По факту, кибератаки — одна из тех угроз, которые российские предприниматели и банкиры год за годом игнорируют, чем ставят в тупик мировых отраслевых экспертов. Так, согласно данным экспертного опроса, проведенного The Wall Street Journal в 2017 году, прослеживается четкая тенденция: за каждой крупной кибер­атакой следует всплеск интереса к продуктам страховщиков. Такова ситуация в мире, но не в России.

Рост угроз

Между тем, если верить статистике, защита от киберрисков — вопрос, который актуален сейчас едва ли не для каждого россиянина, и уж точно — для каждого участника рынка финансовых транзакций: будь то пенсионеры с картой «Мир», индивидуальные предприниматели, публичные компании или финансовые структуры. Так, заместитель директора Национального координационного центра по компьютерным инцидентам (НКЦКИ) Николай Мурашов недавно сообщил, что в 2018 году было совершено более 4,3 млрд кибератак на критически важную информационную инфраструктуру России. Из них 17 тыс. эксперт оценил как «наиболее опасные». Общее же количество инцидентов, по его оценкам, почти вдвое выше, чем было зафиксировано по 2017 году (2,4 млрд и 12 тыс соответственно). Подобный всплеск в НКЦИ объясняют проведением в нашей стране Чемпионата мира по футболу.

При этом, по данным международной страховой группы Allianz, Россия вовсе не находится в списке приоритетов для киберпреступников. Около 90% всего объема киберрисков приходится на США, причем хакеры испытывают на прочность различные сектора экономики. В первую очередь это финансовые институты и промышленность (по 14%), сфера услуг и рынок коммуникаций (по 12%), ретейл (9%), считают в Allianz.

Ситуация в России несколько иная. Именно для отечественных банков минимизация подобных рисков представляет особый интерес, поскольку, по статистике, на них направлено наибольшее число крупнейших кибератак. Почти столь же часто внимание киберпреступников привлекают разве что российские операторы сотовой связи — мошенники в основном взламывают базы данных и сообщений. Для финансовых учреждений прорыв периметра зачастую оборачивается кражей средств со счетов или из банкоматов. Так, среди основных инцидентов последних лет в России специалисты MAINS INSURANCE STRATEGIES в своем докладе, охватывающем период до 2018 года, выделяют вирусную атаку на банкоматы (декабрь 2016 года) и масштабную атаку на тoп-10 российских банков (июль 2015 года).

По другим данным, еще ранее (в декабре 2014 года) Сбербанк лишился 1,3 трлн рублей всего за неделю, а это ни много ни мало 300 тонн наличности!

Эксперты отмечают, что основными последствиями взлома и утечки данных являются репутационные риски, отток клиентов, а значит, финансовые потери компании и ее акционеров

В целом, прямые потери российских юридических лиц от кибератак в 2017 году составители доклада оценивают в 116 млрд рублей. По данным компании «Альфа Страхование», за рассмотренный период в России были зафиксированы атаки на 46% малых предприятий и 62% крупных, при этом 22% общего числа атакованных, в том числе 39% крупных компании, «понесли реальные финансовые потери».

В то же время в страховой группе Allianz подсчитали, что ущерб, нанесенный экономике нашей страны киберпреступниками, уже в 2015 году составил 203,3 млрд рублей.

Расхождения в оценках рисков — гигантские. Если ориентироваться на данные группы Allianz, вероятнее всего, реальная статистика за последующие годы выглядит куда страшнее, чем выкладки отечественных экспертов. Российские компании и банки просто не готовы предоставлять общественности информацию о реальном положении дел, считают эксперты. Тем не менее из имеющихся отрывочных данных видно, что проблемы действительно усугуб­ляются.

Удвоение проблемы

«Количество кибератак растет, за последний год число DDoS-атак только на финансовые учреждения выросло почти вдвое, — озвучил «Б.О» официальную статистику по сектору Владимир Новиков, директор по рискам

СК «Сбербанк страхование». — По данным ФинЦЕРТ, в первом полугодии 2017 года было зафиксировано 39 целевых атак на финансово-кредитные организации, а за аналогичный период 2018 года — 72».

Отдельные банки все же делятся информацией, но она далеко не полная. Так, судя по публичным данным, один только Сбербанк в 2016 году отразил 74 серьезных попытки взлома, в 2017-м — 48 серьезных DDoS-атак, с января по май 2018 года было 33 инцидента, а за период с 1 по 16 января 2019 года в банке уже зафиксировано 18 мощных атак, сообщил зампред правления Сбербанка Станислав Кузнецов в кулуарах Гайдаровского форума. По его словам, кроме традиционных кибератак преступники в прошлом году «начали рассылать вирусы с применением элементов искусственного интеллекта», нацеленные непосредственно на банки. Поскольку они «переходят в спящий режим», антивирусы не в состоянии сразу обнаружить их и нейтрализовать, прокомментировал ситуацию Станислав Кузнецов.

Почему предприятия и банки скрывают реальные масштабы проблем, понятно. Эксперты Allianz отмечают, что основными последствиями взлома и утечки данных являются репутационные риски, отток клиентов, а значит, финансовые потери компании и ее акционеров. Судя по выводам доклада «Альфа Страхование», ситуации в мире и в России в этом вопросе идентичны. В профиле рисков, построенном российским страховщиком, среди наиболее тяжелых последствий отмечаются такие, как перерыв в деятельности, утрата данных и программного обеспечения, кража денег, нарушение конфиденциальности и ущерб репутации.

В стадии рассмотрения…

Сказать, что российские банкиры не задумываются о таком решении, как страхование киберрисков, значит погрешить против истины.

Дмитрий Стуров, исполнительный директор, начальник управления информационной безопасности «Ренессанс Кредит», сообщил «Б.О»: «Мы рассматривали данную возможность, но к непосредственному использованию продукта пока еще не перешли». Примерно в том же ключе высказался и Евгений Артюхин, начальник отдела информационной безопасности УРМ Банка Оранжевый.

«На сегодняшний день SBI Bank не принимал решений о передаче киберрисков другим лицам, в том числе об их страховании. Политика Банка в отношении киберрисков направлена на обеспечение такого уровня защищенности от киберугроз, который позволит максимально снизить риск их реализации. Однако в рамках процесса управления рисками информационной безопасности SBI Bank рассматривает такой инструмент передачи риска, как страхование, — подтвердил «Б.О» Андрей Карякин, председатель правления SBI Bank. — По моему мнению, такой инструмент обработки рисков очень полезен. Это обусловлено неопределенной величиной ущерба от реализации отдельных угроз, что не позволяет произвести количественную оценку. При этом затраты на обеспечение защиты от этих угроз могут быть довольно большими. В случаях, когда точно рассчитать ущерб от реализации угроз невозможно, а расходы на защиту могут достигать миллионов рублей, целесообразно рассмотреть вопрос передачи такого риска страховой компании».

Страхователи — в раздумьях

Судя по опросу «Б.О», специалисты банков внимательно следят за предложениями страховщиков. Финансовому рынку необходимы программы страхования киберрисков, считает Евгений Артюхин, по мнению которого: «Далеко не у всех компаний (даже при желании) достаточно ресурсов, как технических, так и финансовых, для самостоятельного внедрения дорогостоящих средств защиты информации от кибератак».

«Зрелый рынок данных предложений необходим, — согласился с коллегой Дмитрий Стуров. — Любая, даже сверхзащищенная, система не может дать 100%-ной гарантии того, что инцидент не произойдет, мы можем говорить только о неком уровне риска и стремиться его снизить. После внедрения средств защиты риск снижается, в идеале до приемлемого уровня, и с этим остаточным уровнем риска иногда выгоднее работать при помощи страхования, чем продолжать внедрение сложных и дорогих систем. У руководителей, ответственных за информационную безопасность в организации, должен быть выбор и должен быть такой инструмент».

«Я думаю, что медленное развитие рынка страхования киберрисков связано с тем, что в нашей стране вопрос актуальности киберрисков и ущерба от их реализации получил широкую огласку относительно недавно. Не сформировался должный уровень зрелости процессов управления киберрисками в целом», — дополнил картину Андрей Карякин.

Объясняя, почему инициативы по страхованию рисков не доходят до стадии реализации, специалисты банков говорят о том, что имеющиеся на рынке предложения страховщиков не вполне соответствуют ожиданиям банкиров.

«На мой взгляд, должен быть выстроен некий общий подход к таким продуктам. Страхователь должен быть уверен в том, что не покупает кота в мешке — в случае наступления инцидента ущерб будет адекватно оценен и компенсирован в пределах установленных лимитов ответственности», — пояснил Дмитрий Стуров.

«Постоянно появляются новые разновидности киберугроз, которые еще более сложно предотвращать. Следствием является неготовность страховых компаний выплачивать суммы, эквивалентные ущербу», — добавил Евгений Артюхин.

С точки зрения страховщика

«Востребованность программ страхования киберрисков растет. Но страхование — это компенсация потерь, своего рода “вторая линия защиты”, и без надлежащей первичной защиты банковских учреждений от угроз информационной безопасности, без реально работающей системы управления рисками кибербезопасности нельзя рассчитывать на страхование, — считает Владимир Новиков из компании «Сбербанк Страхование». — Это все равно что страховать склад алкогольной продукции, в котором не запираются двери и отсутствует охрана».

Для работы в сфере страхования киберрисков многолетние «сверхусилия» чиновников и законодателей не нужны, поскольку защита информационной безопасности включает два стандартных вида страхования: имущественное и страхование ответственности перед третьими лицами

С ним солидарен и Дмитрий Стуров: «Страховщик должен здраво оценить риски на предварительном этапе, возможно, потребовать внедрить какие-то первоочередные системы, если риск слишком велик, и выразить величину риска в виде процентной ставки от страховой суммы». Эксперт предложил и «рецепт», позволяющий разрешить данное противоречие: «Во взаимоотношениях страхователь — страховщик могут участвовать некие привлеченные компании, аккредитованные регулятором, которые помогают страховщику оценить риски и также несут ответственность за принятые решения. Именно такая взаимовыгодная система взаимодействий должна стать тем фактором, который сделает страхование киберрисков более распространенным, нежели сейчас».

При этом в России есть конкурентная борьба за клиента в данной сфере среди российских и международных компаний (AIG и Allianz), рынок развивается. «Альфа Страхование», например, предлагает клиентам коробочные решения.

Позиция регулятора

Банковские эксперты сходятся во мнении, что без участия мегарегулятора процесс будет непросто сдвинуть с мертвой точки. Относительно роли Центробанка в текущей ситуации банкиры высказываются по-разному.

По мнению Андрея Карякина, Банк России уже проводит в финансовом секторе большую работу в отношении обработки киберрисков. В то же время, по словам Дмитрия Стурова, «банки ждут четкой позиции регулятора — будет ли страхование обязательным, как оно будет коррелировать с другими требованиями, нормативными документами и подходами».

Пока все эти обстоятельства не прояснятся, отечественные банкиры вряд ли станут в массовом порядке обращаться в страховые компании, тем более что законодательная база весьма шаткая. Ранее предполагалось, что страхование киберрисков для всех субъектов стратегических отраслей станет обязательным уже в 2020 году. Но в конце лета 2018 года стало известно, что в последней версии федерального проекта «Информационная безопасность» (который должен регулировать отношения страхователя и страховщика) прописано иное: страхование киберрисков будет носить добровольный характер. Авторы проекта объясняют резкую смену позиции правительства тем, что оно старается не допустить роста нагрузки на бизнес. Но судя по всему, дело не обошлось без усилий страхового лобби, представители которого вовсе не хотели, чтобы регулятор спускал им тарифы.

Приманка для страхователя

В текущем году уполномоченным министерствам и ведомствам предстоит разработать меры по популяризации такого вида страхования. Кроме того, продолжается обсуждение идеи введения налоговых льгот, но в качестве горизонта рассмотрения запланирован 2021 год.

Андрей Карякин поддерживает введение таких льгот в качестве меры по популяризации страхования киберрисков, но считает, что они сработают лишь «если это будет экономически выгодно страхователям». При этом эксперт полагает, что именно «финансовый сектор может стать драйвером развития рынка страхования киберрисков».

Евгений Артюхин считает, что «льготы помогут страховым компаниям снизить стоимость услуг страхования и тем самым привлечь большее число клиентов».

А представляющий позицию страховщиков Владимир Новиков выразил осторожный оптимизм: «Налоговые льготы могут стать одним из инструментов популяризации данного вида страхования. Однако для начала киберстрахованию надо получить официальный статус, аналогичный имущественному страхованию. Считаю, что должна проводиться комплексная работа на законодательном уровне — на уровне Банка России — по формированию соответствующей нормативной базы. А страховая индустрия должна представить индустриальный стандарт такого страхования. Когда киберстрахование как вид будет законодательно определено, на него можно будет распространить налоговые льготы».

А нужен ли Закон?

В ходе обсуждения темы Игорь Юргенс, президент Всероссийского союза страховщиков, высказался в том смысле, что для работы в данной сфере многолетние «сверхусилия» чиновников и законодателей не нужны, поскольку защита информационной безопасности включает два стандартных вида страхования: имущественное и страхование ответственности перед третьими лицами. «Расходы на имущественное страхование и так в соответствии с Налоговым кодексом относятся на затраты, а не на прибыль, — заявил он «Ъ». — Поэтому, если киберстрахование трактовать в качестве имущественного страхования, то тут уже все сделано. Если смотреть с точки зрения страхования ответственности, то сейчас оно относится на затраты только в том случае, если осуществляется в силу специального Закона и касается только обязательных видов страхования».

Вероятнее всего, в немалой степени «вялое» развитие рынка киберстрахования объясняется особенностями менталитета самих россиян. По данным группы Allianz, 71% западных респондентов заявляют, что перестанут быть клиентами фирмы, в которой произойдет утечка персональных данных. Владимир Кремер, руководитель отдела страхования финансовых рисков компании AIG в России, отметил, что утечка персональных данных, подобная тем, которые в 2018 году случились у Сбербанка или ВТБ, стала бы предметом пристального внимания со стороны регуляторов в развитых странах. Там компаниям приходится тратиться не только на расследование инцидентов, но и на выплаты ущерба третьим лицам — иначе им грозят громкие судебные разбирательства и огромные иски. Расходы таковы, что страховать риски выгодно.

Но даже на Западе объемы рынка киберстрахования несопоставимы с другими секторами. По данным за 2016 год, в США только 29% компаний имели страховку от киберрисков. Российские клиенты куда более инертны, законодательство менее проработано, а судебная власть неповоротлива, что позволяет в течение долгого времени попросту отмахиваться от проблемы.