Пресса

Зарубежная практика страхования от компьютерных преступлений

Национальный банковский журнал, 2 августа 2008 г.

Виртуальная прививка

Почему банки не страхуются от компьютерных мошенников

2666 просмотров

Банковская киберпреступность появилась относительно недавно, но для того чтобы написать ее хронологию, сегодня потребуются целые тома. Пожалуй, первый случай электронного ограбления был зафиксирован в 1967 году, когда сотрудник одной ньюйоркской кредитной организации перепрограммировал банковский компьютер таким образом, чтобы он «округлял» проценты по долгосрочным вкладам, перечисляя остаток на его счет. Поскольку клиентов в банке было немало, то первому в мире кибермошеннику через несколько лет удалось скопить немалую сумму свыше $200 тыс.

Электронные кражи со взломом

Еще одно из ранних компьютерных преступлений произошло в калифорнийском банке Pacific National Bank, консультанту которого Марку Рифкину для того, чтобы стащить $10,2 млн, потребовался номер кода, вымышленное имя и один телефонный звонок. Преступление удалось раскрыть случайно преступника подвел длинный язык. Любопытно, что служба безопасности банка не была в курсе пропажи миллионов до тех пор, пока ей об этом не сообщило ФБР.

По данным ежегодного опроса, проведенного в 2007 году американским Институтом компьютерной безопасности (Computer Security Institute) среди 494 специалистов, работающих в университетах, корпорациях, финансовых и кредитных институтах страны, выяснилось, что за прошедший год 46% опрошенных юридических лиц пострадали от различных инцидентов, связанных с нарушениями электронной безопасности. Причем 18% из пострадавших организаций заявили о том, что они подверглись целенаправленным электронным атакам. Первое место по сумме потерь заняло финансовое мошенничество, причинившее ущерб в размере $21,1 млн, на втором месте атаки «вирусов» и «червяков» - $8,4 млн, на третьем - проникновение в корпоративную электронную систему аутсайдеров - $6,9 млн. Каждая из пострадавших организаций в прошлом году в среднем понесла потери на сумму $345 тыс., в то время как в 2006 году эта цифра была более чем в два раза меньше - $167,7 тыс.

В связи с ростом такого рода преступлений в США еще в начале 80-х годов прошлого века был разработан полис страхования банков от электронных и компьютерных преступлений (ECCP - Electronic & Computer Crime Policy). Этот вид страхования является дополнением к комплексному имущественному страхованию банков (BBB Bankers Blanket Bond). Полис ECCP не обеспечивает покрытия по убыткам, связанным с мошенническими действиями сотрудников банка-страхователя, поскольку они покрываются по полису BBB. Однако страховка от электронных преступлений применяется, если убыток связан с компьютерными и электронными сетями страхователя и скорее всего вызван преднамеренными действиями его сотрудника, который не может быть идентифицирован.

Полис ECCP покрывает убытки банка от несанкционированного ввода электронных данных в компьютерную систему (то есть от ее взлома), порчи и изменения уже хранящихся и используемых в системе банка данных. Вместе с тем, страхуется и ответственность банка за убытки его клиентов в результате взлома их компьютеров из компьютерной системы банка; ущерб в результате взлома используемых в банке компьютерных программ. Плюс компенсируются потери от кражи, порчи и уничтожения электронных данных и их носителей в результате умышленных действий, а также убытки, явившиеся результатом воздействия компьютерного вируса. Подлежит возмещению и ущерб от совершения операций на основании мошеннических инструкций, полученных по используемым системам электронной связи; от операций с бездокументарными ценными бумагами; от принятых к исполнению поддельных факсимильных поручений или инструкций.

Российские хакеры атакуют банки

Первое преступление в киберпространстве теперь уже бывшего СССР было совершено еще в 1979 году в Вильнюсе. Ущерб государству от хищения составил 78,5 тыс. руб. Этот факт в свое время попал в международный реестр электронных правонарушений. Тогда на эти деньги можно было купить полтора десятка автомобилей «Жигули».

Первым банковским киберкриминалом, произошедшим на территории РФ, принято считать махинацию 1991 года, когда со счетов одной из крупнейших кредитных организаций были переведены суммы в размере $125 тыс.

В марте 1995 года в Лондоне был арестован гражданин РФ Владимир Левин. Служба безопасности крупнейшего американского Citibank обвинила россиянина в том, что в июне-октябре 1994 года он взломал центральный сервер банка и попытался украсть со счетов клиентов более $12 млн. При этом несколько сот тысяч похищенных «баксов» так и не удалось найти.

В 2006 году в Москве и Санкт-Петербурге правоохранительные органы провели масштабную операцию по задержанию международной группы хакеров, укравших с банковских счетов во Франции около 1 млн евро. В результате деятельности «хакерского интернационала» пострадали несколько предприятий и граждан этой страны. Среди киберворов оказались десять выходцев из РФ и Украины, распространявших через интернет на первый взгляд вполне безобидные письма. Но вместе с ними в компьютер проникали и специально разработанные программы-вирусы, похищавшие пароли к банковским счетам их получателя.

В апреле 2008 года группу российских хакеров обвинили в хищении крупной суммы с банковских карт клиентов Альфа-банка. На момент возбуждения уголовного дела речь шла о сумме более 12 млн руб. Об этом газете «Время новостей» заявил старший следователь по особо важным делам Следственного комитета при МВД РФ Игорь Яковлев. По словам следователя, когда этот факт выяснился, банк сразу же возместил клиентам деньги.

Как свидетельствует статистика МВД РФ, количество зарегистрированных в нашей стране компьютерных преступлений в 2003 году превысило 11 тыс. случаев, а в 2006 году эта цифра выросла до 14 тыс. случаев. Правда, как недавно сообщил начальник бюро специальных технических мероприятий МВД РФ, генерал-полковник Борис Мирошников, число киберпреступлений в России в 2007 году сократилось до 12 тыс. случаев, то есть на 14,3% (этот спад он объясняет статистической погрешностью). Из них почти треть подпадают под 272 статью УК РФ, предусматривающую ответственность за неправомерный доступ к компьютерной информации.

Таким образом, киберпреступность является вполне реальной опасностью, с которой приходиться считаться не только зарубежным, но и российским банкирам. Однако отечественный рынок страхования банков от электронных и компьютерных преступлений хотя и развивается, но довольно скромными темпами. Как считает генеральный директор компании «АФМ Страховые консультанты и брокеры» Андрей Домбровский, главная причина - незаинтересованность банков нести расходы по этому достаточно дорогому виду страхования. По его подсчетам, на российском рынке сегодня заключено не более 50 договоров.

Акцент

Банку в полисе ECCP будет отказано, если он не примет никаких мер для защиты от электронных преступлений либо принятые им меры страховщик сочтет явно недостаточными.

А вот по оценке начальника Управления страхования финансовых институтов ОСАО «Ингосстрах» Алексея Кудрина, полис ECCP сейчас имеют около 30 банков, включая многие «дочки» иностранных кредитных организаций, а также ряд госбанков. Кроме того, на рынке достаточно много профессиональных участников рынка ценных бумаг (депозитариев, регистраторов и других), которые воспользовались комплексной программой страхования финансовых институтов от преступлений и ответственности.

Тем не менее в связи со сложностью и спецификой подобного страхования, качественную защиту на рынке может предлагать лишь считанное количество крупных российских страховщиков. К тому же и получить полис по ECCP не совсем просто. По словам Андрея Домбровского, страхователю практически всегда будет отказано, если он не примет никаких мер для защиты от таких преступлений (кроме получения полиса) либо принятые им меры страховщик сочтет явно недостаточными. Для того чтобы выяснить, насколько банк уязвим к страхуемым рискам, а также для оценки эффективности принятых мер безопасности проводится сюрвей (инспекция). По его итогам страхователю выдаются рекомендации по повышению безопасности до уровня, приемлемого страховщиками. Если все они будут банком выполнены, то отказа в выдаче полиса по ECCP не будет. Правда, выполнение многих рекомендаций дело довольно дорогостоящее.

Участники рынка советуют страхователю при выборе компании для проведения сюрвея учитывать следующее обстоятельство. Если у банка есть необходимость получить перестраховку, которую предоставляют западные компании, то ему лучше обратиться к зарубежным специалистам. Основное пре-имущество иностранного сюрвея - возможность повлиять на стоимость перестраховочной защиты в сторону его уменьшения. Хотя российские специалисты ничуть не уступают своим иностранным коллегам с точки зрения умения оценивать уровень защищенности банка от рисков.

Цена киберзащиты

По данным участников рынка, стандартная сетка страховых сумм по ECCP колеблется от $1 млн до $200 млн. Страхование банков от электронных и компьютерных преступлений обычно осуществляется в рамках BBB (комплексного имущественного страхования банков) с единой страховой премией, поэтому стоимость ECCP определяется как доля от ее общей суммы. По оценке экспертов, дополнительное покрытие по электронной страховке составляет от 5% до 15% от общей суммы. С учетом того, что тариф по BBB в среднем равен 3%-7% от общего лимита ответственности, соответственно, тариф по ECCP равен 0,15%-1% от этой суммы.

Хотя страхование от электронных и компьютерных преступлений финансовых институтов построено на базе BBB, тем не менее у некоторых российских страховщиков, в том числе и в «Ингосстрахе», существует отдельная программа страхования информационных рисков, позволяющая страховать киберпреступления не только кредитным организациям, но и другим компаниям, использующим информационные технологии. Эта программа предоставляет более широкое покрытие по сравнению с западными правилами, покрывая, в частности, убытки, связанные с перерывом в коммерческой деятельности, и ряд других.

Вместе с тем, по мнению экспертов, вряд ли стоит ожидать в перспективе развития страхования от электронных и компьютерных преступлений для банков в качестве отдельного направления. Прежде всего это невыгодно с экономической точки зрения. Российская практика страхования банков от преступлений показывает, что для наших финансовых институтов пока наиболее актуальными являются риски противоправных действий сотрудников, не связанные с информационными технологиями. Хотя по мере развития компьютерных технологий спрос на полис ECCP в долгосрочной перспективе будет расти.

Владимир БРЮКОВ

В материале упоминаются: Компании, организации: АФМ Страховые консультанты и брокеры (АФМ) 28 Ингосстрах 14040 Персоны: Домбровский Андрей Евгеньевич Кудрин Алексей Сергеевич

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »