Страхование как перспективный механизм защиты информации Текст научной статьи по специальности «Экономика и бизнес»

УДК 368.8

СТРАХОВАНИЕ КАК ПЕРСПЕКТИВНЫЙ МЕХАНИЗМ ЗАЩИТЫ ИНФОРМАЦИИ

О.Н. Суслякова, Н.С. Сергиенко

Аннотация. В статье рассмотрены сущность и история появления информационного страхования, выявлены этапы, особенности и проблемы развития страхования информационных рисков в России в настоящее время.

Ключевые слова: информация, риски, защита, страхование, страхование информационных рисков.

Abstract. This article examines the nature and history of the emergence of information security, identified stages, features and problems of information security risks in Russia at the moment.

Keywords: information, risk, protection, insurance, information risks.

Несанкционированное проникновение в информационные системы и хищение оттуда наиболее ценной информации уже довольно давно является актуальной проблемой для крупных корпораций, которые вынуждены тратить значительные средства на новейшие системы безопасности и привлечение высококвалифицированных специалистов. Однако успеха так и не удалось достичь из-за использования злоумышленниками все новых методов для получения секретных данных. Ведь часто слабые места кроются не только в «дырах» системы, но и в ошибках корпоративных пользователей. Получить стопроцентную гарантию зашиты в наше время невозможно, а вот застраховать существующий риск вполне реально.

Уже в середине 1990-х годов зарубежные компании осознали, что развитие информационных технологий (ИТ) несет за собой появление новых рисков, а, соответственно, и нового рынка спроса. Первыми, кто стал активно пользоваться новыми ИТ, стали банки, прежде использовавшие «Генеральный банковский полис» (Banker's Blanket Bond, BBB). Данный полис предусматривал страхование банковского имущества, транспортируемой наличности, а также покрывал риски, связанные с мошенническими действиями сотрудников, в том числе

<glb>

их деятельность, связанную с подделкой документов и использованием фальшивой валюты. Однако ущерб от хакерских атак и других компьютерных преступлений BBB не предусматривал, хотя, по сообщениям Британской федерации предпринимателей, средний размер убытка от проникновения в банковские сети хакеров в то время составил около 500 тыс. долл. Поэтому локомотивом, который сдвинул информационное страхование с мертвой точки, является именно банковская сфера. Так как возместить ущерб, нанесенный информационным активам, по стандартным условиям бизнес-страхования не представляется возможным, было решено разработать специальные страховые программы для ИТ-сферы.

Наиболее известными игроками на мировом рынке ИТ-страхования являются такие компании-гиганты, как AIG, Marsh, Zurich Financial Services Group, Lloyd's. На Западе страхование рисков, связанных с электронной коммерцией, развивалось параллельно со страхованием банковской электронной техники и кредитно-банковской сферы, в частности. Одной из главных задач ИТ-страхования, неоднократно освещаемой в релизах зарубежных фирм, стало создание благоприятных условий для развития сетевой торговли. Наиболее известную программу такого страхования, Internet Asset and Income Protection Coverage, предоставила компания Lloyd's. Значимой чертой полиса компании является возможность выбора поставщика средств безопасности. Данная программа охватывает риски потери или повреждения информационных активов вследствие взлома или же сбоя в системе безопасности. Под информационными активами подразумеваются прежде всего списки клиентов, номера кредитных карт, рабочая документация и любые другие данные. Если клиент вносит 20 тыс. долл., то он имеет право получить возмещение до 1 млн долл. При взносе в 75 тыс. долл. - до 10 млн долл. Другими словами, размер страховой премии не фиксирован и составляет в первом случае 2%, во втором - 0,75% соответственно [2].

Российское информационное страхование официальной даты своего рождения не имеет. Отдельные инициативы страховщиков имели место в 1997-1999 гг. В роли первопроходцев выступили тогда «Инфистрах» и «Ингосстрах», заключившие соглашение о сотрудничестве с Министерством связи РФ в данной области. Научно-исследовательскую часть взял на себя Всероссийский научно-исследовательский институт проблем вычислительной техники и информатизации. Однако в качестве точки отсчета правильнее указать 9 сентября 2000 г., когда Президент

РФ утвердил «Доктрину информационной безопасности РФ». Согласно данной доктрине экономические методы противодействия угрозам информационной безопасности предусматривают создание системы страхования информационных рисков физических и юридических лиц, обеспечивающей компенсацию ущерба в случае реализации угрозы.

После этого многие страховые компании приобрели лицензии на ведение деятельности в данной сфере, и начал формироваться российский рынок информационного страхования. Полис информационного страхования позволяет покрывать риски, связанные практически с любыми программно-аппаратными системами, предназначенными для сбора, передачи, хранения и обработки информации. К таковым относят системы электронного документооборота, управления ресурсами и производством, веб-сервисы, биллинговые системы, удостоверяющие сертификационные центры, и т.п. Наибольший спрос на данный продукт отмечался к началу 2000-х годов, что сопровождалось значительными размерами прибылей страховых компаний [2].

Однако вот уже более 10 лет наблюдается некоторое затишье, которое изредка прерывается крупными сделками, и такая ситуация наблюдается не только на российском, но и на мировом рынке. Однако западное страхование информационных рисков развивается все же активнее вследствие более высокого уровня развития электронной коммерции.

В современных условиях страховые услуги в ИТ-сфере предоставляют такие страховые компании, как «Ингосстрах», «РОСНО», «ГУТА-Страхование» и другие. В большинстве случаев они предлагают два вида наиболее востребованных услуг: страхование электронных устройств (EEI) и страхование информационных активов от преступлений в ИТ-сфере.

Среди основных предпосылок создания системы страхования информационных рисков в настоящее время можно отметить следующее:

■ интенсивное развитие информационного рынка в РФ;

■ актуальность вопроса защиты информационных систем как для государственных, так и для коммерческих организаций;

■ существование реальных угроз потери информации вследствие увеличения информационных «взломов» и воздействия вирусных программ;

■ необходимость распределения ответственности по хранению и распространению информации между разработчиками, собственниками и пользователями информационных систем.

Таким образом, основными целями создания системы страхования информационных рисков являются следующие:

<д|Ь>

■ формирование механизма компенсации финансовых потерь собственникам, владельцам и пользователям информационных систем, ресурсов и технологий вследствие кражи, утраты, изменения или блокирования информации в результате компьютерных преступлений, несанкционированного действия третьих лиц, мошенничества, а также отказов, сбоев и ошибок, возникающих в технических и программных средствах вычислительной техники и др. причин;

■ аккумулирование финансовых средств за счет страховых взносов участников системы страхования и их инвестирование в сферу связи и информатизации с целью формирования и осуществления эффективной научно-технической и промышленной политики, содействия интенсивному развитию рынка информационных ресурсов, систем и технологий;

■ финансирование мероприятий по защите информации из фонда превентивных мероприятий страховых компаний с целью минимизации рисков утраты или изменения информации и уменьшения страхового возмещения [1].

Хотелось бы указать на то, что Всероссийский НИИ проблем вычислительной техники и информатизации в течение 1996-2001 гг. проводил комплекс научно-исследовательских работ по анализу проблемы страхования в области связи и информатизации, исследованию отечественного и зарубежного рынков страхования информационных систем, ресурсов и технологий, сетей и объектов связи, разработке правовой, нормативно-методической и организационной базы системы страхования информационных рисков.

Итогом выполнения научно-исследовательских работ стали проекты ряда концептуальных, нормативных и методических документов по системе страхования информационных рисков, например: «Концепция страхования информационных рисков»; «Правила страхования (информационных рисков) информационных систем, информационных ресурсов, технических и программных средств вычислительной техники и оргтехники предприятий, организаций, учреждений и граждан»; «Методики оценки стоимости ИС, ресурсов, программных и технических средств вычислительной техники, как объектов страхования»; «Положения и инструкции о проведении экспертизы ИС, технологий, программных ресурсов, технических и программных средств вычислительной техники при заключении договора страхования и при возникновении страхового случая» и многое др.

Как утверждают эксперты, механическая и программная защита информации и баз данных имеет определенный верхний предел, который обуславливается свойствами установленного оборудования и спецификой применяемых технологий. Поэтому естественным дополнением к техническим способам защиты могут быть программы страхования «информационных рисков».

В настоящее время на российском рынке появилось несколько страховых продуктов, аналогичных западным образцам. Один из них базируется на западной программе Computer Crime и защищает от электронных и компьютерных преступлений. Страховой продукт, аналог Net Secure. обеспечивает возмещение ущерба в случае нежелательного доступа к содержимому сайта и кражи данных, гибели электронного оборудования, внесения вирусов, нелояльности персонала, нарушения конфиденциальности данных.

Самым развитым сегментом этого рынка является страхование от электронных и компьютерных преступлений, предусматривающее возмещение убытков, понесенных вследствие:

■ несанкционированного ввода данных или их изменения;

■ введения в компьютерную систему мошеннически подготовленных или модифицированных команд;

■ повреждения, уничтожения или перехвата информации;

■ блокирования доступа к данным и к Web-сайту;

■ воздействия компьютерных вирусов.

В данном случае объектом страхования являются имущественные интересы, связанные с владением, пользованием и распоряжением информацией, находящейся на электронных носителях. При этом данный страховой продукт наиболее часто выступает как сопутствующий в пакете комплексного страхования банков (ВВВ), хотя появляются и аналогичные продукты, рассчитанные на другие организации. Важной отличительной особенностью этого вида страхования является возможность застраховать риски только самого страхователя и только в его пользу, т.е. в страховании от компьютерных и электронных преступлений неприменимы понятия «застрахованное лицо» и «выгодоприобретатель» [3].

Обращает на себя внимание почти полное отсутствие предложения для физических лиц и малого предпринимательства. В процессе подготовки данного материала из такового нам встретилась только работа компании «ГУТА-Страхование» по защите пластиковых карт. Страховая сумма выплачивается в случае утери, размагничивания, поврежде-

<д|Ь>

МФЮА

ния, кражи карты и несанкционированного доступа. Но в целом сейчас информационное страхование является привилегией корпоративного сектора, и нет надежды на скорое улучшение ситуации, что опять-таки соответствует зарубежной практике, где число компаний, занимающихся информационным страхованием, очень невелико. Это объясняется мизерными по сравнению с корпоративными заказами страховыми взносами - ежегодно 3-5% от страховой суммы, которая обычно составляет не менее 500 тыс. долл. Страхование электронной техники обходится в 0,5-3% стоимости оборудования. Также сюда необходимо добавить и расходы на проведение предстраховой независимой экспертизы. Страховщики охотнее будут брать на страхование большие развитые компании нежели маленькие с неустойчивой позицией на рынке. Это показывает мировая практика развития других финансовых начинаний.

Клиенты страховщиков обычно не распространяются о сделке, чтобы не привлекать внимания киберпреступников. Но встречаются случаи использования договора информационного страхования в качестве рекламного хода, как это было с Faktura.Ru. Страховая сумма, которую указали в договоре, сравнительно невелика (в среднем -5-7 млн долл.), а о какой-либо конфиденциальности страхования речи не идет совсем. Наоборот, в Интернете доступно множество копий сюрвей рипорта и составленного на его основе пресс-релиза оценочной компании, удостоверяющей надежность системы документооборота. А такая популярность может вызвать у немалого числа сетевых пользователей желание проверить правильность экспертного заключения. Эта компания раньше не подвергалась атакам хакеров, вирусов, как и другие клиенты «Ингосстраха», следовательно, такую сделку нельзя считать остро необходимой [3].

Следует отметить, что договор информационного страхования не покрывает риски, связанные:

■ с ущербом, причиненным сотрудником или лицами, находящимися в сговоре со страхователем;

■ с получением доступа третьих лиц к конфиденциальной информации;

■ с использованием нелицензионных компьютерных программ.

В случае наступления страхового случая выплачивается компенсация средств, необходимых для восстановления поврежденной или утраченной информации, и убытков, вызванных вынужденным прекра-

щением рабочей деятельности. Могут учитываться также расходы на приобретение новых электронных устройств или их составных частей, включая затраты на доставку, монтаж и наладку.

Кроме того, не следует забывать, что в современных условиях ведения бизнеса репутация любой компании в огромной степени зависит от защищенности и стабильности ИС. Особенно ярко это заметно в деятельности российских компаний, где достаточно малейшего информационного сбоя, чтобы свести на нет зарабатываемое годами доверие клиентов. Следствием такой реакции можно считать возрастающее нежелание банков оглашать свои потери от действий хакеров. Это и понятно, ведь косвенные убытки из-за оттока клиентов могут причинить гораздо больший ущерб, нежели стоимость самих утерянных информационных активов. Никакая страховая сумма не учитывает убытков, связанных с утратой положительного имиджа компании.

При заключении договора страховая компания вправе потребовать проведения превентивных мероприятий до заключения договора или в течение определенного срока, указанного в нем. Невыполнение клиентом каких-либо указаний обычно влечет за собой досрочное прекращение действия договора. Например, предприятиям электронной коммерции могут быть предложены следующие средства защиты: резервное копирование информации, использование антивирусных программ, технологий шифрования данных, систем аутентификации (введение электронной цифровой подписи для проверки авторства и подлинности документа), межсетевых экранов (брандмауэров); фильтрация трафика, поступающего в сеть или на сервер, и т.д.

Конечно, будет проверяться и выполнение обычных мер предосторожности, направленных на уменьшение степени риска: проведение соответствующего технического обслуживания, соблюдение правил противопожарной безопасности, использование требуемых техническими и технологическими условиями систем кондиционирования воздуха и т.п. Кроме того, в страховой договор может быть включен перечень стандартных правил, обеспечивающих безопасность электронных бизнес-процессов.

Впрочем, нельзя исключать возможность государственного регулирования в проведении страхования информационных рисков. Такое вмешательство должно поспособствовать развитию этого вида страхования и привлечению новых клиентов, например, торгово-сервисных Интернет-компаний, упорно не понимающих грозящей им вирусно-

<glb>

хакерской напасти. Сдерживающие факторы страховщиков - это отсутствие четко проработанных законодательных моментов и статистики для корректного расчета тарифов, а также непрозрачность отечественного бизнеса, затрудняющая оценку возможного ущерба страхуемых компаний.

В целом следует отметить, что развитие информационного страхования практически полностью зависит от развития общей бизнес-культуры в РФ, которое наблюдается не только в словесной поддержке государством крупного бизнеса, но и в повышении значимости ИТ-отрасли в целом. И в настоящее время, несмотря на существующие трудности и высокие риски, все больше появляется Интернет-магазинов и проводят расчеты электронные платежные системы, в офлайне предприятия одно за другим устанавливают ERP, CRM и прочие управленческие системы, что позволяет большинству экспертов оптимистично смотреть в будущее и надеяться на дальнейшее развитие информационного страхования как перспективного механизма защиты ИС и электронного сектора экономики в целом.

ЛИТЕРАТУРА

1. Брызгалов Д., Цыганов А. Страхование электронных рисков // Директор-Инфо, 2002. № 47.

2. Косарев А.В. Страхование информационных рисков. - М., 2010.

3. Кудрявцев О.А. Страхование информационных рисков // РискИн-фоСервис, 2006. № 6.

О.Н. Суслякова,

канд. экон. наук, доцент,

Финансовый университет при Правительстве РФ E-mail: finans-11@mail.ru

Н.С. Сергиенко,

канд. экон. наук, доцент,

Финансовый университет при Правительстве РФ E-mail: nssergienko@mail.ru