Две трети российских компаний не страхуют данные от утечек
Как правило, они происходят по вине сотрудников
Более 70% российских компаний не страхуют данные от утечек, при этом в 14% случаев ущерб от потери данных превышает 1 млн руб. Такие выводы приведены специалистами экспертно-аналитического центра ГК InfoWatch в исследовании «Оценка ущерба вследствие утечек информации» (есть в распоряжении «Ведомостей»).
Самыми дорогими для компаний были утечки сведений, составляющих коммерческую тайну и ноу-хау, а также персональных данных. Именно персональные данные компрометировались чаще всего – в 39% случаев компании допускали их утечку, а в 24% допускались потери сведений, составляющих коммерческую тайну. Застрахованными оказались организации только из трех секторов: образования, банков и топливно-энергетического комплекса.
В анонимном опросе приняли участие 1500 представителей частных и государственных организаций из отечественного промышленного сектора. Он проводился в июле 2023 г. Согласно результатам опроса, в 70% случаев утечка данных была следствием умышленных действий, при этом в 79% случаев она произошла по вине внутреннего нарушителя. Почти половина случаев компрометации данных (46%) произошла через подключение корпоративной или промышленной сети, а также через корпоративную почту. Утечки происходили по причине потери и кражи съемных носителей, в 9% случаев – через бумажные носители, а также в случаях нелегитимного использования мобильных устройств и через облачные сервисы.
Рынок киберстрахования только формируется, говорит генеральный директор Angara Security Сергей Шерстобитов. По его словам, за последние годы было заключено всего несколько десятков контрактов на страхование рисков в информационной безопасности. Основными операторами таких услуг являются ВСК, «Сберстрахование», «Ингосстрах» и др., уточняет эксперт. Рынок такого страхования абсолютно неразвит, подтверждает консультант по безопасности Positive Technologies Алексей Лукацкий.
Чтобы получить защиту от утечек, компания должна пройти независимый аудит у экспертов, по итогам которого страховщик определит возможный уровень компенсации в случае наступления страхового случая, пояснил эксперт консалтинговой компании Б-152 Максим Лагутин. При этом «чем меньше компания вкладывает в технологии безопасности, тем дороже будет стоить такая защита от киберрисков».
«Страхование киберрисков – это не волшебная пуля и не альтернатива созданию полноценной системы информационной безопасности, всегда есть риски человеческого фактора. Этот продукт стоит рассматривать как инструмент по восстановлению ущерба от атаки на оборудование, инфраструктуру, программное обеспечение», – считает Шерстобитов.
За утечку данных накажут оборотным штрафом
Законопроект об оборотных штрафах для IT-компаний, допустивших утечки персональных данных, обсуждается с весны 2022 г. Он предполагает введение в КоАП поправок, по которым компания, допустившая утечку, может быть оштрафована на 1% годового оборота. Размер штрафа вырастет до 3%, если компания пыталась скрыть проблему. Сейчас КоАП предусматривает штрафы за утечку данных для юрлиц в размере от 60 000 до 100 000 руб., при повторном правонарушении – до 500 000 руб. Минцифры проработало смягчающие обстоятельства для провинившихся, заявлял в декабре 2022 г. министр цифрового развития Максут Шадаев. Например, штраф может быть ниже, если компания проведет сертификацию своей инфраструктуры в соответствии с требованиями безопасности.
Речь идет о страховании киберрисков, однако в такие полисы может быть включено что угодно, говорит директор по маркетингу и коммуникациям страхового брокера Remind (ранее – Marsh) Армен Гюлумян: страхование от целевых и нецелевых кибератак, вымогателей, вирусов-шифровальщиков – т. е. IT-инцидентов, приведших к одной или нескольким видам поломок. При этом 1 млн руб., о котором говорится в исследовании, – это очень небольшая сумма покрытия, так как страховой рынок привык измерять ущерб десятками и сотнями миллионов рублей, уточняет эксперт.
В России такие продукты есть у 3–5 компаний, продолжает он. Раньше основными потребителями таких страховых продуктов были «дочки» иностранных компаний, а также небольшой бизнес, которому банки включали их в страховки по кредитам в принудительном порядке, однако добровольного спроса на них пока нет, знает Гюлумян. «На сегодняшний день реальный рынок – это сотни полисов, а без иностранных компаний – десятки», – утверждает он.
Проблема в том, что для ущерба от утечки персональных данных клиентов нет реальной оценки, объясняет эксперт. «Страховщики считают и возмещают только реальные потери: расходы на восстановление систем, расследование инцидентов, покрывают упущенную прибыль. Однако выплату за утечку клиентских данных компания получить не сможет», – предупреждает он.
Вступивший в силу в 2018 г. в ЕС закон о защите данных (General Data Protection Regulation; GDPR) стимулировал развитие киберстрахования, отмечает Гюлумян. В одной из версий российского законопроекта об оборотных штрафах за утечки персональных данных, который Минцифры разрабатывает с весны 2022 г., также предусматривалась обязанность компаний страховать пользователей от утечек.
Однако в России даже в случае вступления в силу закона об оборотных штрафах компании не смогут застраховать себя на случай утечки данных клиентов, считает Лагутин. «В России запрещено страховать ответственность перед государством, и в части утечек это тоже распространяется: в случае вступления в силу закона если у компании произойдет утечка и она будет обязана выплатить штраф, то такая страховка этот штраф не компенсирует», – говорит Лагутин. Впрочем, несмотря на это, популярность услуги страхования компаний от утечек будет расти в связи с выросшим количеством утечек персональных данных, резюмировал Лагутин.