В законе о страховании киберрисков должны быть четко прописаны не только страховая сумма, лимиты, перечень рисков, но и перечень исключений, заявил директор департамента страхового рынка ЦБ Илья Смирнов на обсуждении нормативно-правовых аспектов страхования киберрисков в Совете Федерации.
"К сожалению, в ряде случаев на практике мы видим, что из-за неопределенности в законе граждане или юрлица не знают, от чего они защищены", - отметил Смирнов. По его словам, все требования должны быть четко прописаны, не стоит отдавать это на откуп страховщикам.
Тема вмененного страхования болезненная, полагает Смирнов, в ней есть несколько подводных камней. Потребовать застраховать можно только ответственность, имущество - сильно сложнее. При обсуждении страхования ответственности за утечку персональных данных необходимо учитывать - сложно установить, что к ущербу привела конкретная утечка. "Предположим, что была утечка у компании А, а потом по тому же человеку - у компании Б. Как доказать, что потери были у компании Б, и человек пострадал из-за этого?" - привел пример Смирнов.
Также важно определить, кто будет контролировать наличие страховки - федеральные органы исполнительной власти, Роскомнадзор, МВД, Минцифры. И насколько регулярным будет такой контроль. "Чтобы не получилось, что произошел случай, а потом выяснилось, что компания не застрахована, потому что контроль раз в три года. То есть закон есть, проблема вроде бы решена, но граждане пострадали", - отметил Смирнов.
Страховое сообщество поддерживает предложение о введении страхования киберрисков и считает обеспечение гарантии возмещения ущерба за утечку персональных данных для граждан социально значимым вопросом, заявил президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев.
Он выделил несколько ключевых задач, которые необходимо решить для введения такого страхования. В частности, необходимо определить, чья ответственность страхуется - оператора персональных данных или организации, которая обрабатывает эти данные. Должна быть классификация по категориям хранимых данным, поскольку ущерб от их утечки может быть принципиально разным (медицинские данные, финансовые и др.). Также нужно решить, должен ли покрываться выплатой фактически причиненный ущерб или будут сформированы таблицы выплат по каждому случаю.
"Все указанные выше вопросы должны найти свое решение и отражение в окончательном тексте закона, согласно которому будет осуществляться страхование киберрисков. Страховое сообщество готово принимать самое активное и деятельное участие в их разрешении, чтобы итоговый продукт максимально эффективно защищал интересы граждан", - сказал Евгений Уфимцев.
В ВСС действует рабочая группа по страхованию киберрисков, сейчас в нее входят 15 компаний и только шесть имеют опыт страхования киберрисков, то есть заключенные договоры, рассказал руководитель этой группы, директор по рискам СберСтрахования Владимир Новиков. При этом с методологической точки зрения Россия, по его словам, превосходит опыт других стран. Сейчас возможно застраховать и активы - цифровые и физические, и расходы на восстановление репутации, ущерб которой был нанесен в результате киберинцидента, и ответственность перед третьими лицами.
Парадокс в том, указал Новиков, что на фоне увеличения атак и утечек спрос на добровольное страхование киберрисков не растет. Работающие с этим продуктом шесть компаний могут удовлетворить спрос в 5 раз больший, чем сейчас есть. "Есть те, кто работает с крупным бизнесом, мы больше ориентированы на малый и средний. Более 20 тыс. малых предприятий вполне добровольно потратили деньги на то, чтобы защитить себя. При этом страховых случаев по ответственности практически нет. Всего на весь рынок порядка 20 страховых случаев зарегистрировано. Большинство связано с собственными потерями - либо перерывом в производстве, либо шифрованием данных", - рассказал Новиков. По его мнению, необходимо параллельно повышать финансовую ответственность и требования за утечку персональных данных и развивать страхование, которое даст возможность выполнить эти требования без банкротства компании.
В ВСК отмечают, что киберстрахование среди отечественных компаний пока востребовано преимущественно у представителей крупного бизнеса. В полис киберстрахования включены риски утечки конфиденциальных данных, нарушение законодательства о защите персональных данных, потеря дохода из-за кибератак и репутационный ущерб.
Наиболее востребованы страховые продукты, которые покрывают расходы на восстановление данных и компенсацию финансовых потерь. Также, по оценкам ВСК, российские компании включают в программы киберстрахования и риски хищения денежных средств, BI (бизнес-аналитики) и ответственность операторов за утечку персональных данных.
Продуктовую линейку страховой защиты от киберрисков, как полагают в ВСК, необходимо выстраивать вместе с производителями средств информационной безопасности. Это позволит сформировать комплексные решения.
В то же время киберстрахование требует регулирования. Компании не должны перекладывать риски на страховщика, забывая о собственной информационной безопасности.
"В ВСК для скоринга цифровых рисков привлекаются андеррайтеры и специалисты по информационной безопасности. Это позволяет нам анализировать "зрелость" клиента в вопросах киберугроз с разных сторон. Нам важно знать, каких производителей средств защиты компания использует, сколько у нее специалистов в штате, как она контролирует внутренние процедуры в сфере информационной безопасности. Важно регулярно проводить моделирование угроз - ставить себя на место злоумышленника и находить бреши в системе защиты данных", - отметил вице-президент, руководитель департамента информационной безопасности Страхового дома ВСК Виталий Бут. По его мнению, с развитием рынка киберстрахования страховщики начнут привлекать специализированные компании для оценки риска и урегулирования убытков.
Генеральный директор Национальной страховой информационной системы (НСИС) Николай Галушин подчеркнул, что должна быть прямая связь между утечкой персональных данных и ущербом. Страхование может работать, только если физлицу нанесен ущерб. По его словам, о любом человеке в интернете есть вся информация, но наличие данных и ущерб от этого - разные вещи.
"НСИС начинает собирать достаточно чувствительные данные граждан уже с 1 апреля. Среди собираемых нами данных будут и говорящие о финансовом состоянии граждан - в том числе, о страховании автомобилей и страховании жилья. Сейчас у нас нет договора страхования киберрисков и наша защита от утечек - это значительные инвестиции в информационную безопасность наших систем", - отметил Галушин. По его мнению, в законе должна быть установлена связь между достаточностью мер для сохранения данных и последствиями утечки, если она все же произошла.
Эльвира Набиуллина, глава Банка России:
- Мы должны решить проблему утечек данных из финансового сектора, потому что эти утечки - это как раз и есть то топливо для черного бизнеса, мошенников социальной инженерии. Одно дело - людям звонят холодно и безадресно. Другое дело - когда поставленным голосом называют имя, отчество, сразу создается доверие.