Реальне страхування від "віртуальних" ризиків

Послугу зі страхування кіберризиків ще рік тому українські страхові компанії та незалежні брокери сприймали як щось екзотичне, а реальних прикладів зацікавленості серед клієнтів, найшвидше, взагалі не було. Але 2017 р., що запам'ятався нам серією масштабних кібератак, не лише реанімував інформаційну безпеку в Україні, а й підвищив інтерес до страхування завданої хакерськими атаками шкоди, пов'язаної з утратою як первинної документації та фінансових документів компаній, так і банківських відомостей про компанії та фізичних осіб.

Поки що навіть із урахуванням зростаючого інтересу до кіберстрахування страховики досить часто підміняють мету та можливості такого страхування. Нерідко клієнти страхової компанії, часто не без допомоги консультантів страхової, вважають, що IT-страхування захищає від загроз інформаційної безпеки або від втрати даних. На жаль, ні. Збереження цінної для людини або компанії інформації - це або їхня власна турбота, або головний біль тих, кому вони цю інформацію довірили. І ризики того, що ці дані буде втрачено, збільшуються з кожним роком.

Тому слід реально оцінювати наслідки ймовірної втрати даних. Можна втратити репутацію на ринку через розголошення комерційної, банківської або адвокатської таємниці. Можна постійно платити зламникам, які будуть відновлювати ваш ресурс на якийсь час, а потім знову вимагати гроші. Наприклад, так робила вже відома дівчина-хакер із Черкас, яка тричі одержувала "викуп" від одного з найбільших міжнародних сервісів онлайн-знайомств, щоб відновити його працездатність. Нарешті, можна втратити частину електронних документів або ключів, а разом з ними можливість вести операційну діяльність компанії.

Сьогодні попит на страхування кіберризиків створюють не потенційні жертви хакерських атак, а самі страхові компанії. Часто фірми, навіть усвідомлюючи необхідність і користь такого сервісу, поки що не впевнені, що саме хочуть страхувати, і чи справді потім хочуть одержати те саме відшкодування. На відміну від автострахування, де об'єктом є автомобіль і де збиток, пов'язаний з ним, можна прорахувати заздалегідь залежно від його моделі, року випуску та марки, об'єктом кіберстрахування, по суті, є сам бізнес. А після витоку інформації або зламу інформаційної системи не кожна компанія захоче розголошувати навіть сам факт того, що сталося. Причин кілька. З одного боку, бувають випадки, коли реалізована атака завдасть мільйонного збитку, а розголошення факту зламу - зруйнує мільярдний бізнес. З іншого - для багатьох компаній, наприклад комерційних банків або держустанов, втрата даних клієнтів - це порушення закону.

Наступним питанням, що поставить собі потенційний клієнт страхової, буде оцінка втрат, як прямих, так і непрямих. А для того, щоб застрахувати себе від цих втрат якісно, потрібно цю оцінку здійснювати не постфактум, а перед укладанням договору про страхування. Особливо це складно для представників бізнес-підрозділів і власників підприємств, які багато років сприймали інформаційну безпеку як видаткову та не завжди потрібну складову. Тепер же їм доводиться визнати вже не тільки якісну, а й кількісну ефективність і важливість інформаційної безпеки у своїй компанії.

Найбільш зрозумілими з погляду підрахунку збитків і витрат є, звичайно, штрафи, якими погрожують міжнародні регулятори у разі втрати персональних даних клієнтів відповідно до вимог міжнародних та європейських стандартів на кшталт PCI DSS (Payment Card Industry Data Security Standard) або GDPR (General Data Protection Regulation), що набирає популярності. Це торкнеться перш за все великих фінансових організацій, ритейлерів, сервісних компаній. Через призму кіберстрахування великі цифри штрафів за виток інформації виглядають для бізнесу вже не проблемою, а витратами, як у старому єврейському анекдоті. Однак і в цьому виді страхування не все так просто.

Суперечки та дискусії з приводу того, що покривається страховкою в такому випадку, а що ні, ведуться вже не перший рік. В американській та європейській практиці активно обговорюються найбільш резонансні прецеденти, коли суди при врегулюванні збитків, пов'язаних із такими витоками та штрафами, ставали на бік страхової компанії, тим самим викликаючи невдоволення клієнтів, які розраховували на повне покриття своїх збитків. Говорити про такі розгляди в українському правовому полі ще рано, а з огляду на особливості ведення бізнесу в нашій країні, кілька перших подібних випадків можуть призвести до повної недовіри бізнесу до кіберстрахування та, у результаті, до безперспективності такого виду послуг на нашому ринку.

Однак усе-таки страхування кіберризиків для бізнесу стає дедалі більш зрозумілою та відчутною послугою. З'явилися перші запити брокерам і страховим компаніям із боку клієнтів, питання кіберстрахування обговорюються на великих бізнес-форумах. А це вже великий крок уперед, але, на жаль, найчастіше залученість у проблеми кібербезпеки так і залишається на рівні сум страхового поліса, франшизи та страхового покриття. Мало хто проводить повноцінні розслідування інцидентів, що сталися. Ще менше - витрачають після інциденту гроші на побудову процесів безпеки, додаткові аудити та перевірки, впроваджують нові системи безпеки. І все це до наступного разу. А він, як правило, настає досить швидко. Тому що компанія - не автомобіль, у ній можна залишити багато "запасних" виходів і входів, що й роблять грамотні хакери. Щоб потім знову та знову тягнути гроші й дані з таких вдячних піддослідних.

Понад 90% усього страхового бізнесу в сфері кіберстрахування сьогодні зосереджено в США. Причин цього кілька, однією з основних, звичайно, є зрілість законодавчої бази в сфері інформаційної безпеки та розслідування інцидентів, пов'язаних із нею. Саме тому досвід у сфері також зосереджений у глобальних гравців, які вже продумали страхові продукти, набили перші гулі, а дехто вже навіть сформував власні групи ризик-інженерів як аналоги аварійних комісарів у моторному страхуванні.

В Україні, як, власне, і в усій Східній Європі, кіберстрахування для страховиків і брокерів - сфера нова та незрозуміла. Тому основна частина компаній, які намагаються розпочати діяльність у цьому напрямі, не розробляють універсальних продуктів, а працюють "від клієнта", благо, таких клієнтів поки що небагато. Складність такого підходу не тільки в оцінці ризиків і формуванні тарифу, а й у перестрахуванні таких ризиків у зарубіжних партнерів. Останні, уже маючи певний досвід, висувають свої вимоги, які передбачають оцінку захищеності клієнта.

Таку оцінку можна пройти сьогодні онлайн на сайті глобальних страхових груп, відповівши на ряд простих запитань. От тільки відповіді ці нічого особливо не означають. А з огляду на незрілість нашого законодавства при розслідуванні інцидентів виникає чимало запитань уже в страховиків, які, природно, хочуть підтвердження "ДТП". А поки що процес виглядає для них у такий спосіб. Вони дають автовласнику заповнити анкету, і той пише, що в нього машина в ідеальному стані. Через якийсь час він потрапляє в ДТП і заявляє збиток. І тут виникає запитання: а чи так усе добре було до аварії? А може, і не було переднього бампера, навіщо за нього платити?

Такі міркування підштовхують страховиків як мінімум на даному етапі займатися найпростішими питаннями. Тобто страхувати на певну суму грошей у разі певної події. Або страхувати від конкретних штрафів, які застосовуються будь-якими міжнародними регуляторами (наприклад, від витоку даних власників банківських карт). Страховий тариф, відповідно, теж застосовується не оптимізований, а той, який враховує й дороге перестрахування, і локальні ризики.

Хоча слід зазначити, що ще кілька років тому світові лідери страхового бізнесу взагалі не розглядали Україну як перспективний ринок для продуктів кіберстрахування. А тепер, у тому числі завдяки просунутим місцевим брокерам, ринок починає оживати. Ще дуже рано говорити про формування якихось конкретних страхових продуктів саме для українського ринку, але окремі приклади застосування європейських або глобальних страхових продуктів відомих перестрахувальників уже є.

Однією з причин нехай і повільного, але все-таки початку формування українського ринку кіберстрахування називають усе ті самі масові атаки вірусів-шифрувальників. Водночас рівень зрілості локального законодавства в сфері кібербезпеки, як і раніше, залишає бажати кращого. Саме це є одним з головних стопів для активної роботи світових лідерів цього виду страхування в Україні. Адже при врегулюванні страхових випадків потрібно буде опиратися на актуальну законодавчу базу. Тому й ризик шахрайства з боку неблагонадійних клієнтів нині досить високий.

І все-таки в описаному вище ланцюжку відносин страховика та страхувальника є один елемент, якого не вистачає. Це той, хто, власне, й займається оцінкою, ремонтом, виїжджає на місце події та виконує всю ту чорнову роботу, яку робить СТО або аварком у разі страхування автомобіля. Хіба що поліція в такому випадку залучається не патрульна, а кібер.

Причому запрошувати цих фахівців має від початку сам клієнт. Адже що правильніше буде вибудуваний у нього комплекс інформаційної безпеки, то дешевшим буде страхування, а головне, тим менша ймовірність виникнення того самого інциденту, що призводить до іноді незворотних і дуже болючих наслідків. Рекламувати й розповідати, що можна зробити як превентивні заходи, не потрібно, необхідно пам'ятати, що коли ви їдете до свого страхового агента подовжувати договір КАСКО, то згадуєте все, що може знизити тариф: свою страхову історію, всі додаткові системи безпеки, встановлені на вашому авто, тощо. З кіберстрахуванням усе ідентично.

І головне, пам'ятайте, кіберстрахування - це не забезпечення безпеки вашого бізнесу, а додатковий інструмент часткового відшкодування збитку у разі настання інциденту.