Каковы перспективы киберстрахования в России? Является ли отечественная нормативная база достаточной для реализации этого вида страхования?
Все возрастающее проникновение цифровых технологий в повседневную жизнь ставит перед страховым сообществом, экспертами и предпринимателями во всем мире большое количество вопросов. Единообразное понимание таких категорий, как киберриск (событие, случай), киберугроза, киберинцидент (происшествие, правонарушение, преступление) и т.д. в различных языках и культурных средах с трудом поддается кодификации. Существующие стандарты (в широком смысле - как образец, эталон, модель) слабо описывают смыслы процессов и действий, связанных с такими категориями. Например, стандарты риск-менеджмента FERMA, COSO и ISO 31000, используемые в Российской Федерации при создании федеральной целевой программы «Электронная Россия» и правительственной целевой программы «Цифровая экономика Российской Федерации», были разработаны совместно с институтом риск-менеджмента в Великобритании (The Institute of Risk Management). Этот институт дает следующее определение киберриску: «риск, связанный с цифровыми технологиями, цифровыми устройствами и цифровой средой». Но сейчас это расширенное толкование относится, по сути, уже ко всему окружающему миру. В 2020 году уже даже в быту IoT (Internet of things) встречается повсюду, а аналоговые и механические устройства, технологии и среда, становятся, скорее, исключением и диковинкой, типа дверных замков или штопора. Хотя подслушивающие утюги - это, конечно, перебор (Минпромторг). Основная же задача стандартов цифровой экономики заключается в достижении согласия по используемым определениям и внесение этих подробных определений в нормативно-правовые документы всех уровней. От законов и кодексов на государственном и международном уровнях, до регламентов и инструкций на самом простом управленческом уровне экономической единицы. Условно, вопросы страхования киберрисков, исключая собственно, маржинальность и экономику такого страхования, можно разделить на следующие две группы: юридические и технические/технологические. Рассмотрим их по порядку.
Юридические вопросы
28 глава УК РФ «Преступления в сфере компьютерной информации» содержит три статьи 272, 273, и 274, которые описывают уголовно-наказуемые деяния, связанные с накоплением, обработкой и использованием цифровых данных. По мнению экспертов, эта глава УК устарела еще в 2010 году. При простом анализе состоявшихся масштабных киберпроисшествий за последние четыре года (2017-2020), УК РФ не дает ответов на вопросы:
- Какие характеристики должен иметь «неправомерный доступ» (272), чтобы стать наказуемым? Мотив? Размер ущерба? Глубина доступа? Намеренность или случайность? Дупликация (копирование) - это кража? Имеющий собственную ценность анализ скопированной БД, с последующим удалением копии - это корысть?
- Какие характеристики должны иметь «вредоносные программы» (273)? В чем заключается вред? Весь ли кластер скрытых от пользователя аналитических программ (от геолокации до потребительских предпочтений) является вредоносным? Для кого? Как оценить вред? Каков мотив? Анализ Big data и программы машинной обработки - это корысть?
- Насколько современными являются «правила эксплуатации устройств, средств хранения и сетей» (274)? Каковы регламенты обновления таких правил? Каков жизненный цикл БД? Какие применяются правила Back-up копирования и утилизации БД? Как определяется бесхозность данных? Видеофиксация и распознавание лиц - это нарушение правил обработки информации? Что такое «критическая информационная инфраструктура РФ»? (274.1).
Так как информация в цифровом выражении стала иметь собственную добавленную стоимость, то осмысления и доработки требуют также и статьи уголовного кодекса 158 «кража», 159 «мошенничество» и 163 «вымогательство». А влияние информационных ресурсов на стратегию государственного управления целыми отраслями и принятие политических решений требует нового определения понятий «кибертерроризм», «кибердиверсия» и «кибервойна». Согласно отчету, опубликованному Генпрокуратурой, в 2017 году число преступлений в сфере информационно-телекоммуникационных технологий увеличилось на 37% по сравнению с 2016 (с 65 949 в году до 90 587) и с этого времени растет по экспоненте. При этом доля таких преступлений от числа всех зарегистрированных в России сейчас составляет 9,4%, т.е. это почти каждое десятое преступление. Избегая излишнего алармизма и призывов к избыточным наказаниям для прогрессивных исследователей цифрового пространства, особенно несовершеннолетних, не мешало бы подумать и о смягчении подходов в кодификации понятий «киберхулиганство», «кибервандализм», «киберхалатность».
Международная практика рассмотрения юридических вопросов описана в докладе Организации экономического сотрудничества и развития (ОЭСР) «Повышение роли страхования в управлении киберрисками» (2017 год). Киберриск был указан как риск наибольшей озабоченности предпринимателей в более чем трети стран-участников ОЭСР в «Глобальном докладе о рисках Всемирного экономического форума за 2017 год» и среди пяти рисков, вызывающих наибольшую обеспокоенность в половине стран-участников ОЭСР. То есть обеспокоенность киберрисками даже выше, чем рисками террористических актов или стихийных бедствий. При этом хочется отметить, что характер киберпроисшествий и реакция на них изменяются с каждым годом (а с 2017 года уже прошло определённое время) и не могут быть спрогнозированы. Например, рассмотренные в докладе «киберураганы» – атаки на Yahoo и Equifax, атаки «Dyn», «WannaCry» и «NotPetya» – имеют различный характер и последствия. Однако, уже в июле 2018 года в Европейском Союзе вступил в силу регламент GDPR II (General Data Protection Regulation II), определяющий обширные требования к накоплению, обработке и использованию цифровых данных. Не отстают от ЕС и Австралия, Канада и Япония. Свои требования к цифровой среде также сформулировали уже 46 из 52 штатов США и закрепили это в своих законах.
Девять российских страховщиков осенью 2019 - зимой 2020 года выступили с заявлениями о выпуске правил и продуктов по киберрискам. Часть таких правил является простой калькой с западных решений (чаще всего – правил и условий страхования Allianz или AIG). С учетом неприменимых у нас юридических норм, таких как:
- страхование штрафов регуляторов за компрометацию персональных данных (как в GDPR2);
- страхование от утраты медиа-контента;
- претензий 3-их лиц за моральный ущерб, страхование выкупа вымогателям, и т.д.
Эти кальки вряд ли будут в достаточно степени востребованы отечественным корпоративным страхователем.
Другие страховщики создали компиляции, в которых отчётливо видны пожелания материнских банков продавать модную «киберобложку» для карточных продуктов банка, которая будет идти вместе с кредиткой (страхование от неправомерного списания в результате фишинга/скимминга). Большое внимание уделено стандарту PCI DSS в части ответственности перед платежными системами. В большинство правил включена нарезка из имущественных видов страхования, финансовых рисков и страхования ответственности, которая ограничена большим количеством исключений и сложно интерпретируемых терминов. Страхователю разобраться в том, что же все-таки застраховано практически невозможно. Судебное разбирательство, в случае спора о страховом возмещении, имеет непрогнозируемый результат. Резюмируя, можно смело утверждать, что юридические вопросы страхования киберпроисшествий в России требуют дополнительного изучения страховщиками и приведения правил/условий страхования в соответствие с действующим законодательством. А это требует временных и трудовых затрат.
В сентябре 2020 года Российский антитеррористический страховой пул (РАТСП) начал кодификацию всего раздела киберпреступлений с определения и дополнения в пуловое соглашение риска «кибертерроризм» как предмета деятельности пула. Для этого экспертами были потрачены сотни часов на изучение законов (149-ФЗ; № 35-ФЗ; № 374-ФЗ; № 375-ФЗ; № 115-ФЗ; № 152-ФЗ; № 187-ФЗ; № 4015-1-ФЗ; № 390-ФЗ), указов президента и постановлений правительства, а также национальных стандартов, разработанных техническим комитетом Сколково. Результатом проделанной работы стала кодификация терминов с приставкой «кибер»: происшествие, риск, событие, страховой случай, война, терроризм, диверсия и т.д. Таким образом, первый шаг в сторону наведения порядка и единообразия был сделан.
Технические и технологические вопросы
Требование отечественных законодателей переводить критическую информационную инфраструктуру (КИИ) на отечественный софт и железо, а также нежелание коммерческого страхователя допускать сторонние организации к анализу киберуязвимостей ставит перед страховщиками массу технических и технологических вопросов:
- Какая глубина анализа системы (компьютерной/информационной/АСУ ТП) страхователя необходима и достаточна для предстрахового сюрвея? Возможно ли технически осуществить это удаленно? Какие технические характеристики систем переводят их в «окончательно устаревшие» и не страхуемые? Как организовать категоризацию технической сложности систем по величине вероятного ущерба?
- Как технически и технологически взаимодействуют различные системы и как влияют на киберуязвимость требования контролирующих/регулирующих органов (ЦБ,ФСБ,ФСТЭК,РКН)? Где граница допуска к гостайне, КИИ РФ? Как влияет интеграция в системы страхователя мобильных/удаленных решений, интернета вещей и искусственного интеллекта (ИИ)?
- К какому риску отнести несовершенство машинных алгоритмов, ошибки кода индивидуальных систем, создаваемых привлеченными разработчиками? Как будут развиваться алгоритмы ИИ и какие решения будут все меньше обусловлены человеческим вмешательством/волей?
2020-й ознаменовался появлением большого количества зарубежных стартапов по страхованию киберрисков, предлагающих простые технологические решения предстрахового анализа киберуязвимостей клиента, стандарты покрытия в соответствии с национальными законодательствами. Хочется отметить кратный рост доли «non damage business interruption» в общем объеме покрытия перерыва в производстве в связи с киберпроисшествием. Вот, например, из последних новостей: компания Parametrix insurance (Tokio Marine Kiln, Lloyd’s) предложила первое коробочное страховое покрытие перерыва в производстве для МСБ на случай сбоев или остановки IT-систем (01.10.2020). Без установления причин – браво! По мнению разработчиков этого продукта, современный бизнес переходит к управлению большинством своих критических IT-операций с помощью сторонних поставщиков, что повышает уязвимость. А американский стартап Coalition уже два квартала предлагает решения по внешнему desktop сюрвею и страхованию на основании такого анализа. Без доступа внутрь IT-системы страхователя! В продуктовой линейке Coalition есть и продукт Tech E&O – страхование ответственности разработчиков IT-сервисов за ошибки и допущения киберуязвимости, приводящие к потерям/простоям и требованиям клиентов. На фоне появления таких продуктов простой вопрос российским страховщикам: «Почему не заметен рост киберстрахования в РФ, а такие полисы, скорее, экзотика?» удручает ответами. В большинстве случаев, причины сводятся к тому, что клиент не хочет допускать к анализу своих IT-систем, иногда даже из-за наличия сомнительного/контрафактного ПО. Стоимость киберсюрвея превышает размер вероятного возмещения от страховщика, а требования к ИБ технологически невыполнимы и очень лабильны. Возникают опасения нелояльности и критических ошибок сюрвейеров и остановки IT-поддержки клиента, которая «и так работает», которые превышают оценку риска киберпроисшествия. Технологическая незрелость криптографического шифрования, как метода ИБ, ограничена разрешительными действиями ФСБ. Отсутствует перестраховочная ёмкость и невозможно прогнозировать киберураган (кумуляцию). Аппетиты расследователей киберпроисшествий (forensic-ов) завышены, а их решения не индивидуализированы и продаются многократно.
О сколько-нибудь внятном развитии киберстрахования на среднесрочную перспективу 3-5 лет в России говорить затруднительно. Актуальных несложных продуктов просто нет. Развитие страховых продуктов в техническом/технологическом смысле должно базироваться на простых конструкциях, которые регулярно пересматриваются и обновляются с учётом IT – прогресса, развития ИИ, изменения структуры добавленной стоимости в связи с цифровизацией бизнеса, изменения парка IT-оборудования, действия регуляторов по суверенизации данных.
Юный задор цифровой трансформации бизнеса в России с одной стороны, и недостаточная технологическая самостоятельность с другой множат вероятности киберпроисшествий и предполагают рост тяжести их последствий. Хочется спросить отечественных страховщиков – на каких страховых продуктах они готовы сконцентрировать свое внимание? Заявленные перспективы роста сектора киберстрахования в России пока не подтверждаются инвестициями страховщиков даже в разработку базовых страховых продуктов.