Артем Геннадьевич, вы призвали граждан срочно сменить пароли и сделать их разными в различных сервисах. Ситуация действительно настолько опасна?
Артем Шейкин: Из-за того, что все еще не принят закон об оборотных штрафах для компаний и, как следствие, легкомысленного отношения компаний к защите данных, свыше 80 процентов данных россиян оказались скомпрометированы. Понятно, конечно, что одной сменой паролей тут не обойтись.
Недавно вы выступили с инициативой создания рынка страхования от киберугроз. Но ведь некоторые отечественные страховые компании уже предлагают такие страховые продукты. Чем ваша инициатива отличается от действующей системы?
Артем Шейкин: Сейчас в России действительно существует страхование от киберугроз, но предмет страхования в нем - случаи нарушения IT-инфраструктуры в результате кибератак. Компенсируются только расходы на восстановление инфраструктуры, но не покрываются реальные потери бизнеса. Это делает такой продукт мало востребованным, оставляя вопрос страхования реального бизнеса от киберугроз открытым. С января по май этого года зафиксировано на 33% больше случаев публикаций значимых баз данных российских компаний (по данным Kaspersky Digital Footprint Intelligence, - прим. "РГ"). В прошлом году на российские компании хакеры совершили более 900 тысяч атак - это вдвое больше, чем годом ранее. Что касается числа утечек персональных данных, то в 2022-м количество скомпрометированных записей составило более 667 миллионов единиц (по данным InfoWatch, - прим. "РГ").
В такой ситуации государство не может ждать, когда рынок страхования, как принято говорить у либералов, "все сам отрегулирует". Поэтому я как законодатель выступил с инициативой создания системы страхования и защиты от инцидентов в киберпространстве. В первую очередь, она направлена как раз на борьбу с утечками персональной информации.
И как такой механизм должен работать?
Артем Шейкин: Журналисты уже сравнили его с ОСАГО. Подобно тому, как оно обеспечивает финансовую защиту автомобилистов в случае аварии, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных. Обязательное киберстрахование рисков и угроз, или сокращенно ОКРУГ, поможет смягчить потенциальные финансовые потери и снизить риски для обычных граждан и компаний.
Такая система защитит интересы граждан за счет стимулирования компаний принимать эффективные меры по защите персональных данных. Только в этом случае компании смогут избежать высоких тарифов страхования. Для этого необходимо создать соответствующие законодательные нормы, которые обязали бы компании нести финансовую ответственность перед физлицами за утрату персональных данных, а также разработать эффективные решения по их защите. Система обязательного страхования, для компаний которые работают с персональными данными, станет дополнительной гарантией для граждан, поскольку в случае утечек, им будет выплачена соответствующая компенсация в том числе за счет страховых выплат.
Введение ОКРУГ позволит создать финансовую измеримость уровня защиты и риска через стоимость страховки и оценку потенциального ущерба. В результате компании смогут лучше оценивать свои риски, принимать обоснованные решения и разрабатывать эффективные стратегии защиты, учитывая экономические факторы.
Если выгоды для крупного бизнеса понятны, то малый и средний, которого немало в IT-сфере, может воспринять такие изменения как новое обременение.
Артем Шейкин: Если говорить про МСП, то для них утечки персональных данных могут быть особенно разрушительными, поскольку у небольших компаний ограничены финансовые ресурсы. Страхование от киберугроз позволит им защитить свои финансовые интересы и минимизировать риски, связанные с последствиями кибератак. А компенсация поможет обеспечить обязательные уведомления клиентов и предоставить покрытие расходов на восстановление безопасности системы управления данных.
Есть ли прикидки по стоимости страховки?
Артем Шейкин: Главный фактор, который влияет на стоимость страховки - качество защищенности организации. Оно должно быть проверено как силами лидеров российской индустрии кибербезопасности, так и силами независимых исследователей. Такая проверка должна проводится на постоянной основе. Также при расчете страховки стоит учитывать общий объем персональных данных, с которыми работает компания, поскольку от этого фактора зависит сумма компенсационных выплат. Важно соблюсти баланс между стоимости защиты, стоимости страхования, стоимости атаки и потенциального ущерба.
Когда система может заработать?
Артем Шейкин: Сдерживающий фактор - это создание необходимой нормативной базы, поскольку сейчас закон не разделяет ответственность за утечки персональных данных, содержащие, к примеру, ФИО и номера телефона от утечки биометрических данных. Принятие закона об оборотных штрафах установит ответственность за различные виды утечек данных, будет стимулировать формирование системы страхования и развитие систем безопасности при работе с данными в организациях.
Кроме того, предстоит создать институт оценки киберзащищенности с методикой проведения оценки, который позволит привлекать широкую экспертизу исследователей для оценки защищенности, но не отдельных уязвимостей, а возможности реализации критических потерь путем кибератак. Пока что объем лимитов по киберстрахованию на одну компанию сильно ограничен, это несколько сотен миллионов рублей, и его необходимо увеличивать до десятков миллиардов. Иначе продукт будет не интересен - в зависимости от реальных потерь, включая объем похищенных данных, сумма компенсаций может неоднократно превышать текущий лимит.
Какой международный опыт есть в этой области, будете как-то учитывать?
Артем Шейкин: Например, США имеют развитый рынок добровольного страхования киберрисков и законодательство, которое требует от компаний уведомлять о нарушении безопасности и предоставлять защиту для своих клиентов. Многие крупные компании и организации в США приобретают такую страховку, чтобы защитить себя от возможных последствий кибератак. В других странах, таких как Великобритания, Япония и Австралия, также наблюдается рост рынка страхования и разработка законодательства.
При этом в сегодняшних условиях наше государство не может ждать, когда у сам по себе появится рынок киберстрахования. В других странах госрегулирование в этой области все еще находится на начальной стадии развития, этот вопрос там активно дискутируется и обсуждается. Принятие необходимых нормативно-правовых актов в этой области позволит более четко определить правила игры для страховых компаний, включая стандарты покрытия ущерба, обязательные полисы и требования к выплатам в случае возникновения киберугроз.