17.07.2023 18:16
Власть

Сенатор Шейкин: С утечками персональных данных помогут справиться киберстраховки

Текст:  Дмитрий Гончарук
Отечественные компании до сих пор легкомысленно относятся к хранению персональных данных пользователей, но исправить ситуацию может закон об оборотных штрафах, заявил "Российской газете" заместитель председателя Совета по развитию цифровой экономики при Совете Федерации Артем Шейкин. Еще одна необходимая мера, по мнению сенатора, - обязательное киберстрахование рисков и угроз (сокращенно - ОКРУГ).
Читать на сайте RG.RU

Артем Геннадьевич, вы призвали граждан срочно сменить пароли и сделать их разными в различных сервисах. Ситуация действительно настолько опасна?

Артем Шейкин: Из-за того, что все еще не принят закон об оборотных штрафах для компаний и, как следствие, легкомысленного отношения компаний к защите данных, свыше 80 процентов данных россиян оказались скомпрометированы. Понятно, конечно, что одной сменой паролей тут не обойтись.

Недавно вы выступили с инициативой создания рынка страхования от киберугроз. Но ведь некоторые отечественные страховые компании уже предлагают такие страховые продукты. Чем ваша инициатива отличается от действующей системы?

Артем Шейкин: Сейчас в России действительно существует страхование от киберугроз, но предмет страхования в нем - случаи нарушения IT-инфраструктуры в результате кибератак. Компенсируются только расходы на восстановление инфраструктуры, но не покрываются реальные потери бизнеса. Это делает такой продукт мало востребованным, оставляя вопрос страхования реального бизнеса от киберугроз открытым. С января по май этого года зафиксировано на 33% больше случаев публикаций значимых баз данных российских компаний (по данным Kaspersky Digital Footprint Intelligence, - прим. "РГ"). В прошлом году на российские компании хакеры совершили более 900 тысяч атак - это вдвое больше, чем годом ранее. Что касается числа утечек персональных данных, то в 2022-м количество скомпрометированных записей составило более 667 миллионов единиц (по данным InfoWatch, - прим. "РГ").

"РГ" публикует закон о штрафах для чиновников и банкиров за передачу в иностранных мессенджерах персональных данных граждан

В такой ситуации государство не может ждать, когда рынок страхования, как принято говорить у либералов, "все сам отрегулирует". Поэтому я как законодатель выступил с инициативой создания системы страхования и защиты от инцидентов в киберпространстве. В первую очередь, она направлена как раз на борьбу с утечками персональной информации.

И как такой механизм должен работать?

Артем Шейкин: Журналисты уже сравнили его с ОСАГО. Подобно тому, как оно обеспечивает финансовую защиту автомобилистов в случае аварии, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных. Обязательное киберстрахование рисков и угроз, или сокращенно ОКРУГ, поможет смягчить потенциальные финансовые потери и снизить риски для обычных граждан и компаний.

Такая система защитит интересы граждан за счет стимулирования компаний принимать эффективные меры по защите персональных данных. Только в этом случае компании смогут избежать высоких тарифов страхования. Для этого необходимо создать соответствующие законодательные нормы, которые обязали бы компании нести финансовую ответственность перед физлицами за утрату персональных данных, а также разработать эффективные решения по их защите. Система обязательного страхования, для компаний которые работают с персональными данными, станет дополнительной гарантией для граждан, поскольку в случае утечек, им будет выплачена соответствующая компенсация в том числе за счет страховых выплат.

Введение ОКРУГ позволит создать финансовую измеримость уровня защиты и риска через стоимость страховки и оценку потенциального ущерба. В результате компании смогут лучше оценивать свои риски, принимать обоснованные решения и разрабатывать эффективные стратегии защиты, учитывая экономические факторы.

Если выгоды для крупного бизнеса понятны, то малый и средний, которого немало в IT-сфере, может воспринять такие изменения как новое обременение.

Артем Шейкин: Если говорить про МСП, то для них утечки персональных данных могут быть особенно разрушительными, поскольку у небольших компаний ограничены финансовые ресурсы. Страхование от киберугроз позволит им защитить свои финансовые интересы и минимизировать риски, связанные с последствиями кибератак. А компенсация поможет обеспечить обязательные уведомления клиентов и предоставить покрытие расходов на восстановление безопасности системы управления данных.

Кто виноват в утечках персональных данных россиян

Есть ли прикидки по стоимости страховки?

Артем Шейкин: Главный фактор, который влияет на стоимость страховки - качество защищенности организации. Оно должно быть проверено как силами лидеров российской индустрии кибербезопасности, так и силами независимых исследователей. Такая проверка должна проводится на постоянной основе. Также при расчете страховки стоит учитывать общий объем персональных данных, с которыми работает компания, поскольку от этого фактора зависит сумма компенсационных выплат. Важно соблюсти баланс между стоимости защиты, стоимости страхования, стоимости атаки и потенциального ущерба.

Когда система может заработать?

Артем Шейкин: Сдерживающий фактор - это создание необходимой нормативной базы, поскольку сейчас закон не разделяет ответственность за утечки персональных данных, содержащие, к примеру, ФИО и номера телефона от утечки биометрических данных. Принятие закона об оборотных штрафах установит ответственность за различные виды утечек данных, будет стимулировать формирование системы страхования и развитие систем безопасности при работе с данными в организациях.

Кроме того, предстоит создать институт оценки киберзащищенности с методикой проведения оценки, который позволит привлекать широкую экспертизу исследователей для оценки защищенности, но не отдельных уязвимостей, а возможности реализации критических потерь путем кибератак. Пока что объем лимитов по киберстрахованию на одну компанию сильно ограничен, это несколько сотен миллионов рублей, и его необходимо увеличивать до десятков миллиардов. Иначе продукт будет не интересен - в зависимости от реальных потерь, включая объем похищенных данных, сумма компенсаций может неоднократно превышать текущий лимит.

ЦБ РФ предупредил о новой мошеннической схеме с онлайн-курсами

Какой международный опыт есть в этой области, будете как-то учитывать?

Артем Шейкин: Например, США имеют развитый рынок добровольного страхования киберрисков и законодательство, которое требует от компаний уведомлять о нарушении безопасности и предоставлять защиту для своих клиентов. Многие крупные компании и организации в США приобретают такую страховку, чтобы защитить себя от возможных последствий кибератак. В других странах, таких как Великобритания, Япония и Австралия, также наблюдается рост рынка страхования и разработка законодательства.

При этом в сегодняшних условиях наше государство не может ждать, когда у сам по себе появится рынок киберстрахования. В других странах госрегулирование в этой области все еще находится на начальной стадии развития, этот вопрос там активно дискутируется и обсуждается. Принятие необходимых нормативно-правовых актов в этой области позволит более четко определить правила игры для страховых компаний, включая стандарты покрытия ущерба, обязательные полисы и требования к выплатам в случае возникновения киберугроз.

Совет Федерации Работа власти Связь