Профессиональный страховой портал «Страхование сегодня»
Профессиональный страховой портал «Страхование сегодня»
Google+ Facebook Вконтакте Twitter Telegram
Барьер-2024. Противодействие страховому мошенничеству – успехи и достижения, проблемы и вызовы Премия в области финансов «Финансовая элита России»
    Этот деньПортал – ПомощьМИГ – КоммуникацииОбучениеПоискСамое новое (!) mig@insur-info.ru. Страхование сегодня Сделать «Страхование сегодня» стартовой страницей «Страхование сегодня». Добавить в избранное   
Самое новое
Идет обсуждение
Пресса
Страховые новости
Прямая речь
Интервью
Мнения
В гостях у компании
Анализ
Прогноз
Реплики
Репортажи
Рубрики
Эксперты
Голос рынка
Аналитика
Термины
За рубежом
История страхования
Посредники
Автострахование
Страхование жизни
Авиакосмическое
Агрострахование
Перестрахование
Подписка
Календарь
Этот день
Страховые реестры
Динамика рынка
Состояние лицензий
Знак качества
Страховые рейтинги
Фотографии
Компании
Визитки
Пресс-релизы


II Евразийский Актуарный Конгресс
Премия в области финансов «Финансовая элита России»
Барьер-2024. Противодействие страховому мошенничеству – успехи и достижения, проблемы и вызовы


Top.Mail.Ru

Прямая речь

  Полный список материалов

  Технологии, Новые страховые поля, Новый страховой продукт, За рубежом, Страхование ответственности, Киберугрозы, киберриски и киберстрахование, Банкострахование
Киберриски и киберугрозы – как ускорить развитие киберстрахования
Ткалич Александр Николаевич
Независимый эксперт
страхование сегодняКаковы перспективы киберстрахования в России? Является ли отечественная нормативная база достаточной для реализации этого вида страхования?

Все возрастающее проникновение цифровых технологий в повседневную жизнь ставит перед страховым сообществом, экспертами и предпринимателями во всем мире большое количество вопросов. Единообразное понимание таких категорий, как киберриск (событие, случай), киберугроза, киберинцидент (происшествие, правонарушение, преступление) и т.д. в различных языках и культурных средах с трудом поддается кодификации. Существующие стандарты (в широком смысле - как образец, эталон, модель) слабо описывают смыслы процессов и действий, связанных с такими категориями. Например, стандарты риск-менеджмента FERMA, COSO и ISO 31000, используемые в Российской Федерации при создании федеральной целевой программы «Электронная Россия» и правительственной целевой программы «Цифровая экономика Российской Федерации», были разработаны совместно с институтом риск-менеджмента в Великобритании (The Institute of Risk Management). Этот институт дает следующее определение киберриску: «риск, связанный с цифровыми технологиями, цифровыми устройствами и цифровой средой». Но сейчас это расширенное толкование относится, по сути, уже ко всему окружающему миру. В 2020 году уже даже в быту IoT (Internet of things) встречается повсюду, а аналоговые и механические устройства, технологии и среда, становятся, скорее, исключением и диковинкой, типа дверных замков или штопора. Хотя подслушивающие утюги - это, конечно, перебор (Минпромторг). Основная же задача стандартов цифровой экономики заключается в достижении согласия по используемым определениям и внесение этих подробных определений в нормативно-правовые документы всех уровней. От законов и кодексов на государственном и международном уровнях, до регламентов и инструкций на самом простом управленческом уровне экономической единицы. Условно, вопросы страхования киберрисков, исключая собственно, маржинальность и экономику такого страхования, можно разделить на следующие две группы: юридические и технические/технологические. Рассмотрим их по порядку.

 

Юридические вопросы

28 глава УК РФ «Преступления в сфере компьютерной информации» содержит три статьи 272, 273, и 274, которые описывают уголовно-наказуемые деяния, связанные с накоплением, обработкой и использованием цифровых данных. По мнению экспертов, эта глава УК устарела еще в 2010 году. При простом анализе состоявшихся масштабных киберпроисшествий за последние четыре года (2017-2020), УК РФ не дает ответов на вопросы:

  • Какие характеристики должен иметь «неправомерный доступ» (272), чтобы стать наказуемым? Мотив? Размер ущерба? Глубина доступа? Намеренность или случайность? Дупликация (копирование) - это кража? Имеющий собственную ценность анализ скопированной БД, с последующим удалением копии - это корысть?
  • Какие характеристики должны иметь «вредоносные программы» (273)? В чем заключается вред? Весь ли кластер скрытых от пользователя аналитических программ (от геолокации до потребительских предпочтений) является вредоносным? Для кого? Как оценить вред? Каков мотив? Анализ Big data и программы машинной обработки - это корысть?
  • Насколько современными являются «правила эксплуатации устройств, средств хранения и сетей» (274)? Каковы регламенты обновления таких правил? Каков жизненный цикл БД? Какие применяются правила Back-up копирования и утилизации БД? Как определяется бесхозность данных? Видеофиксация и распознавание лиц - это нарушение правил обработки информации? Что такое «критическая информационная инфраструктура РФ»? (274.1).

Так как информация в цифровом выражении стала иметь собственную добавленную стоимость, то осмысления и доработки требуют также и статьи уголовного кодекса 158 «кража», 159 «мошенничество» и 163 «вымогательство». А влияние информационных ресурсов на стратегию государственного управления целыми отраслями и принятие политических решений требует нового определения понятий «кибертерроризм», «кибердиверсия» и «кибервойна». Согласно отчету, опубликованному Генпрокуратурой, в 2017 году число преступлений в сфере информационно-телекоммуникационных технологий увеличилось на 37% по сравнению с 2016 (с 65 949 в году до 90 587) и с этого времени растет по экспоненте. При этом доля таких преступлений от числа всех зарегистрированных в России сейчас составляет 9,4%, т.е. это почти каждое десятое преступление. Избегая излишнего алармизма и призывов к избыточным наказаниям для прогрессивных исследователей цифрового пространства, особенно несовершеннолетних, не мешало бы подумать и о смягчении подходов в кодификации понятий «киберхулиганство», «кибервандализм», «киберхалатность».

Международная практика рассмотрения юридических вопросов описана в докладе Организации экономического сотрудничества и развития (ОЭСР) «Повышение роли страхования в управлении киберрисками» (2017 год). Киберриск был указан как риск наибольшей озабоченности предпринимателей в более чем трети стран-участников ОЭСР в «Глобальном докладе о рисках Всемирного экономического форума за 2017 год» и среди пяти рисков, вызывающих наибольшую обеспокоенность в половине стран-участников ОЭСР. То есть обеспокоенность киберрисками даже выше, чем рисками террористических актов или стихийных бедствий. При этом хочется отметить, что характер киберпроисшествий и реакция на них изменяются с каждым годом (а с 2017 года уже прошло определённое время) и не могут быть спрогнозированы. Например, рассмотренные в докладе «киберураганы» – атаки на Yahoo и Equifax, атаки «Dyn», «WannaCry» и «NotPetya» – имеют различный характер и последствия. Однако, уже в июле 2018 года в Европейском Союзе вступил в силу регламент GDPR II (General Data Protection Regulation II), определяющий обширные требования к накоплению, обработке и использованию цифровых данных. Не отстают от ЕС и Австралия, Канада и Япония. Свои требования к цифровой среде также сформулировали уже 46 из 52 штатов США и закрепили это в своих законах.

Девять российских страховщиков осенью 2019 - зимой 2020 года выступили с заявлениями о выпуске правил и продуктов по киберрискам. Часть таких правил является простой калькой с западных решений (чаще всего – правил и условий страхования Allianz или AIG). С учетом неприменимых у нас юридических норм, таких как:

  • страхование штрафов регуляторов за компрометацию персональных данных (как в GDPR2);
  • страхование от утраты медиа-контента;
  • претензий 3-их лиц за моральный ущерб, страхование выкупа вымогателям, и т.д.

Эти кальки вряд ли будут в достаточно степени востребованы отечественным корпоративным страхователем.

Другие страховщики создали компиляции, в которых отчётливо видны пожелания материнских банков продавать модную «киберобложку» для карточных продуктов банка, которая будет идти вместе с кредиткой (страхование от неправомерного списания в результате фишинга/скимминга). Большое внимание уделено стандарту PCI DSS в части ответственности перед платежными системами. В большинство правил включена нарезка из имущественных видов страхования, финансовых рисков и страхования ответственности, которая ограничена большим количеством исключений и сложно интерпретируемых терминов. Страхователю разобраться в том, что же все-таки застраховано практически невозможно. Судебное разбирательство, в случае спора о страховом возмещении, имеет непрогнозируемый результат. Резюмируя, можно смело утверждать, что юридические вопросы страхования киберпроисшествий в России требуют дополнительного изучения страховщиками и приведения правил/условий страхования в соответствие с действующим законодательством. А это требует временных и трудовых затрат.

В сентябре 2020 года Российский антитеррористический страховой пул (РАТСП) начал кодификацию всего раздела киберпреступлений с определения и дополнения в пуловое соглашение риска «кибертерроризм» как предмета деятельности пула. Для этого экспертами были потрачены сотни часов на изучение законов (149-ФЗ; № 35-ФЗ; № 374-ФЗ; № 375-ФЗ; № 115-ФЗ; № 152-ФЗ; № 187-ФЗ; № 4015-1-ФЗ; № 390-ФЗ), указов президента и постановлений правительства, а также национальных стандартов, разработанных техническим комитетом Сколково. Результатом проделанной работы стала кодификация терминов с приставкой «кибер»: происшествие, риск, событие, страховой случай, война, терроризм, диверсия и т.д. Таким образом, первый шаг в сторону наведения порядка и единообразия был сделан.

 

Технические и технологические вопросы

Требование отечественных законодателей переводить критическую информационную инфраструктуру (КИИ) на отечественный софт и железо, а также нежелание коммерческого страхователя допускать сторонние организации к анализу киберуязвимостей ставит перед страховщиками массу технических и технологических вопросов:

  • Какая глубина анализа системы (компьютерной/информационной/АСУ ТП) страхователя необходима и достаточна для предстрахового сюрвея? Возможно ли технически осуществить это удаленно? Какие технические характеристики систем переводят их в «окончательно устаревшие» и не страхуемые? Как организовать категоризацию технической сложности систем по величине вероятного ущерба?
  • Как технически и технологически взаимодействуют различные системы и как влияют на киберуязвимость требования контролирующих/регулирующих органов (ЦБ,ФСБ,ФСТЭК,РКН)? Где граница допуска к гостайне, КИИ РФ? Как влияет интеграция в системы страхователя мобильных/удаленных решений, интернета вещей и искусственного интеллекта (ИИ)?
  • К какому риску отнести несовершенство машинных алгоритмов, ошибки кода индивидуальных систем, создаваемых привлеченными разработчиками? Как будут развиваться алгоритмы ИИ и какие решения будут все меньше обусловлены человеческим вмешательством/волей?

2020-й ознаменовался появлением большого количества зарубежных стартапов по страхованию киберрисков, предлагающих простые технологические решения предстрахового анализа киберуязвимостей клиента, стандарты покрытия в соответствии с национальными законодательствами. Хочется отметить кратный рост доли «non damage business interruption» в общем объеме покрытия перерыва в производстве в связи с киберпроисшествием. Вот, например, из последних новостей: компания Parametrix insurance (Tokio Marine Kiln, Lloyd’s) предложила первое коробочное страховое покрытие перерыва в производстве для МСБ на случай сбоев или остановки IT-систем (01.10.2020). Без установления причин – браво! По мнению разработчиков этого продукта, современный бизнес переходит к управлению большинством своих критических IT-операций с помощью сторонних поставщиков, что повышает уязвимость. А американский стартап Coalition уже два квартала предлагает решения по внешнему desktop сюрвею и страхованию на основании такого анализа. Без доступа внутрь IT-системы страхователя! В продуктовой линейке Coalition есть и продукт Tech E&O – страхование ответственности разработчиков IT-сервисов за ошибки и допущения киберуязвимости, приводящие к потерям/простоям и требованиям клиентов. На фоне появления таких продуктов простой вопрос российским страховщикам: «Почему не заметен рост киберстрахования в РФ, а такие полисы, скорее, экзотика?» удручает ответами. В большинстве случаев, причины сводятся к тому, что клиент не хочет допускать к анализу своих IT-систем, иногда даже из-за наличия сомнительного/контрафактного ПО. Стоимость киберсюрвея превышает размер вероятного возмещения от страховщика, а требования к ИБ технологически невыполнимы и очень лабильны. Возникают опасения нелояльности и критических ошибок сюрвейеров и остановки IT-поддержки клиента, которая «и так работает», которые превышают оценку риска киберпроисшествия. Технологическая незрелость криптографического шифрования, как метода ИБ, ограничена разрешительными действиями ФСБ. Отсутствует перестраховочная ёмкость и невозможно прогнозировать киберураган (кумуляцию). Аппетиты расследователей киберпроисшествий (forensic-ов) завышены, а их решения не индивидуализированы и продаются многократно.

О сколько-нибудь внятном развитии киберстрахования на среднесрочную перспективу 3-5 лет в России говорить затруднительно. Актуальных несложных продуктов просто нет. Развитие страховых продуктов в техническом/технологическом смысле должно базироваться на простых конструкциях, которые регулярно пересматриваются и обновляются с учётом IT – прогресса, развития ИИ, изменения структуры добавленной стоимости в связи с цифровизацией бизнеса, изменения парка IT-оборудования, действия регуляторов по суверенизации данных.

Юный задор цифровой трансформации бизнеса в России с одной стороны, и недостаточная технологическая самостоятельность с другой множат вероятности киберпроисшествий и предполагают рост тяжести их последствий. Хочется спросить отечественных страховщиков – на каких страховых продуктах они готовы сконцентрировать свое внимание? Заявленные перспективы роста сектора киберстрахования в России пока не подтверждаются инвестициями страховщиков даже в разработку базовых страховых продуктов.


24 февраля 2021 г.

Версия для печати 

  Смотрите другие материалы по этой тематике: Технологии, Новые страховые поля, Новый страховой продукт, За рубежом, Страхование ответственности, Киберугрозы, киберриски и киберстрахование, Банкострахование
В материале упоминаются:
Компании, организации: Персоны:

Оцените данный материал (1-плохо, ..., 10-отлично!).
Средняя оценка: 8.91 (голосовало: 22 чел.)
10   
Предыдущие отзывы:
25 февраля 2021 г. 13:30 Тимофей
Отличная статья!
26 февраля 2021 г. 00:39 Сергей Худяков
Очень хороший, всесторонний, анализ ситуации с «киберрисками» в нашей стране. Александр, спасибо Вам за обзор.
26 февраля 2021 г. 09:50 Виталий Федоренков
Очень интересная и своевременная публикация. Описание ранее неизвестных киберрисков, их систематизация, способы предотвращения, возможности страхования - очень актуальные проблемы страховой науки и практики. В публикации поставлены злободневные вопросы, дан обзор практических решений в сфере идентификации киберрисков и их страхования. Очевидно, формат статьи предполагает задачу актуализации рассматриваемой проблемы в сознании страхового сообщества, привлечения внимания к ее решению специалистов. Будем с нетерпением ждать развития темы в следующих публикациях автора. Спасибо.

Ваше мнение об этом материале:
— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):
Укажите код на картинке слева: