мнения экспертов банков, финансовых и инвестиционных компаний, представленные в этой рубрике, могут не совпадать с мнением редакции и не являются офертой или рекомендацией к покупке или продаже каких-либо активов.