КИБЕР-СТРАХОВАНИЕ КАК СПОСОБ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ
А.А. Просветова, канд. экон. наук, доцент Е.В. Дубкова, студент
Самарский государственный экономический университет (Россия, г. Самара)
DOI: 10.24411/2500-1000-2020-10411
Аннотация. В данной статье рассматриваются основные тенденции и состояние рынка кибер-страхования, виды покрытия кибер-рисков. Перечислены основные проблемы, препятствующие развитию страхования кибер-рисков в мире и в России в частности.
Ключевые слова: кибер-безопасность, кибер-преступность, страхование кибер-рисков, информация, информационная безопасность.
В современном мире, каждая из организаций будь это правительственные структуры, финансовые, коммерческие, медицинские и другие - собирают, обрабатывают и хранят огромные объемы личных данных людей: пользователей, клиентов, сотрудников. В основном вся эта информация является конфиденциальной, и ее утечка, потеря, хищение может иметь негативные последствия, как для человека, в целом, так и для организации. В том числе, под кибер-атакой могут оказаться организации, обеспечивающие инфраструктуру города, страны и общества, как такового. К ним относятся: электроснабжение, водоснабжение, теплоснабжение, транспортные структуры и т.д. В той или иной мере, каждая система взаимодействует с ЭВМ и безопасность этих и других организаций имеет крайне важное значение для полноценного функционирования и жизни общества [3].
Поскольку многие современные компании используют в своей деятельности современные технологии, то они могут подвергнуться кибер-атаке со стороны злоумышленников или недобросовестных конкурентов. Потеря или утечка персональных данных, сбой или остановка работоспособности сервера и многие другие проблемы приносят компаниям многомиллионные финансовые потери.
За последние годы от хакерских атак пострадали сотни компаний, поэтому бур-
ное развитие кибер-страхования в России - это перспектива недалекого будущего.
Перерыв в производстве и кибер-инциденты занимают первые строчки в списке десяти самых главных угроз, которые видит для себя бизнес. Далее следуют стихийные бедствия, изменение рыночной ситуации, поправки в законодательных и нормативных актах и так далее.
За последние пять лет кибер-инциденты поднялись с 15-й на 2-ю строчку рейтинга. Подобно стихийному бедствию кибер-атаки могут навредить сотням компаний. Так называемые кибер-ураганы, когда хакеры вмешиваются в деятельность большого количества предприятий, используя их зависимость от общей интернет-инфраструктуры, происходят все чаще [1].
Кибер-атаки становятся все более изощренными. Центр стратегических и международных исследований совместно с McAfee в 2014 году оценил убыток глобальной экономики от кибер-преступности в $445 млрд. К 2020 году этот показатель может достигнуть $3 трлн.
В 2018 году число кибер-преступлений в России выросло в два раза. Только по официальным данным Генпрокуратуры произошло больше 150 тыс. инцидентов. В среднем ежемесячно регистрируют больше 13 тыс. атак. Доля таких преступлений выросла с 4,4% до 8,1%, при этом расследовано только 31,8 тыс. Если смотреть статистику за 10 лет, кибер-преступность продемонстрировала рост в 10 раз [2].
Несмотря на информацию о растущем количестве угроз и кибер-рисков, в подавляющем большинстве российский бизнес пока неохотно передает свои риски страховщикам, ссылаясь на собственную «надежную систему 1Т-безопасности».
Вместе с тем, очевидно, что рост автоматизации бизнеса и ужесточение законодательных нормативов ставят бизнес перед необходимостью расширения системы риск-менеджмента, в том числе аудитов кибер-безопасности и привлечения страхования кибер-рисков. Учитывая начавшиеся перемены, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет.
Уже сегодня рынок предлагает большой выбор страховых покрытий для разных рисков.
Само содержание корпоративных программ страхования от кибер-атак у большинства страховщиков идентичное. Объект страхования - имущественные интересы клиента. Они могут быть связаны с рисками [1]:
- наступления ответственности за причинение ущерба имуществу граждан и других юридических лиц;
- наступления непредвиденных расходов;
- получения убытков от перерывов в производстве.
Некоторые страховщики предлагают расширить классический полис имущественного страхования или страхования от перерыва в производстве.
В него включают риск кибер-атаки. Также можно приобрести страховку от ки-бер-угроз отдельно. Но в России такие продукты - редкость. В частности, программы страхования от кибер-угроз предлагают «АльфаСтрахование», «Сбербанк Страхование», «Согаз», «Альянс» и ещё нескольких крупных игроков рынка.
Договор можно заключить как на все, так и на отдельные кибер-риски. Есть стандартные пакеты и индивидуальные. Вторые ещё называют конструкторами -клиент выбирает услуги под особенности бизнеса.
Что касается базовой программы, в неё входят риски утраты и искажения данных,
программного обеспечения, разглашения персональных данных, расследование и диагностика кибер-атак. В полис-конструктор можно включить риск хищения интеллектуальной собственности, вымогательство, ущерб деловой репутации и т.д. Цена программы страхования зависит от количества и набора рисков, покрытия и франшизы, а также рода деятельности страхователя и результатов оценки риско-защищенности.
Рассмотрим распространённые элементы кибер-страховок подробнее [3].
- риски утечки корпоративных и личных данных. Не всегда мошенников интересуют деньги. Иногда цель атаки - хищение информации о сотрудниках компании, продукции и т.д.
- перерыв в производстве. Атака на сетевые ресурсы и серверы может вывести из строя целые подразделения. В результате перерыва в рабочем процессе компания теряет прибыль. Эти потери компенсируют по страховому полису.
- компрометация конфиденциальности передаваемой информации. В убытки входят не только непосредственные потери, но и траты на защиту своих прав, в том числе юридическую.
- риск ущерба деловой репутации. Страховая компания покроет убытки и расходы, связанные с публичным раскрытием похищенной конфиденциальной информации, ложными или вводящими в заблуждение заявлениями (например, в СМИ).
- виртуальное вымогательство. Если кибер-преступники требуют деньги за прекращение угрозы безопасности, клиент с согласия страховой компании выплачивает их, после чего СК возвращает ему всю сумму.
- антикризисный PR. Если украденные данные разместили в публичном доступе, исказили, использовали против компании-страхователя, СК оплатит услуги по восстановлению репутации.
Полис включает также покрытие [2]:
- расходов, связанных с восстановлением, повторных сбором или воссозданием информации после утечки или несанкционированного использования данных;
- рисков «технических сбоев» и «умышленных действий сотрудников»;
- услуг юристов, которые проводят инструктаж по предотвращению утечки персональных данных и действиям, если такая утечка всё же произошла;
- убытков, связанных с хищением денег со счетов, корпоративных карт компании.
Кроме того, по полису можно возместить убытки, связанные с проведением расследований регулирующими органами. Кстати, некоторые СК компенсируют затраты на внутренние расследования внутри компании-страхователя. Например, расходы на экспертов в области информационных технологий (услуги форензик).
Страховщик также возмещает расходы клиента по требованиям третьих лиц (например, клиентов, которые совершают покупки на сайте компании) из-за утечки данных или нарушения конфиденциальности. В полис может входить и защита в связи с требованием регулирующих органов.
Могут быть возмещены расходы на уведомление третьих лиц о произошедшей атаке, сбое, утечке данных и т.д., расходы на мониторинг после наступления страхового события (чтобы предотвратить повторную кибер-атаку) [3].
Страховая компания не покроет убытки от ущерба в результате утечек данных, ха-керских атак, кибер-угроз, которые произошли до покупки полиса. Даже если последствия от них наступили в момент действия договора.
Не подпадает под страховой случай ки-бер-атака в результате военных действий, мародёрства, вторжений зарубежных врагов, революции и других народных волнений. Теоретически это значит, что страховая компания не покроет расходы, если кибер-преступление будет организовано за границей и будет признано атакой на страну, а не на конкретную компанию.
Если убытки от кибер-атаки связаны с операциями на рынке ценных бумаг, их также не покроют. Однако некоторые страховые компании делают на этот счёт исключения.
Также в договорах страхования можно встретить любопытное исключение, касающееся того, что страхователь может лишиться выплаты из-за нечестности. Под этим понимают ненадлежащее или неполное указание стоимости товара на сайте, подлинности товара, а также несоответствие товаров, продуктов или услуг заявленному качеству и рабочим характеристикам. Также в числе исключений ошибки в обнародованных финансовых данных компании.
Не удастся покрыть убытки от сбоев в работе электричества, интернета. Сюда же относятся сбои в работе кабельного, спутникового, телекоммуникационного сетевого оборудования, включая проблемы в предоставлении услуг сторонним провайдером. Если в компании установлено нелицензионное программное обеспечение, это также станет препятствием для получения выплаты.
Мошенничество в киберпространстве набирает обороты, опережая современные средства защиты. Опасность может поджидать где угодно. Хотя страхование -цивилизованный способ защиты от рисков, в России эффективным и распространённым этот инструмент станет ещё нескоро [2].
Немногие страховые компании готовы сегодня предложить качественный, системный продукт, направленный на защиту клиентов от кибер-преступности.
Инструментарий еще не отработан, а почти полное отсутствие практики выплат не дает возможности проверить все страховые случаи и виды покрытий на системные ошибки. На сегодняшний день для широкого внедрения этого вида страхования отсутствует и законодательная база, и судебная практика. Недостаточно пока в российских страховых компаний специалистов, имеющих представление о структуре рисков. Но, начало положено и, скорее всего, в течение ближайших трех лет мы столкнемся со взрывным ростом этого вида страхования.
Библиографический список
1. Кибер-страхование на российском рынке. - [Электронный ресурс] - Режим доступа: https://habr.com/ru/company/cloud4y/blog/454278/ (Дата обращения: 29.03.2020)
2. Михайлов А.В. Страхование кибер-рисков // Научно-практический электронный журнал Аллея Науки. - 2018. - №5 (21). - [Электронный ресурс] - Режим доступа: https://www.aUey-
science.ru/domains_data/files/14125648MAY182/STRAHOVANIE%20KIBERRISKOV.pdf (Дата обращения: 25.03.2020)
3. Цена информационной безопасности и страховая защита от кибер - рисков. - [Электронный ресурс]. - Режим доступа: https://strahovkunado.ru/insur/strakhovanie-kiber-riskov.html (Дата обращения: 20.03.2020)
CYBER INSURANCE AS A METHOD FOR ENSURING INFORMATION SECURITY
A.A. Prosvetova, Candidate of Economic Sciences, Associate Professor
E.V. Dubkova, Student
Samara State University of Economics
(Russia, Samara)
Abstract. This article discusses the main trends and the state of the cyber insurance market, types of coverage of cyber risks. The main problems that hinder the development of cyber risk insurance in the world and in Russia in particular are listed.
Keywords: cyber security, cyber crime, cyber risk insurance, information, information security.