|
|
Прямая речь Полный список материаловТехнологии, Новые страховые поля, Новый страховой продукт, За рубежом, Страхование ответственности, Киберугрозы, киберриски и киберстрахование, Банкострахование
Все возрастающее проникновение цифровых технологий в повседневную жизнь ставит перед страховым сообществом, экспертами и предпринимателями во всем мире большое количество вопросов. Единообразное понимание таких категорий, как киберриск (событие, случай), киберугроза, киберинцидент (происшествие, правонарушение, преступление) и т.д. в различных языках и культурных средах с трудом поддается кодификации. Существующие стандарты (в широком смысле - как образец, эталон, модель) слабо описывают смыслы процессов и действий, связанных с такими категориями. Например, стандарты риск-менеджмента FERMA, COSO и ISO 31000, используемые в Российской Федерации при создании федеральной целевой программы «Электронная Россия» и правительственной целевой программы «Цифровая экономика Российской Федерации», были разработаны совместно с институтом риск-менеджмента в Великобритании (The Institute of Risk Management). Этот институт дает следующее определение киберриску: «риск, связанный с цифровыми технологиями, цифровыми устройствами и цифровой средой». Но сейчас это расширенное толкование относится, по сути, уже ко всему окружающему миру. В 2020 году уже даже в быту IoT (Internet of things) встречается повсюду, а аналоговые и механические устройства, технологии и среда, становятся, скорее, исключением и диковинкой, типа дверных замков или штопора. Хотя подслушивающие утюги - это, конечно, перебор (Минпромторг). Основная же задача стандартов цифровой экономики заключается в достижении согласия по используемым определениям и внесение этих подробных определений в нормативно-правовые документы всех уровней. От законов и кодексов на государственном и международном уровнях, до регламентов и инструкций на самом простом управленческом уровне экономической единицы. Условно, вопросы страхования киберрисков, исключая собственно, маржинальность и экономику такого страхования, можно разделить на следующие две группы: юридические и технические/технологические. Рассмотрим их по порядку.
Юридические вопросы 28 глава УК РФ «Преступления в сфере компьютерной информации» содержит три статьи 272, 273, и 274, которые описывают уголовно-наказуемые деяния, связанные с накоплением, обработкой и использованием цифровых данных. По мнению экспертов, эта глава УК устарела еще в 2010 году. При простом анализе состоявшихся масштабных киберпроисшествий за последние четыре года (2017-2020), УК РФ не дает ответов на вопросы:
Так как информация в цифровом выражении стала иметь собственную добавленную стоимость, то осмысления и доработки требуют также и статьи уголовного кодекса 158 «кража», 159 «мошенничество» и 163 «вымогательство». А влияние информационных ресурсов на стратегию государственного управления целыми отраслями и принятие политических решений требует нового определения понятий «кибертерроризм», «кибердиверсия» и «кибервойна». Согласно отчету, опубликованному Генпрокуратурой, в 2017 году число преступлений в сфере информационно-телекоммуникационных технологий увеличилось на 37% по сравнению с 2016 (с 65 949 в году до 90 587) и с этого времени растет по экспоненте. При этом доля таких преступлений от числа всех зарегистрированных в России сейчас составляет 9,4%, т.е. это почти каждое десятое преступление. Избегая излишнего алармизма и призывов к избыточным наказаниям для прогрессивных исследователей цифрового пространства, особенно несовершеннолетних, не мешало бы подумать и о смягчении подходов в кодификации понятий «киберхулиганство», «кибервандализм», «киберхалатность». Международная практика рассмотрения юридических вопросов описана в докладе Организации экономического сотрудничества и развития (ОЭСР) «Повышение роли страхования в управлении киберрисками» (2017 год). Киберриск был указан как риск наибольшей озабоченности предпринимателей в более чем трети стран-участников ОЭСР в «Глобальном докладе о рисках Всемирного экономического форума за 2017 год» и среди пяти рисков, вызывающих наибольшую обеспокоенность в половине стран-участников ОЭСР. То есть обеспокоенность киберрисками даже выше, чем рисками террористических актов или стихийных бедствий. При этом хочется отметить, что характер киберпроисшествий и реакция на них изменяются с каждым годом (а с 2017 года уже прошло определённое время) и не могут быть спрогнозированы. Например, рассмотренные в докладе «киберураганы» – атаки на Yahoo и Equifax, атаки «Dyn», «WannaCry» и «NotPetya» – имеют различный характер и последствия. Однако, уже в июле 2018 года в Европейском Союзе вступил в силу регламент GDPR II (General Data Protection Regulation II), определяющий обширные требования к накоплению, обработке и использованию цифровых данных. Не отстают от ЕС и Австралия, Канада и Япония. Свои требования к цифровой среде также сформулировали уже 46 из 52 штатов США и закрепили это в своих законах. Девять российских страховщиков осенью 2019 - зимой 2020 года выступили с заявлениями о выпуске правил и продуктов по киберрискам. Часть таких правил является простой калькой с западных решений (чаще всего – правил и условий страхования Allianz или AIG). С учетом неприменимых у нас юридических норм, таких как:
Эти кальки вряд ли будут в достаточно степени востребованы отечественным корпоративным страхователем. Другие страховщики создали компиляции, в которых отчётливо видны пожелания материнских банков продавать модную «киберобложку» для карточных продуктов банка, которая будет идти вместе с кредиткой (страхование от неправомерного списания в результате фишинга/скимминга). Большое внимание уделено стандарту PCI DSS в части ответственности перед платежными системами. В большинство правил включена нарезка из имущественных видов страхования, финансовых рисков и страхования ответственности, которая ограничена большим количеством исключений и сложно интерпретируемых терминов. Страхователю разобраться в том, что же все-таки застраховано практически невозможно. Судебное разбирательство, в случае спора о страховом возмещении, имеет непрогнозируемый результат. Резюмируя, можно смело утверждать, что юридические вопросы страхования киберпроисшествий в России требуют дополнительного изучения страховщиками и приведения правил/условий страхования в соответствие с действующим законодательством. А это требует временных и трудовых затрат. В сентябре 2020 года Российский антитеррористический страховой пул (РАТСП) начал кодификацию всего раздела киберпреступлений с определения и дополнения в пуловое соглашение риска «кибертерроризм» как предмета деятельности пула. Для этого экспертами были потрачены сотни часов на изучение законов (149-ФЗ; № 35-ФЗ; № 374-ФЗ; № 375-ФЗ; № 115-ФЗ; № 152-ФЗ; № 187-ФЗ; № 4015-1-ФЗ; № 390-ФЗ), указов президента и постановлений правительства, а также национальных стандартов, разработанных техническим комитетом Сколково. Результатом проделанной работы стала кодификация терминов с приставкой «кибер»: происшествие, риск, событие, страховой случай, война, терроризм, диверсия и т.д. Таким образом, первый шаг в сторону наведения порядка и единообразия был сделан.
Технические и технологические вопросы Требование отечественных законодателей переводить критическую информационную инфраструктуру (КИИ) на отечественный софт и железо, а также нежелание коммерческого страхователя допускать сторонние организации к анализу киберуязвимостей ставит перед страховщиками массу технических и технологических вопросов:
2020-й ознаменовался появлением большого количества зарубежных стартапов по страхованию киберрисков, предлагающих простые технологические решения предстрахового анализа киберуязвимостей клиента, стандарты покрытия в соответствии с национальными законодательствами. Хочется отметить кратный рост доли «non damage business interruption» в общем объеме покрытия перерыва в производстве в связи с киберпроисшествием. Вот, например, из последних новостей: компания Parametrix insurance (Tokio Marine Kiln, Lloyd’s) предложила первое коробочное страховое покрытие перерыва в производстве для МСБ на случай сбоев или остановки IT-систем (01.10.2020). Без установления причин – браво! По мнению разработчиков этого продукта, современный бизнес переходит к управлению большинством своих критических IT-операций с помощью сторонних поставщиков, что повышает уязвимость. А американский стартап Coalition уже два квартала предлагает решения по внешнему desktop сюрвею и страхованию на основании такого анализа. Без доступа внутрь IT-системы страхователя! В продуктовой линейке Coalition есть и продукт Tech E&O – страхование ответственности разработчиков IT-сервисов за ошибки и допущения киберуязвимости, приводящие к потерям/простоям и требованиям клиентов. На фоне появления таких продуктов простой вопрос российским страховщикам: «Почему не заметен рост киберстрахования в РФ, а такие полисы, скорее, экзотика?» удручает ответами. В большинстве случаев, причины сводятся к тому, что клиент не хочет допускать к анализу своих IT-систем, иногда даже из-за наличия сомнительного/контрафактного ПО. Стоимость киберсюрвея превышает размер вероятного возмещения от страховщика, а требования к ИБ технологически невыполнимы и очень лабильны. Возникают опасения нелояльности и критических ошибок сюрвейеров и остановки IT-поддержки клиента, которая «и так работает», которые превышают оценку риска киберпроисшествия. Технологическая незрелость криптографического шифрования, как метода ИБ, ограничена разрешительными действиями ФСБ. Отсутствует перестраховочная ёмкость и невозможно прогнозировать киберураган (кумуляцию). Аппетиты расследователей киберпроисшествий (forensic-ов) завышены, а их решения не индивидуализированы и продаются многократно. О сколько-нибудь внятном развитии киберстрахования на среднесрочную перспективу 3-5 лет в России говорить затруднительно. Актуальных несложных продуктов просто нет. Развитие страховых продуктов в техническом/технологическом смысле должно базироваться на простых конструкциях, которые регулярно пересматриваются и обновляются с учётом IT – прогресса, развития ИИ, изменения структуры добавленной стоимости в связи с цифровизацией бизнеса, изменения парка IT-оборудования, действия регуляторов по суверенизации данных. Юный задор цифровой трансформации бизнеса в России с одной стороны, и недостаточная технологическая самостоятельность с другой множат вероятности киберпроисшествий и предполагают рост тяжести их последствий. Хочется спросить отечественных страховщиков – на каких страховых продуктах они готовы сконцентрировать свое внимание? Заявленные перспективы роста сектора киберстрахования в России пока не подтверждаются инвестициями страховщиков даже в разработку базовых страховых продуктов. 24 февраля 2021 г. Смотрите другие материалы по этой тематике: Технологии, Новые страховые поля, Новый страховой продукт, За рубежом, Страхование ответственности, Киберугрозы, киберриски и киберстрахование, Банкострахование
|
|||||||||||||||||||||||||||||||||
© 2003–2024 ЗАО Медиа-Информационная Группа «Страхование сегодня» (МИГ). Мы используем файлы cookie для предоставления функций социальных сетей и анализа нашего трафика. Продолжая пользоваться данным сайтом, Вы соглашаетесь с использованием файлов cookie и Политикой конфиденциальности. Смотрите подробности. We use cookies to provide social media features and analyze our traffic. By continuing to use this site, you agree to the use of cookies and the Privacy Policy. See details. |