Реальная страховка от "виртуальных" рисков

Услугу по страхованию киберрисков еще год назад украинские страховые компании и независимые брокеры воспринимали как что-то экзотическое, а реальных примеров заинтересованности среди клиентов, скорее всего, вообще не было. Но 2017 г., запомнившийся нам серией масштабных кибератак, не только реанимировал информационную безопасность в Украине, но и повысил интерес к страхованию нанесенного хакерскими атаками ущерба, связанного с утерей как первичной документации и финансовых документов компаний, так и банковских сведений о компаниях и физических лицах.

Пока даже с учетом растущего интереса к киберстрахованию страховщики довольно часто подменяют цель и возможности такой страховки. Нередко клиенты страховой компании, часто не без помощи консультантов страховой, считают, что IT-страховка защищает от угроз информационной безопасности или от потери данных. Увы, нет. Сохранность ценной для человека или компании информации - это либо их собственная забота, либо головная боль тех, кому они эту информацию доверили. И риски того, что эти данные будут утеряны, увеличиваются с каждым годом.

Поэтому стоит здраво оценивать последствия вероятной потери данных. Можно потерять репутацию на рынке из-за разглашения коммерческой, банковской или адвокатской тайны. Можно постоянно платить взломщикам, которые будут восстанавливать ваш ресурс на время, а потом опять требовать деньги. Например, так делала уже известная девушка-хакер из Черкасс, которая трижды получала "выкуп" от одного из крупнейших международных сервисов онлайн-знакомств, чтобы восстановить его работоспособность. Наконец, можно потерять часть электронных документов или ключей, а вместе с ними возможность вести операционную деятельность компании.

Сегодня спрос на страхование киберрисков создают не потенциальные жертвы хакерских атак, а сами страховые компании. Часто фирмы, даже осознавая необходимость и пользу такого сервиса, пока не уверены, что именно хотят страховать, и действительно ли потом хотят получить то самое возмещение. В отличие от автострахования, где объектом является автомобиль и где ущерб, который связан с ним, можно просчитать заранее в зависимости от его модели, года выпуска и марки, объектом киберстрахования, по сути, является сам бизнес. А после утечки информации или взлома информационной системы не каждая компания пожелает разглашать даже сам факт произошедшего. Причин несколько. С одной стороны, бывают случаи, когда реализованная атака принесет миллионный ущерб, а разглашение факта взлома - разрушит миллиардный бизнес. С другой - для многих компаний, например коммерческих банков или госучреждений, потеря данных клиентов - это нарушение закона.

Следующим вопросом, который задаст себе потенциальный клиент страховой, будет оценка потерь, как прямых, так и косвенных. А для того чтобы застраховать себя от этих потерь качественно, нужно эту оценку проводить не постфактум, а перед заключением договора о страховании. Особенно это сложно для представителей бизнес-подразделений и владельцев предприятий, которые долгие годы воспринимали информационную безопасность как расходную и не всегда нужную составляющую. Теперь же им приходится признать уже не только качественную, но и количественную эффективность и важность информационной безопасности в своей компании.

Наиболее понятными с точки зрения подсчета убытков и затрат являются, конечно, штрафы, которыми грозят международные регуляторы в случае потери персональных данных клиентов согласно требованиям международных и европейских стандартов наподобие PCI DSS (Payment Card Industry Data Security Standard) или набирающего популярность GDPR (General Data Protection Regulation). Это коснется, в первую очередь, крупных финансовых организаций, ритейлеров, сервисных компаний. Через призму киберстрахования большие цифры штрафов за утечку информации выглядят для бизнеса уже не проблемой, а расходами, как в старом еврейском анекдоте. Однако и в этом виде страхования не все так просто.

Споры и дискуссии по поводу того, что покрывается страховкой в таком случае, а что нет, ведутся уже не первый год. В американской и европейской практике активно обсуждаются наиболее резонансные прецеденты, когда суды при урегулировании убытков, связанных с такими утечками и штрафами, становились на сторону страховой компании, тем самым вызывая недовольство клиентов, которые рассчитывали на полное покрытие своих убытков. Говорить о таких разбирательствах в украинском правовом поле еще рано, а учитывая особенности ведения бизнеса в нашей стране, несколько первых подобных случаев могут привести к полному недоверию бизнеса к киберстрахованию и, в результате, к бесперспективности такого вида услуг на нашем рынке.

Но все же страхование киберрисков для бизнеса становится все более понятной и осязаемой услугой. Появились первые запросы брокерам и страховым компаниям со стороны клиентов, вопросы киберстрахования обсуждаются на крупных бизнес-форумах. А это уже большой шаг вперед, но, к сожалению, зачастую вовлеченность в проблемы кибербезопасности так и остается на уровне сумм страхового полиса, франшизы и страхового покрытия. Мало кто проводит полноценные расследования произошедших инцидентов. Еще меньше - тратят после инцидента деньги на построение процессов безопасности, дополнительные аудиты и проверки, внедряют новые системы безопасности. И все это до следующего раза. А он, как правило, наступает довольно быстро. Потому что компания - не автомобиль, в ней можно оставить много "запасных" выходов и входов, что и делают грамотные хакеры. Чтобы потом снова и снова тянуть деньги и данные из таких благодарных подопытных.

Более 90% всего страхового бизнеса в сфере киберстрахования сегодня сосредоточено в США. Причин тому несколько, одной из основных, конечно, является зрелость законодательной базы в области информационной безопасности и расследования инцидентов, связанных с ней. Именно поэтому опыт в сфере также сосредоточен у глобальных игроков, которые уже продумали страховые продукты, набили первые шишки, а некоторые уже даже сформировали собственные группы риск-инженеров как аналоги аварийных комиссаров в моторном страховании.

В Украине, как, собственно, и во всей Восточной Европе, киберстрахование для страховщиков и брокеров - сфера новая и непонятная. Поэтому основная часть компаний, которые пытаются начать деятельность в этом направлении, не разрабатывают универсальные продукты, а работают "от клиента", благо, таких клиентов пока немного. Сложность такого подхода не только в оценке рисков и формировании тарифа, но и в перестраховке таких рисков у зарубежных партнеров. Последние, уже имея определенный опыт, выдвигают свои требования, предполагающие оценку защищенности клиента.

Такую оценку можно пройти сегодня онлайн на сайте глобальных страховых групп, ответив на ряд простых вопросов. Вот только ответы эти ничего особо не значат. А учитывая незрелость нашего законодательства при расследовании инцидентов, возникает масса вопросов уже у страховщиков, которые, естественно, хотят подтверждения "ДТП". А пока процесс выглядит для них следующим образом. Они дают автовладельцу заполнить анкету, и тот пишет, что у него машина в идеальном состоянии. Через какое-то время он попадает в ДТП и заявляет ущерб. И тут возникает вопрос: а так ли хорошо было все до аварии? А может, и не было переднего бампера, зачем за него платить?

Такие соображения подталкивают страховщиков как минимум на данном этапе заниматься наиболее осязаемыми вопросами. То есть страховать на определенную сумму денег в случае определенного происшествия. Или страховать от конкретных штрафов, которые применяются какими-либо международными регуляторами (к примеру, от утечки данных владельцев банковских карт). Страховой тариф, соответственно, тоже применяется не оптимизированный, а тот, который учитывает и дорогую перестраховку, и локальные риски.

Хотя стоит отметить, что еще пару лет назад мировые лидеры страхового бизнеса вообще не рассматривали Украину как перспективный рынок для продуктов киберстрахования. А теперь, в том числе благодаря продвинутым местным брокерам, рынок начинает оживать. Еще очень рано говорить о формировании каких-то конкретных страховых продуктов именно для украинского рынка, но отдельные примеры применения европейских или глобальных страховых продуктов известных перестраховщиков уже есть.

Одной из причин пусть и медленного, но все же начала формирования украинского рынка киберстрахования называют все те же массовые атаки вирусов-шифровальщиков. В то же время уровень зрелости локального законодательства в сфере кибербезопасности по-прежнему оставляет желать лучшего. Именно это является одним из главных стопов для активной работы мировых лидеров этого вида страхования в Украине. Ведь при урегулировании страховых случаев нужно будет опираться на актуальную законодательную базу. Поэтому и риск мошенничества со стороны неблагонадежных клиентов сейчас довольно высок.

И все-таки в описанной выше цепочке взаимоотношений страховщика и страхователя есть один недостающий элемент. Это тот, кто собственно и занимается оценкой, ремонтом, выезжает на место происшествия и выполняет всю ту черновую работу, которую делает СТО или аварком в случае страхования автомобиля. Разве что полиция в таком случае привлекается не патрульная, а кибер.

Причем приглашать этих специалистов должен изначально сам клиент. Ведь чем правильнее будет выстроен у него комплекс информационной безопасности, тем дешевле будет страхование, а главное, тем меньше вероятность возникновения того самого инцидента, который приводит к иногда необратимым и очень болезненным последствиям. Рекламировать и рассказывать, что можно сделать в качестве превентивных мер, не нужно, необходимо помнить, что, когда вы едете к своему страховому агенту продлевать договор КАСКО, то вспоминаете все, что может снизить тариф: свою страховую историю, все дополнительные системы безопасности, установленные на вашем авто, и т.д. С киберстрахованием все идентично.

И главное, помните, киберстрахование - это не обеспечение безопасности вашего бизнеса, а дополнительный инструмент частичного возмещения ущерба в случае наступления инцидента.