Рыночный расклад , Санкт-Петербург и область ,  
0 

Убытки от кибератак: как и кто возместит потери

Фото: ru.freepik.com
Фото: ru.freepik.com
Рынок киберстрахования в России находится на стадии становления, сталкиваясь с множеством препятствий на пути к полноценному развитию

В условиях стремительно развивающейся цифровизации вопросы защиты от киберугроз становятся все более актуальными для бизнеса. В то же время страхование киберрисков остается относительно новым направлением, которое сталкивается с рядом препятствий на пути своего развития. Отсутствие четких механизмов фиксации киберинцидентов и неопределенность в оценке потенциальных убытков делают этот сегмент сложным для урегулирования и страхования. Существующие барьеры и перспективы развития страхования киберрисков обсудили представители бизнес-сообщества, специалисты по информационной безопасности, а также эксперты и страховщики в рамках круглого стола, организованного РБК Петербург при поддержке «Руссофт» и Совета по страхованию (СОПОС).

Причина и повод

Актуальность страхования киберрисков обусловлена несколькими ключевыми факторами. Во-первых, стремительная цифровизация бизнеса делает компании уязвимыми перед все более сложными кибератаками. Во-вторых, эскалация кибервойн между государствами и группами хакеров повышает вероятность целенаправленных атак на корпоративные сети. Наконец, финансовый ущерб от таких инцидентов продолжает расти, включая затраты на восстановление данных, простой бизнеса на время атаки и устранения последствий. В этих условиях страхование киберрисков становится критически важным инструментом защиты компаний от потенциальных катастрофических потерь — по крайне мере в теории.

«Интенсивность атак нестабильна. Мы не наблюдаем постоянного потока. Пиковые нагрузки приходятся на время проведения крупных мероприятий, таких как ПМЭФ или саммит БРИКС — количество атак в такие периоды может достигать 500 тыс. в сутки, — говорит руководитель отдела информационной безопасности Пулково Сергей Савченко. — С подобным уровнем DDoS-активности сталкиваемся около 1,5 лет. В том числе и потому, что занесены в списки приоритетных целей в украинских пабликах. Мы модернизировали систему безопасности и постоянно предпринимаем новые меры для защиты. Надеюсь, пассажиры не замечают последствия атак».

Сергей Савченко, Пулково
Сергей Савченко, Пулково (Фото: Валентин Беликов/РБК Петербург)

При этом эксперт заметил, что масштаб атак постоянно растет: увеличивается как их интенсивность, так и количество участвующих сторон. «По геолокации IP-адресов атакующих в последней волне мы зафиксировали участие более чем 40 стран. Мы передали в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) более 800 IP-адресов для блокировки. Несмотря на расширение масштаба атак, мы продолжаем принимать меры противодействия», — добавляет Савченко.

В такой ситуации бизнес все более активно присматривается к страхованию киберрисков — но пока это преимущественно только интерес. «Важно помнить, что полностью защититься невозможно, поэтому наша цель — минимизировать риски. Мы еще не до конца понимаем, как правильно применять инструменты страхования киберрисков, так как на многих сайтах предлагаются стандартные виды страхования, такие как жизнь, квартира, машина, а уже затем упоминается страхование от киберугроз — это кажется странным, ведь масштаб потерь от последних значительно больше», — отмечает директор по информационной безопасности сервиса «Грузовичкоф» Дмитрий Ляхов. Он уверен, что для распространения практики минимизации рисков с помощью страховки предприятиям нужна качественная форма договора, которая будет понятна всем участникам процесса, чтобы четко определить, какие конкретно риски покрывает страховой полис и каким образом будут урегулироваться инциденты, связанные с этими рисками.

Дмитрий Ляхов, «Грузовичкоф»
Дмитрий Ляхов, «Грузовичкоф» (Фото: Валентин Беликов/РБК Петербург)

Директор по рискам «СберСтрахования», руководитель рабочей группы BCC по развитию киберстрахования Владимир Новиков подтверждает, что осознанность потребности в страховке приходит с пониманием того, что ни одно ИТ-решение не может обеспечить 100% защиту. В этом контексте страхование становится важным инструментом в многоуровневой системе управления рисками, связанной с владением и использованием информационных систем. «Основополагающим элементом этой системы являются технические средства защиты, на втором месте — административные меры, направленные на работу с персоналом. Страховка вступает в игру лишь после того, как эти базовые аспекты решены. Простая аналогия: никто не станет страховать квартиру, если в ней нет дверей и замков. Сначала установите дверь, затем врезайте замок, и только потом заключайте договор страхования. Если же пытаться застраховаться при отсутствии этих базовых мер безопасности, ситуация будет выглядеть абсурдной», — объясняет он, напомнив, что страховка не решит всех проблем с защитой.

Владимир Новиков, «СберСтрахование»
Владимир Новиков, «СберСтрахование» (Фото: Валентин Беликов/РБК Петербург)

«Практически каждый второй клиент, обращающийся за страхованием, сталкивается не столько с DDoS-атаками, сколько с последствиями обычных программ-шифровальщиков и последующего кибервымогательства. Поэтому в оценке рисков мы используем широкий набор подходов. Мы самостоятельно анализируем риски на основании заполненного клиентом опросного листа. Если речь идет о значительных рисках или крупных суммах страховых обязательств, привлекаем внешних специалистов для независимой оценки уровня кибербезопасности клиента. Этот процесс может занять много времени и требует тщательного подхода. Также мы можем рекомендовать клиенту провести аудит информационной безопасности, после чего принять окончательное решение относительно риска», — рассказывает о том, как работает страхование киберрисков на практике, руководитель направления страхования директоров и информационных рисков «Ингосстрах» Дмитрий Болтенков.

Дмитрий Болтенков, «Ингосстрах»
Дмитрий Болтенков, «Ингосстрах» (Фото: пресс-служба)

По мнению Владимира Новикова, страхование киберрисков может быть особенно актуально для малого бизнеса, который вынужден искать альтернативные пути защиты, так как серьезные ИБ-решения ему не всегда доступны. Индивидуальные страховые программы разрабатываются и для крупных корпораций. Они зависят от степени проработанности различных аспектов безопасности, в том числе — потенциальной привлекательности объекта для злоумышленников. «Для таких компаний страхование представляет собой способ покрыть остаточные риски, когда даже самые современные защитные механизмы могут оказаться уязвимыми. В таком случае страхование выполняет роль своеобразного кошелька, помогающего компенсировать убытки, если другие методы защиты оказались неэффективными», — говорит Владимир Новиков.

Ущерб и возмещение

Именно определение размера ущерба и его соотношение со стоимостью страховки пока являются темами с высокой долей неопределенности при критической чувствительности для заказчиков.
«Основной ущерб, который мы наблюдаем сегодня, связан с простоями в производстве. В связи с этим многие компании, особенно среди малого и среднего бизнеса, столкнулись с проблемами. Они застраховали риски перерыва производства, однако пренебрегли защитой от кибератак. В результате, когда они обратились к нам с заявлением об убытке, мы оказались бессильны помочь, так как страхование от киберугроз не входило в их полис. Это демонстрирует две ключевые проблемы. Во-первых, некоторые компании вообще не страхуют киберриски, полагая, что такие угрозы маловероятны для них. Во-вторых, даже те, кто все-таки оформил такую страховку, часто выбирают минимальные лимиты покрытия, которые не учитывают возможные финансовые последствия», — рассказал Дамир Зелятдинов, руководитель направления урегулирования убытков корпоративных клиентов «СберСтрахования».

По его словам, многие компании покрывают лишь затраты на восстановление систем после атаки, игнорируя потенциальные финансовые потери от остановки работы, тогда как для крупных предприятий убытки всего за несколько дней могут достигать значительных сумм. «На мой взгляд, необходимо активнее информировать бизнес-сообщество о важности страхования киберрисков и покрытия финансовых потерь при простоях. Возможно, стоит создать рабочую группу, которая будет консультировать страхователей по вопросам выбора подходящего страхового покрытия, подробно разъясняя, какие риски и виды ущерба включены в договор, особенно в части перерыва производства», — добавил Зелятдинов.

Дмитрий Прохоров, начальник отдела страхования директоров и информационных рисков «Ингосстрах», считает, что это не самая серьезная проблема: «Договор страхования сегодня обладает широким покрытием. Я уверен, что любая компания поймет, от каких рисков она защищена и какие убытки будут возмещены. Этот договор не был придуман в России — его разработали на Западе, и наш абсолютно идентичен по формулировкам и объему покрытия. Это весьма обширный страховой продукт, который покрывает не только риски кибератак и внедрения вредоносного ПО, но также защищает компанию от непреднамеренных ошибок сотрудников и непредвиденных технических сбоев в работе информационных систем». По словам Дмитрия Прохорова, спрос на этот вид страхования пока невелик, поскольку это относительно новое предложение на рынке. Вероятно, многие просто еще не слышали о нем.

Антон Казиев, вице-президент — руководитель дирекции корпоративных продаж ВСК, напротив, считает, что основная сложность заключается как раз в том, что покрытие полиса очень обширное. Этот полис сложнее, чем стандартный договор страхования жилья или имущества. Поэтому каждое крупное предприятие должно тщательно проработать условия договора вместе со своими специалистами, возможно, привлекать внешних консультантов, чтобы точно определить необходимый объем страхового покрытия.

Антон Казиев, ВСК
Антон Казиев, ВСК (Фото: Валентин Беликов/РБК Петербург)

В расчете на штрафы

Лидия Виткова, начальник Аналитического центра кибербезопасности «Газинформсервиса», считает, что стимулом распространения такого страхования может стать принятие закона об оборотных штрафах за утечки персональных данных: в этом случае компаниям станет выгоднее приобретать страховые покрытия. Правда, и тут есть нюансы: «Внедрение закона в практическую плоскость пока откладывается. В Европе, например, некоторые проекты проходят через трехлетний переходный период после их принятия. Сколько времени продлится отсрочка нашего закона об оборотных штрафах, пока неизвестно, но перспективы в любом случае выглядят весьма интересными. Штрафы будут таким, что дешевле будет провести аудит, внедрить системы защиты, оценить риски, приобрести страховой полис и предусмотреть определенную сумму франшизы».

Лидия Виткова, «Газинформсервис»
Лидия Виткова, «Газинформсервис» (Фото: Валентин Беликов/РБК Петербург)

По словам Антона Казиева, в случае с утечками персональных данных не все так просто и страхование может не сработать. Он напомнил, что основной движущей силой данного вида страхования на Западе является GDPR [General Data Protection Regulation — общий регламент защиты персональных данных]. Там разработаны четкие механизмы, которые предусматривают обязанность компании сообщать регулятору об инциденте, выплачивать штрафы, уведомлять пострадавших и компенсировать убытки. Все эти риски и покрываются страховым пакетом.

В российской действительности ситуация другая: страхование штрафов противоречит Гражданскому кодексу РФ, поэтому их покрытие останется невозможным без изменений в законодательстве. Ответственность за утечку персональных данных сейчас может наступить лишь по решению суда.
«Российские же страховщики могут покрыть расходы на модернизацию информационных систем, расследование инцидента, возмещение убытков, восстановление программного обеспечения, утраченного оборудования, возврат финансовых активов в электронной форме — например, украденных денег, акций и прочего. Но самый значительный риск — это убытки от остановки производства. Это особенно пугает страховщиков, поскольку простой крупного предприятия всего на пару дней может обойтись в миллиарды рублей, а не просто сотни миллионов», — добавляет Казиев.

Базовые принципы

При этом есть и другие, весьма фундаментальные проблемы на самом рынке страхования киберрисков, уверены эксперты. Например, генеральный директор ООО «Совет по страхованию» (СОПОС) Юрий Волков указывает на терминологические несоответствия между Правилами различных страховых компаний и стандартами информационной безопасности, ГОСТами. «Это приводит к тому, что важные термины, включая «страховой случай» и «страховое событие», трактуются неоднозначно. Для улучшения ситуации необходимо гармонизировать документы, чтобы компании поверили в качество страхового продукта и имели меньше сомнений относительно того, смогут ли они получить выплату при наступлении страхового случая. Также важно прояснить вопросы фиксации киберинцидентов и последующих действий после их возникновения. Вряд ли кто-то даст страховщику удаленный доступ к своей системе для расследования инцидента. Необходимы другие варианты», — отметил Волков.

Юрий Волков, СОПОС
Юрий Волков, СОПОС (Фото: Валентин Беликов/РБК Петербург)

При этом, чтобы двигаться дальше, необходимо привлекать независимых экспертов для совместной работы над оценкой степени защищенности и определением наличия страховых событий. Если страхование становится одним из инструментов управления рисками, то для его успешного внедрения требуется тесное сотрудничество всех заинтересованных сторон.

«Безусловно, сотрудничество между производителями средств защиты информации и страховыми компаниями представляет значительный интерес для всей отрасли информационной безопасности. Разработка комплексных решений, включающих обязательное страхование киберрисков, могло бы стать важным шагом вперед для компаний, стремящихся минимизировать возможные угрозы. Мы как разработчики защитных технологий считаем эту инициативу крайне перспективной и уверены, что она найдет свою нишу на рынке», — отмечает Федор Дбар, коммерческий директор «Код Безопасности».

Федор Дбар, «Код Безопасности»
Федор Дбар, «Код Безопасности» (Фото: РБК Петербург)

Однако, отмечает эксперт, такие вопросы требуют комплексного подхода. Решение о введении обязательного страхования киберрисков должно приниматься на уровне регуляторов, устанавливающих стандарты информационной безопасности — аналогично тому, как сегодня компании обязаны внедрять определенные средства защиты данных, проходить аттестацию своих систем и иметь соответствующие документы, регулирующие их информационные процессы. «В будущем могут появиться новые требования, включая проведение баг-баунти-программ. Среди таких нововведений вполне логично было бы включить обязательное страхование от киберугроз. На мой взгляд, это был бы важный и своевременный шаг, который внесет весомый вклад в повышение уровня защищенности организаций», — резюмировал Дбар.

Учения и тренировки

Лидия Виткова указывает, что, возможно, стоит создать совместные рабочие группы и организовать киберучения, демонстрирующие атаки и реакцию на них страховых компаний. Можно привлечь белых хакеров, чтобы показать, как работает страхование в реальной жизни. «Такой подход позволит бизнесу лучше понять, как все происходит на практике, ведь страхование киберрисков — это следующий и нужный шаг в модели зрелости кибербезопасности в России», — подчеркивает эксперт.
Одним из инструментов, который может оказаться полезным при развитии этого вида страхования, может стать выделение третьей стороны, независимой и доверенной. Она могла бы выступать в роли эксперта, регулятора или аудитора и возможно, могла бы оказывать содействие в проведении экспертизы в случае наступления страхового события — киберинцидента, в сборе доказательств проникновения и подтверждения ущерба от инцидента, считает эксперт по информационной безопасности Аллаяр Атаев.

«В некоторых компаниях реализуется риск-ориентированный подход в бизнес-процессах и кибербезопасности, в основе которого лежит моделирование недопустимых событий в сфере инфобезопасности, их приоритизация по значимости взаимосвязи с бизнес-системами и сервисами. На практике компании вырабатывают совместно со страховщиком сбалансированные условия страхования как дополнительный способ передачи ИБ-рисков и во взаимосвязи с применением других средствами инфобезопасности. Но известно, что зачастую страховые компании пытаются переложить ответственность на клиента, да и процесс сбора доказательств в случае наступления киберинцидента — дело непростое: клиенты хотят, чтобы возмещение ущерба лежало на страховщиках. Таким образом могут возникать спорные моменты, которые решить без независимой экспертизы бывает очень сложно», — рассказывает о сложностях взаимодействия со страховщиками без «третьей стороны» Аллаяр Атаев.

Аллаяр Атаев, эксперт по информационной безопасности
Аллаяр Атаев, эксперт по информационной безопасности (Фото: Валентин Беликов/РБК Петербург)

По его словам, в таких случаях необходимо одновременно оперативно и скрупулезно принимать меры по сбору следовой картины киберинцидента (логов, скриншотов и т.д.), а также всех юридически значимых сопроводительных документов (журналов, протоколов, соглашений), вместе тем обеспечивая мероприятия по восстановлению работоспособности ИТ-систем.

Данияр Исхаков, заместитель технического директора Innostage, обращает внимание еще на одну сложность. «Конечно, аккредитация и создание сообщества компаний, занимающихся аудитом, необходимы для тех организаций, которые планируют страховать свои риски. Ведь понятно, что спрос порождает предложение, а получение справки о том, что все в порядке, без каких-либо реальных действий со стороны компании, может стать проблемой. Такой запрос появится уже в ближайшее время. Второе важное направление — разработка методики аудита. Что именно следует проверять? На данный момент такой методики нет».

Данияр Исхаков, Innostage
Данияр Исхаков, Innostage (Фото: Валентин Беликов/РБК Петербург)

Эксперт добавляет, что на основе этой методики компаниям, стремящимся повысить свою привлекательность для страховщиков, должна быть предоставлена возможность самооценки. Например, должен существовать калькулятор расчета стоимости страховки наподобие ипотечного калькулятора. «Компания должна иметь возможность ввести информацию о своих средствах защиты, сотрудниках, процессах, сертификатах и прочих аспектах, чтобы увидеть, какие изменения произойдут в выплатах и стоимости страхового полиса», — Данияр Исхаков.

Участники дискуссии сошлись во мнении, что внедрение страхования киберрисков является важным шагом в развитии информационной безопасности в России. Компании, приобретающие страховку, будут проходить аудит информационной безопасности, который поможет им лучше понимать свои уязвимости и принимать меры для их устранения. Безусловно, для крупных компаний процесс получения страхового полиса может занять длительное время, однако это компенсируется возможностью покрытия убытков и рисков остановки производства. Малый бизнес же нуждается в упрощенной процедуре, поскольку затраты на обеспечение безопасности могут оказаться слишком высокими при небольшом обороте. В долгосрочной перспективе повышение уровня зрелости в области кибербезопасности положительно скажется на экономике страны, уменьшая последствия от кибератак. Однако для оценки эффективности таких мер необходимо разработать критерии и собрать соответствующую статистику. Также важно создать систему аккредитации и стандартизировать методику аудита для страховых компаний, чтобы избежать формального подхода к получению страховки без реальных улучшений в безопасности.

Компетенция Страхование киберрисков: между необходимостью и неопределенностью
Содержание
Закрыть