Что такое киберстрахование
Киберстрахование или страхование информационных рисков — вид страховки, позволяющий бизнесу получить компенсацию за убытки от хакерских атак, утечек данных, взлома серверов и вирусов. Взлом может негативно повлиять на отношения бизнеса с клиентами, испортить репутацию и привести к многочисленным судебным разбирательствам. Сейчас невозможно представить развитую организацию без использования в своей деятельности той или иной автоматизированной системы, отмечает старший юрист практики страхового права Елена Панчук. Ведь все, чем каждый сейчас активно пользуется: информационные платформы, поисковики, такси, мобильные операторы и медлаборатории, содержат колоссальное количество данных, утечка которых приведет к значительным убыткам.
Родиной института киберстрахования считают Великобританию. В 1981 году компания Lloyds представила рынку страхование рисков для банков от возможных информационных преступлений. В итоге полис стал типовым документов и начал применяться массово. В России первые подобные предложения появились в 2017 году после массовых атак вирусов-вымогателей WannaCry и Petya. В 2020 эксперты зафиксировали пятикратное увеличение спроса на услугу, в 2021 году спрос вырос еще на 60%. На такой всплеск во многом повлияла пандемия, вынудившая бизнес уйти в онлайн и перевести сотрудников на удаленную работу.
Вновь о киберстраховании заговорили после масштабных утечек данных в 2022 году, когда в сеть попали данные клиентов «Яндекс.Еды», Delivery Club и «ВкусВилла». Тогда компании получили небольшие штрафы, а пользователи платформ обратились с коллективными исками. На этом фоне страховые компании, развивающие направление покрытия ущерба от последствий кибератак, в 2023 году увеличили сбор страховых премий на 80%.
Говорят, что есть два типа компаний — одних взломали, других еще нет. Говорят также, что на самом деле есть два типа компаний: те, кого уже взломали, и те, кто еще об этом не знает.
На популярность услуги влияет и растущее количество взломов. За первые семь месяцев 2024 года, число зарегистрированных киберпреступлений выросло на 17,1%. Несмотря на это, в России страхование киберрисков пока еще менее популярно, чем за рубежом. Панчук видит причину в том, что основное внимание российские компании уделяют киберзащите и только 10% дополнительно укрепляют тыл киберстрахованием. Зубарев же объясняет это спецификой регулирования вопросов, связанных с ответственностью за утечки персональных данных и требований, предъявляемых к бизнесу. Иностранное законодательство требует сообщать о компрометации IT систем и об утечках данных не только в регулирующие госорганы, но и субъектам персональных данных под страхом наложения повышенных штрафов за неуведомление. Расходы на такое уведомление могут быть значительными, и страховщик обычно их компенсирует.
В действующем законодательстве отдельного регулирования для страхования информационных рисков нет, поэтому на практике к таким договорам применяются общие правила страхования. При этом задача по формированию условий для института страхования киберрисков включена в основные направления программы развития информационной безопасности кредитно-финансовой сферы на период 2023-2025 годов, утвержденной Центральный банком. Но чтобы установить единые требования к такому страховому продукту, страховщики должны будет наработать достаточный опыт, предупредили в ЦБ. В Европе от информационных рисков страхуют чуть больше 100 компаний, а в России подобные программы готовы предложить не более 5-10 организаций, сравнивает Панчук.
Сейчас с помощью полиса можно компенсировать расходы по реагированию на взлом, на информирование регулятора и субъектов персональных данных об утечках, а также убытки, причиненные третьим лицам (включая клиентов и работников).
Когда страховка от киберрисков пригодится бизнесу
Прежде всего бизнесу нужно защитить от IT-рисков собственную инфраструктуру, коммерческую тайну, чувствительную информацию и персональные данных сотрудников и клиентов. Если система уязвима, этим могут воспользоваться, чтобы собрать информацию о клиентах и причинить вред поставщикам или деловым партнерам компании, предупреждает Зубарев. Поэтому потенциально в страховке от информационных рисков заинтересованы фирмы, обрабатывающие большие объемы персональных данных: маркетплейсы и офлайн-ритейл, банки, иные финансовые организации, медицинские учреждения, отели и иные компании из сферы услуг, перечисляет партнер Кира Свинцова.
Классическая страховка от кибер-рисков позволяет бизнесу быстрее реагировать на кибер-инциденты, привлекать специалистов и покрывать расходы на восстановление IT инфраструктуры, сокращать время простоя. Еще наличие такого полиса может стать конкурентным преимуществом при участии в тендерах на поставку товаров, работ или услуг, добавляет Зубарев. Обычные договоры страхования зачастую исключают кибер-риски из сферы своего действия. Поэтому, эксперт считает, что специфика этого вида страхования оправдывает наличие отдельного полиса. Чтобы оценить необходимость этой страховки риски, Зубарев предлагает представить, во сколько обойдется полная остановка бизнеса на полгода, — это и будет сумма максимально возможного убытка, исходя из которой можно рассчитать страховую премию.
Минимизация убытков и репутационных рисков в глазах клиентов, инвесторов, сотрудников и контролирующих органов, делает киберстрахование более актуальным для бизнеса. Оно позволит быстрее восстановиться после киберинцидента, повысить уровень защищенности компании, а также стать более привлекательными на рынке услуг для своих партнеров и клиентов.
Советник Иван Рыбаков считает страхование киберрисков уделом крупных корпораций с хорошо развитой системой организации защиты бизнеса. Такой страховкой уже пользуются не только продвинутые интернет-гиганты, но и крупные железнодорожные и морские транспортные компании, делится эксперт. По его словам, в основном клиенты оформляют полис, если у них есть значимые для бизнес-операций информационные системы, атака на которые может повлиять на убытки бизнеса в целом. И поскольку большинство страховых программ для корпоративного бизнеса специализированные, то оформлять отдельный договор для страхования кибер-рисков бизнесу необходимо лишь в тех случаях, когда нужно защититься именно от этого класса рисков. Другие полисы, скорее всего, убытки от перерыва в производстве вследствие кибер-атаки возмещать не будут.
Малым предприятиям, не работающих с большим количеством граждан, оформлять страховку от киберрисков экономически не выгодно. Им доступнее создать денежный фонд для компенсации возможных рисков при утечке данных, советует юрист Елизавета Вихлянцева.
Что можно включить в договор
Нужно понимать, что страхование киберрисков — это не страхование «штрафов за нарушение условий защиты персональных данных», отмечает Рыбаков. Само по себе киберстрахование предлагает защиту от:
- компьютерной атаки;
- внедрения вируса, в том числе работником фирмы;
- сбоя информационной системы страхователя.
Каждый из этих рисков приводит к определенным расходам и убыткам, которые возмещаются клиенту: от кибер-вымогательства и хищения денежных средств, до перерыва в производстве, ущерба деловой репутации и расходов на устранение последствий. В 2020 году «Ингосстрах» отдельно застраховал от киберрисков сайт клиента. Договор предусматривал защиту от потери значимой информации на сайте и утраты доступа к нему в результате кибератаки или заражения вирусом.
Классический полис кибер-страхования включает в себя компенсацию расходов по реагированию на кибер-инцидент. В нем будет cyber response team — команда реагирования на кибер-инцидент. Это рекомендованные страховщиком специалисты по IT, юридические консультанты и специалисты по связям с общественностью, рассказывает Зубарев. Первые 24-72 часа после инцидента являются критически важными, ведь за это время нужно сообщить об утечке данных в Роскомнадзор и поделиться результатами расследования (ч. 3.1 ст. 21 ФЗ № 152 «О персональных данных»). Поэтому страховщик предлагает готовое решение, которое зачастую включает и круглосуточную горячую линию. Это позволяет страхователю незамедлительно начать работу по минимизации убытков, без необходимости самостоятельно искать соответствующих специалистов.
Еще по договорам страхования кибер-рисков возмещают расходы по информированию регуляторов и субъектов персональных данных об утечках. Также в страховку можно включить раздел об ответственности за убытки, причиненные третьим лицам (включая клиентов и работников) утечкой данных.
Согласно правилам киберстрахования, которые предлагают отечественные банки, список информационных рисков страхователь выбирает самостоятельно. Программы предусматривают защиту организаций от атак хакеров, внедрения вирусов и другого вредоносного ПО, а также других негативных инцидентов, которые могут возникнуть по причине уничтожения или кражи данных.
При этом действие договора страхования не ограничивается лишь защитой от убытков, связанных с утечкой. В качестве примера реализации иных кибер-рисков, убытки от последствий которых также подлежат страхованию, Зубарев приводит нашумевший вирус-вымогатель Petya, который требовал выкуп за восстановление доступа к файлам. Но здесь возникает трудный юридический вопрос о страховании расходов по выплате требуемых злоумышленниками сумм за разблокировку данных. За рубежом есть специальные полисы kidnap & ransom — страхование расходов по освобождению заложников и оплате выкупа. В России такое страхование признается недействительным (ст. 928 ГК), но только в отношении расходов по освобождению заложников. Поэтому расходы по выплате требуемых злоумышленниками сумм за разблокировку данных можно включить в страховку.
Не покроет полис затраты на киберзащиту, говорит Панчук. Также событие могут признать нестраховым при обстоятельствах непреодолимой силы, например, военных действиях, применении кибероружия или отключении электричества, предупреждает Свинцова.
Страховую сумму, как и страховую премию, страховщики в каждом случае рассчитывают индивидуально. Все зависит размера предполагаемых убытков, надежности средств защиты информации, статистических сведений и других факторов, рассказывает Свинцова. Сейчас средний лимит по договору страхования киберрисков составляет 50–200 млн руб.
Стоимость страховки от киберрисков сравнительно невелика и формируется из множества факторов, и не в последнюю очередь за счет аппетитов страховых посредников. Получить адекватную страховую защиту на полмиллиарда-миллиард рублей, возможно по тарифу от 1% до 1,3% без учета вознаграждение посредников.
Несмотря на то, что этот вид страхования не первое десятилетие известен на страховом рынке, значимой судебной практики по нему нет, отмечает Рыбаков. По словам Вихлянцевой, чаще всего споры возникают у держателей банковских карт, чьи деньги похитили мошенники. При этом, суды зачастую встают на сторону страховщика и отказывают в возмещении в связи с невозможностью установления факта несанкционированного доступа к информации (дело № 2-1169/2024).
Ключевой проблемой страхования киберрисков юристы называют расследование страхового случая. Киберпреступления сложно раскрываются, и часто утечки данных происходят по вине самих сотрудников, объясняет Вихлянцева. Поэтому бывает трудно отыскать злоумышленника и подтвердить факт взлома. Другим недостатком Панчук считает сложность доказывания, что компания исполнила рекомендации по безопасности перед страховщиком. Без них в компенсации откажут, объясняет юрист. Сложным остается и вопрос достоверной оценки стоимости утраченной информации, а также проблемы с построением и оценкой модели риска.
Нужно ли делать киберстрахование обязательным?
В прошлом году в Совфеде предложили создать страховку для компаний на случае кибератак и утечек данных, но позже решили сузить его действие только на риски от последних. Для этого компании-операторы смогут создавать денежный фонд для компенсации ущерба гражданам или страховать этот риск. В текущей редакции законопроекта, киберстрахование хотят сделать обязательным по аналогии с ОСАГО.
В первую очередь киберстрахование могут сделать обязательным для крупных компаний, которые располагают большим количеством персональных данных и чувствительной информации, считает Вихлявцева. Но по мнению Зубарева, сужать сферу действия этого вида страхования до ответственности за утечки персональных данных неправильно. И уж тем более неправильным выглядит желание сделать такой вид обязательным или вмененным, когда наличие договора страхования ответственности за утечку персданных будет условием для ведения определенной деятельности. С другой стороны, эксперту вполне понятно и похвально желание законодателя защитить персональные данные граждан.
Развития этого вида страхования в обязательное, безусловно скажется на цене такого вида страхования, уверен Рыбаков. Ведь за счет массовости уровень тарифов предсказуемо снизится. Но в зависимости от того, как данную инициативу реализуют, она может стать как эффективным цивилизованным механизмом компенсаций убытков в IT-сфере, так и очередной формой «квази-сбора», которая обременит IT-отрасль без достаточной «обратной выгоды» для этой отрасли и ее клиентов.
Если службы информационной безопасности, финансовые службы и юристы клиента с глубоким пониманием и тщательностью отнесутся к оформлению договоров киберстрахования, сопоставят условия и объем покрытия, то этот инструмент будет первоклассным способом управления IT рисками, считает Рыбаков. Но если к этому отнестись поверхностно, то затраты на страховку не будут оправдывать эффект.
Препятствием для страхования киберрисков нередко становится отсутствие бюджета. Это может быть связано с тем, что не все осознают ценность такой услуги, не для всех она является приоритетом. Нужно потратить время, силы и средства, привлечь специалистов для настройки системы защиты, чтобы запустить киберстрахование. Но пока не все к этому готовы.
По задумке парламентариев, страховка должна стимулировать бизнес тщательнее следить за кибербезопасностью и собираемыми персональными данными граждан. Панчук считает, что на данном этапе еще нет такой системы защиты, которая будет помогать бизнесу любого размера быстро получать помощь в случае столкновения с подобными киберугрозами. Но поскольку спрос на страховку увеличивается параллельно росту количества хакерских атак и инцидентов с утечками данных, то в конечном итоге, у данного вида страхования есть все шансы твердо занять свою позицию в отрасли. «Всплеск интереса к киберстрахованию за рубежом наступил после введения оборотных штрафов за утечку персональных данных, и не исключено, что с введением обсуждающихся сейчас аналогичных законопроектов в России услуги киберстрахования станут востребованными», — полагает юрист.
Действующие штрафы (ст. 13.11 КоАП) за утечку данных весьма лояльны, что объясняет отсутствие мотивации обращаться за страховкой. Новые поправки предлагают увеличить штрафы за неправомерную передачу персональных данных. Для юрлиц он станет от 1 млн до 3 млн руб., а еще компаниям будут грозить оборотные штрафы — от 0,1 до 3% от выручки за календарный год (не ниже 15 млн и не выше 500 млн руб.). Помимо этого, законодатель предложил дополнить Уголовный кодекс ст. 272.1 «Незаконные действия с компьютерной информацией, содержащей персональные данные», согласно которой операторы могут понести наказание вплоть до лишения свободы на срок до 5 лет, добавляет Вихлянцева. Панчук уверена, что нововведения станут критичными не только для малых и средних, но и для крупных предприятий, что неминуемо повлечет скачок обращений по оформлению полисов киберстрахования.
Рыбакову сложно представить, что в недалеком будущем каждый продавец на маркетплейсах будет застрахован от киберрисков, но скорее всего в ближайшем десятилетии среди значимых операторов информационных систем уже не останется не застрахованных лиц.