Почему в России не хотят страховать киберриски

Киберриски становятся все более распространенными, а их последствия все более катастрофичными. Если раньше это было нечто туманное, связанное с правительственными ресурсами, то с появлением интернета вещей мошенничество в Сети превратилось в распространенный заработок во всех отраслях экономики. По данным Международного института стратегических исследований, убытки от киберпреступлений оцениваются больше чем в 400 млрд долларов в год.

В России цифры тоже впечатляют. По результатам совместного исследования ФРИИ, Microsoft и Group-IB, за 2015 год экономика страны потеряла в результате кибератак 203,3 млрд рублей. 123,5 млрд из этих денег приходится на частные компании. Еще почти 80 млрд было потрачено на ликвидацию последствий кибератак. Очевидно, что для страховых компаний это очень важный тренд и потенциально доходная ниша. На Западе страховщики вовсю хватаются за киберстрахование, так как это одна из немногих возможностей продавать высокомаржинальные продукты на устоявшемся рынке.

Однако в России развитие этого сегмента пока сталкивается с рядом сложностей.

1. Сложно оценить имиджевые потери

Здесь нужно сделать маленькое отступление и пояснить, что же представляют собой киберриски. Из всего их разнообразия самые опасные – это риски, связанные с утратой данных, причем тех, которые могут нанести реальный ущерб. Что это значит? Мы часто слышим, что хакеры проникли в систему какой-то организации и похитили там персональные данные клиентов. После такой кражи они могут, например, снять деньги с банковских счетов. Кроме того, возможны атаки, которые меняют платежные поручения. Они не похищают данные, а позволяют переводить средства со счета на счет, причем делать это так, что организация не замечает.

Из свежих случаев кибератак можно привести пример с компанией Yahoo. В конце сентября выяснилось, что с 2014 года у нее происходила масштабная утечка данных, возможно, крупнейшая в истории. Больше чем у полумиллиарда пользователей украли пароли от аккаунтов и личную информацию. Кибератака поставила под угрозу слияние с компанией Verizon и снизила оценку активов компании на 1 млрд долларов.

Тем более реальным имущественным ущербом не считаются атаки, которые влияют на имидж. Показателен случай с хакерской группировкой OurMine. После того как в начале октября о ней написало популярное издание BuzzFeed, хакеры взломали их сайт. Они вывесили на нем предупреждение: «Сайт взломан. Не пишите про нас глупостей. У нас ваша база данных, в следующий раз она попадет в открытый доступ». Некоторое время это сообщение видели сотни тысяч посетителей BuzzFeed.

Если кто-то взломал ваш сайт и повесил на главной надпись, это может доставить много неприятностей. Такой ущерб в России не покрывается страховкой. Однако эта ситуация связана с судебной практикой, ведь восстановить имиджевый ущерб практически невозможно.

2. Компании не задумываются о рисках

Страхование от киберрисков в России пока представляет собой достаточно разрозненную картину в зависимости от сегмента клиентов. Грубо их можно поделить на три категории.

• Первая – финансовые институты. Банки, например, в обязательном порядке должны иметь договор комплексного страхования от финансовых и электронных преступлений.
• Вторая категория – это компании, которые занимаются IT-продуктами или услугами по архивному хранению данных. Эти две группы клиентов очень хорошо понимают необходимость киберстрахования, оно среди них очень востребовано.

В силу молодости этого направления статистика выплат еще невелика. Но уже можно констатировать, что в области киберстрахования их масштабы могут быть впечатляющими. Так, похищение в 2013 году данных 70 млн клиентов розничной сети Target вошло в список самых больших выплат по страховкам в мировой истории. Компенсация ущерба составила 44 млн долларов. Выплаты на ликвидацию последствий могут преследовать совершенно разные цели. Так, одна из американских страховых компаний выплатила 400 тысяч долларов на содержание колл-центра своему клиенту, которому после утечки данных звонили разгневанные клиенты.

• Третья категория клиентов – это все остальные компании, которые не имеют никакого отношения к финансам или IT-сфере. Тем не менее они тоже подвержены киберрискам. Данные могут украсть у авиакомпании или ритейлера, и последствия будут довольно плачевными. То же самое относится к различным государственным онлайн-сервисам, связанным с документами. Тем не менее пока мы видим очень маленький спрос на страхование от киберрисков среди организаций, не связанных с обработкой данных или финансами. Люди просто не задумываются о том, что могут стать жертвами кибератаки.

3. Каковы шансы стать жертвой кибермошенников?

Этот вопрос приходится слышать часто. И какого-то универсального рецепта здесь нет, никто не скажет вам: «Атаке подвергается каждый десятый интернет-магазин». Здесь все рассчитывается исходя из вероятности наступления страхового случая, о котором говорит статистика. Кроме статистики, мы оцениваем систему защиты данных в организации, которая обращается к нам за этим страхованием, смотрим информацию об имеющемся программном обеспечении, точнее, о программно-техническом комплексе, который эти данные защищает. Мы проводим мониторинг необычного поведения, смотрим многие электронные системы и так далее. То есть мы полностью оцениваем все, чем владеет организация, для того чтобы защитить свои данные. Кроме того, когда мы говорим о страховании каких-то архивных данных, то мы также смотрим на наличие копий, которые позволяют восстановить ту или иную информацию. Статистика здесь небольшая, но она есть.

Все это приводит к тому, что киберстрахование мало где выделяется четко как отдельный продукт. Некоторые компании на рынке пытаются его развивать, но больших успехов они пока не достигли. Банки и IT-компании, которые страхуются от кибератак, как правило, заказывают индивидуальные, комплексные страховые полисы. Их число и у самых крупных страховщиков измеряется даже не сотнями, а десятками. Это соответствующим образом сказывается на цене страховки, а значит, небольшому стартапу сложно позволить себе такую.

4. Появятся ли дешевые и массовые страховки от кибератак?

На мой взгляд, для развития киберстрахования в России при всей его очевидной перспективности должно измениться несколько обстоятельств. В первую очередь для поворота ситуации необходимы изменения в правовом поле. В ряде зарубежных стран утрата каких-либо персональных данных сама по себе является ущербом.

Только если будет меняться судебная практика, будут меняться доказательства, подобный продукт станет востребован. Поэтому, на мой взгляд, в ближайшие 2–3 года киберстрахование будет развиваться в основном среди финансовых и IT-компаний. Как только мы увидим иное правовое поле, когда все остальные организации смогут оценивать ущерб, оно перейдет на следующий этап.

Материалы по теме:

В сети распространяется новый вид мошенничества с интимными фото

Китайцы хотят купить уязвимости у русских

Facebook Messenger запустил сквозное шифрование для всех пользователей

Сбербанк вместе с ФСБ создаст общероссийскую систему кибербезопасности

Интернет Северной Кореи: всего 28 сайтов

Разработаны требования для госмессенджера