Киберриски, или Новое слово в страховании
Киберриски
ИТ становятся ключевой составляющей практически любого бизнеса. Следствие — рост киберрисков. А раз есть риск — есть место страхованию
Киберриски сравнивают с ущербом от военных действий или терроризма (понятие кибертерроризм есть), а эти риски страховые компании страхуют с оговорками.
Во-первых, это в большинстве своем намеренные противоправные действия (случайные программные или аппаратные сбои и халатность персонала тоже имеют место, но они в меньшинстве). Во-вторых, диапазон негативных последствий сбоев ИТ-систем обширен: уничтожение данных, коммерческий шпионаж, вымогательство, приостановка деятельности или снижение производительности, прямое хищение денежных средств. Кроме того, ущерб наносят такие явления, как разглашение персональных данных, манипуляции общественным мнением, использование ресурсов компании для спама и майнинга. В результате атак может быть повреждено или уничтожено как компьютерное, так и производственное оборудование.
В-третьих, статистика в этой сфере — страховщикам не помощник, а без нее невозможно посчитать стоимость риска. Причин несколько: киберинциденты разнообразны, появляются новые технологии, образуются новые уязвимости. Во-вторых, большинство случаев скрывается, и это понятно — ущерб репутации. Государство и его правоохранительные органы, если речь не идет о громких делах, остаются в неведении. Между тем ущерб от киберпреступлений достигает 1% ВВП.
В российской практике пока количество полисов комплексного страхования киберрисков ограничивается десятками. Более распространены дополнения к уже существующим полисам — имущественного страхования, страхования риска перерыва в работе производства, страхования ответственности. Страховщики предупреждают: без таких дополнений киберпроблемы страховыми случаями не признаются и киберриски защите не подлежат.
Ситуацию комментирует директор департамента корпоративного бизнеса СПАО «Ингосстрах» Дмитрий Мелёхин.
— Дмитрий Валерьевич, страхование киберрисков пока небольшой сегмент?
— Комплексные полисы киберстрахования, которые покрывают собственные риски предприятия, расходы на судебную защиту, на расследование киберинцидентов, широко представлены на международном рынке. В России этот рынок только начинает развиваться, формируются некие базисные составляющие — правила страхования, тарификация, подходы к андеррайтингу и прочее. Активная фаза развития рынка началась в 2017 году, и тогда же мы заключили первые договоры.
— В основном это страхование ответственности, имущества или и то, и другое?
— Сейчас и для промышленных, и для финансовых предприятий наибольший интерес представляет страхование собственных рисков, то есть «а-ля имущество»: собственные финансовые активы, информационные базы, перерыв в производстве. Страхование ответственности, как правило, предлагается дополнительной опцией. В этом сегменте нас останавливают пробелы в законодательстве и отсутствие правоприменительной практики.
Например, у онлайн-магазина взломали базу, произошла утечка персональных данных, и он должен возместить убытки. Но, как правило, удается доказать только моральный вред, не более того. Пока судебная система не перестроится, страхование ответственности будет неким «бонусом», а основной акцент сохранится на собственных финансовых потерях.
— Ситуация, когда из-за кибератаки произошло техногенное ЧП, относится к этому виду страхования?
— Это уже некая «надстройка» к классическому имущественному страхованию. Однако если предприятие осознанно не застраховало киберриски и страховщик закрепил это исключение в полисе, а затем причиной страхового случая признается киберинцидент — может последовать отказ в выплате страхового возмещения.
— Логика подсказывает, что основные клиенты — те, кто сами в онлайне, в цифровых технологиях. Те же банки. Кто кроме банков?
— В портфеле нашей компании большую часть занимают финансовые институты и ИT-компании. Помимо этого, к киберстрахованию проявляют интерес предприятия энергетики, нефтегазового сектора, есть несколько автопроизводителей. Сегодня активно внедряется автоматизация, идет борьба за повышение эффективности, а оно без цифровых технологий невозможно. Компании начинают задумываться о необходимости страхования ИТ-рисков. В целом потенциал страхования киберрисков огромен. По нашей оценке, до 80% информационных активов российских предприятий не защищены. Отметим также, что в рамках программы «Цифровая экономика» закреплены планы по введению обязательного страхования киберрисков для стратегических областей — машиностроение, авиа- и судостроение, вокзалы и т.д.
— А в чем, например, киберриски автопроизводителя?
— В первую очередь в работе оборудования, в станках с ЧПУ, которые производят детали. Представьте, сбой программы или внешнее хакерское воздействие, и вы получаете дефектные детали или даже автомобили. В будущем возможны риски, связанные с отказами и ошибками ПО беспилотных автомобилей.
— Аудит рисков производят внешние компании?
— Пока рынок не сформирован, мы не видим смысла нанимать специалиста по аудиту ИT-безопасности в штат. С повышением спроса такие люди появятся, так как на текущий момент стоимость аудита может быть равна стоимости полиса страхования.
— На чем основано ценообразование? С каско, например, все понятно: есть таблицы, основанные на большом массиве данных…
— Играет роль комплекс факторов: экспертиза страховщика, понимание потенциальных рисков, а также фактор перестрахования.
— Прежде всего страхуются крупные риски?
— Как правило, страховые суммы начинаются от миллиона долларов, максимальный размер в нашем портфеле — 20 млн долларов. В западных странах страховые суммы в 10 — 30 млн долларов являются стандартной практикой для крупных предприятий (энергетика, нефтегазовая отрасль, автопром).
— Были ли в вашей практике выплаты по киберстрахованию?
— У нас есть заявленные убытки, которые сейчас рассматриваются.
— Сколько страховщиков в России занимаются киберрисками?
— Активно — компании из топ-10, если не топ-5 страховщиков. Это сложный вид страхования в плане составления договора, грамотного прописывания всех условий. Кроме того, при крупных лимитах требуется перестрахование, а это большие финансовые затраты.