Банковское обозрение

Финансовая сфера

18.07.2019 Аналитика
Киберстрахи бизнеса

С распространением цифровых услуг ответственность бизнеса за хранение, обработку, использование, контроль за конфиденциальностью персональных данных существенно увеличилась. Ошибки в работе с большими объемами персональных данных оборачиваются огромными штрафами, расходами на восстановление, защиту деловой репутации


Павел Озеров
Заместитель генерального директора Mains Group

Цифровизация экономики не только несет плюсы, но и таит в себе риски, связанные с информационной безопасностью. Уже сегодня Россия является одним из мировых лидеров по числу киберинцидентов, и к этому часто оказываются не готовы ни власть, ни бизнес.

Давление на корпоративные IT-системы будет расти, создавая все новые риски для бизнеса. Согласно данным проекта «Маркетплейс» ЦБ РФ, 56% финансовых организаций включили цифровую трансформацию в стратегию своего бизнеса, 82% ожидают увеличения числа партнерств с финтех-компаниями в ближайшие три — пять лет.

Какие компании страхуют киберриски

В России о комплексном страховании киберрисков первыми задумались крупные финансовые институты. И это неудивительно, ведь именно в финансовой сфере участились случаи вывода активов, электронные и компьютерные преступления.

В 2017 году компания «Страховой брокер Сбербанка» (на 100% принадлежит Сбербанку) объявила о начале продаж продукта страхования от киберугроз. А в 2018 году уже сам Банк провел консультации с крупными российскими страховщиками о собственной защите от киберрисков. В режиме диалога проводила переговоры со страховщиками и Московская биржа.

Неизвестно, были ли тогда заключены договора. Представители Московской биржи отмечали: «Вопрос страхования от киберрисков актуален для всех крупных финансовых организаций. Мы смотрим, что страховщики могут нам предложить».

В нефинансовой сфере активный интерес к страхованию киберрисков начал появляться совсем недавно. Здесь опасения крупных компаний преимущественно связаны с приостановкой основной деятельности в случае выхода из строя IT-системы.

Оценочно, в России на данный момент заключено около 20 договоров страхования. Суммы страхового покрытия могут составлять до 50–100 млн евро. Большинство этих договоров оформлено предприятиями с иностранным участием. В основном это финансовые организации, технологические компании и те, кто обрабатывает большие объемы персональных данных.

Как оценить стоимость рисков

Для оценки стоимости киберрисков страховщики учитывают много факторов. Услуга, в целом, не стандартизирована, сильно варьирует от страны к стране и зависит от законодательной среды.

Сначала страховая компания изучит базовые данные: специфику бизнеса, какие данные компанией хранятся, какие системы безопасности используются при хранении и передаче данных, как обслуживаются бизнес-процессы. В большинстве случае этого будет достаточно, чтобы страховщик дал предварительную оценку стоимости полиса.

В нашей практике были случаи, когда даже лидеры отрасли использовали антивирус и firewall лишь на каждом третьем ПК

У крупного бизнеса и в секторах с высокой чувствительностью к риску страховая может дополнительно попросить заключение ИБ-аудитора. Такой отчет компании обычно готовят для собственных нужд или составляют по запросу страховщика с помощью независимого эксперта. Отчет полезен и самому клиенту, поскольку содержит индикацию уязвимостей и рекомендации по их устранению. В нашей практике были случаи, когда даже лидеры отрасли использовали антивирус и firewall лишь на каждом третьем ПК, недооценивая степень такого риска

На базе отчета страховая компания примет для себя несколько важных решений: брать ли такой риск на страхование в принципе, если брать, то насколько киберугроза вероятна и какова стоимость риска. Нужно сказать, что превентивные меры, используемые компанией, напрямую повлияют на стоимость страхования.

Многие российские компании страховому полису предпочитают инвестиции в IT-системы для повышения безопасности. Важно понимать, что достаточность системы безопасности можно определить только посредством аудита, который нужно периодически проводить. Вместе с тем любые превентивные меры снижают вероятность взлома, но не борются с последствиями. Этот функционал выполняет страховой продукт.

При страховании киберрисков в основном речь идет о передаче страховщикам рисков, связанных с защитой в суде, восстановлением репутации, восстановлением утраченных данных, с ущербом, причиненным третьими лицами, а также с рисками в результате перерывов в производстве. Среди киберрисков, которые клиенты пока недооценивают, — вывод из строя оборудования в результате хакерских атак, организация взрывов, пожаров, ложное срабатывание сигнализации в результате взлома и нарушения систем безопасности через внешний доступ.

Рынок страхования киберрисков мог бы расти и быстрее — потенциальный спрос достаточно велик. По оценкам PwC, одна треть американских компаний уже приобрела такие страховки, к 2020 году этот рынок достигнет 7,5 млрд долларов. В России за последние два-три года число запросов на такие или связанные частично с кибербезопасностью страховые услуги возросло примерно на треть. По самым смелым прогнозам, в течение пяти — семи лет страховать киберриски станут большинство крупных российских компаний. Как у бизнеса сейчас не возникает сомнений в том, что нужно страховать здания и автомобили, так и страхование киберрисков станет обычной нормой делового оборота.

Сдерживающим фактором для развития этого вида страхования являются неготовность компаний допускать страховщиков к оценке своей IT-инфраструктуры, позиция управляющего состава компаний, руководствующегося краткосрочными финансовыми целями, а также недостаточная емкость российского рынка страхования от киберрисков.




Сейчас на главной