Находка для хакера. Почему страхование от киберугроз не работает в России
Группа хакеров под названием Lurk обкрадывала российские компании и банки на протяжении шести лет, утверждают специалисты «Лаборатории Касперского». Только летом прошлого года сотрудникам правоохранительных органов удалось задержать участников киберпреступной банды. Однако до этого они успели похитить со счетов около 3 млрд рублей. Эти деньги были списаны организациями как убытки — ведь на российском рынке пока нет адекватного страхового продукта, который может компенсировать потери предпринимателей от кибератак. Последний год мир накрыла волна кибертерроризма: вирусы WannaCry и Petya, поразившие сотни тысяч компьютеров по всему миру, десятки локальных атак на банки и отдельные организации, миллиардные убытки и остановка деятельности тысяч предприятий. По данным ФСБ, ущерб, нанесенный хакерами по всему миру, в последние годы составляет от $300 млрд до $1 трлн, «и эти показатели имеют тенденцию к неуклонному росту». В 2016 году 42% российских компаний хотя бы раз за год теряли важную информацию из-за взломов, сообщает «Лаборатория Касперского». Количество киберпреступлений в России за три года выросло в шесть раз, дополняет заместитель министра связи и массовых коммуникаций Олег Пак. Что могут противопоставить этой опасности российские компании? «Виртуальная» страховка Многие организации, столкнувшись с реальной угрозой остановки деятельности, стали спешно латать дыры в своих информационных системах. В недавнем исследовании Zurich Insurance Group, проведенным совместно с Atlantic Council, указано, что ущерб от злоумышленников и затраты на обеспечение кибербезопасности в интернете могут достигнуть $120 трлн к 2030 году. Стоимость обеспечения информационной безопасности также будет расти — как и убытки от утечек информации, говорится в документе. Но мы понимаем, что полностью исключить вероятность взлома невозможно. Всегда найдутся умельцы, которые сумеют обойти казавшуюся абсолютно надежной защиту. И тут логично было бы вспомнить о страховании рисков, а потом пойти купить полис на тот случай, если неприятность все же случится. Но вот парадокс: на российском рынке до недавнего времени просто не существовало адекватных страховок от киберугроз. Западные страховые компании предлагали продукт, который, как правило, во многом копировал тот, что продается за рубежом. В результате получилось так, что бизнесменам предлагали застраховать лишь риски потери персональных данных. По такой страховке можно было получить возмещение в случае предъявления претензий от юридических и физических лиц по поводу утери их данных. Дело в том, что на Западе штрафы по таким претензиям могут достигать астрономических сумм, и поэтому иностранные компании почти всегда страхуют такие риски. В России жесткого наказания за утерю персональных данных не существует. Кроме этого, по российским законам страховщики вообще не имеют права страховать риск вынесения штрафа. А значит, в России сам факт штрафа не будет признан страховых случаем. В итоге получить выплату по таким «киберстраховкам» в нашей стране де-факто невозможно. Неудивительно, что за все время было продано не более 20 таких полисов. Крупные компании, конечно, имели возможность договориться с российскими страховщиками о заключении договора страхования на индивидуальных условиях. Но поскольку нашими страховыми организациями не была сформирована специальная инфраструктура, сопровождающая каждый договор (системы предстрахового осмотра, андеррайтинга, урегулирования убытков) — стоимость такой услуги доходила до нескольких миллионов рублей. При таком раскладе даже крупные компании предпочитали отдавать средства на развитие собственной системы безопасности, а не на покупку полиса. Идеальный полис Сейчас наши бизнесмены осознали, что под прицелом у киберпреступников находятся не только гиганты бизнеса, но и средние по размеру компании. Недавний пример с «Инвитро», которая приостановила часть операций из-за атаки хакеров, — яркий тому пример. Уже многие понимают, что необходимо выстраивать свою собственную систему защиты против компьютерных злоумышленников, и предусмотреть запасной вариант на случай возникновения проблем. А поскольку есть спрос — появится и предложение. Уверен, что сейчас многие страховые компании выйдут на рынок с новым продуктом. Тем более, что продажа таких страховок экономически оправдана: по нашим оценкам, в ближайшие 3-5 лет объем рынка киберстрахования в России составит от 5 до 15 млрд рублей. Однако эта сфера деятельности для наших страховщиков абсолютно новая, и некоторые фирмы могут совершить «детские» ошибки, как это было, например, когда только зарождался рынок автострахования. Чтобы этого не произошло, мы внимательно проанализировали запросы клиентов, и определили оптимальные параметры страховки на случай кибератаки. Во-первых, на наш взгляд, такой полис должен быть доступен широкому кругу предприятий — чтобы даже малые и средние фирмы могли купить страховку. И это не лозунг, а продиктованная рынком необходимость. Во-вторых, следует четко определить, что страховать: мы уверены, что, прежде всего, следует возмещать убытки, вызванные временным простоем в работе. И наконец, необходимо четко дифференцировать услуги, предоставив каждой группе покупателей то, что действительно будет полезно. Как это может выглядеть на практике? Начнем со страховки для малого бизнеса. Для небольших компаний она должна стать составным элементом «общего» пакета. То есть вместе с другими рисками (ущерб имуществу, гражданская ответственность) — необходимо включать и перерывы в работе, возникшие по вине хакеров. Стоимость такого полиса вряд ли будет выше 50-70 000 рублей в год. Суммы компенсации должно хватать, чтобы покрыть расходы на оплату аренды помещения, процентов по кредитам и коммунальных платежей — это, по нашим расчетам, до 300 000 рублей в месяц. Важно отметить, что такой продукт следует продавать уже готовым, как говорят, в коробке — чтобы предпринимателю не пришлось вызывать агента для осмотра имущества, оценки рисков, составления индивидуального договора. Между тем, для предприятий среднего размера и уровня выручки уже нужен расширенный вариант страховки, который включает выезд специалиста для оценки надежности IT-инфраструктуры клиента. В случае, если минимальные требования безопасности соблюдаются, с заказчиком подписывается типовой договор страхования. Стоимость полиса также не должна быть заоблачной — вероятно, от 50 до 200 000 рублей на год. А сумма покрытия — в пределах 3-7 млн рублей. В список рисков необходимо включить как оплату расходов на время перерыва деятельности, так и компенсацию затрат на восстановление IT-системы заказчика. Плюс, специалисты страховой компании могут давать рекомендации по устранению уязвимости информационных систем. Крупным компаниям, которые не хотят тратиться на собственную систему безопасности, конечно, надо предлагать заключить индивидуальные договора страхования. Процедура должна включать в себя полный аудит всех компьютерных систем с формированием отчета, и составления расширенного перечня рисков. Стоимость полиса для больших компаний может начинаться от 1 млн рублей. А сумма страхового покрытия — от 25 млн рублей. Мы уверены, что правильное позиционирование нового продукта и его доступность сделают полис страхования от киберугроз неотъемлемой частью бизнес-решений (как например, страхование опасных объектов или имущества). Это будет выгодно всем: бизнесмены смогут воспользоваться страховым покрытием для ликвидации ущерба от кибермошенников. А страховые компании — создадут в России новый рынок услуг.