Как при помощи страхования можно защититься от последствий интернет-атаки? Какие страховые программы предлагают страховщики в области защиты от кибер-рисков?
По статистике сегодня на киберпреступления приходится 38% экономических преступлений в секторе финансовых услуг. При этом угрозы, связанные с информационными рисками не менее (иногда и более) опасны, чем угрозы физическим активам компании. Инциденты, связанные с кибер-атаками, как правило, вызывают цепную реакцию и наносят компаниям значительный репутационный и финансовый ущерб.
В качестве примера можно привести случай, когда у одного из крупнейших центров обработки данных было украдено 130 миллионов учетных записей пользователей банковских карт. Нанесенный ущерб был оценен в 4,7 миллиардов долларов США. В другом случае преступники взломали компьютерную сеть регионального банка, похитили номера счетов, создали пин-коды, взломали счета и незаконно сняли деньги. Банку потребовалось перевыпустить 40 000 кредитных карт.
Все участники операций с электронными деньгами, биржевой интернет-торговли, онлайн-продаж и покупок, не говоря уже о всевозможных видах расчетов и систем банк-клиент, несут вполне реальные риски. Деньги в электронном виде, личная и коммерческая информация теперь требуют защиты и в киберпространстве. Антивирусы и службы компьютерной безопасности — аналоги сигнализации и полиции. Но, как видно из приведенных примеров, предотвратить ущерб удается не всегда.
На мировом страховом рынке уже существуют комплексные решения по страхованию рисков, связанных с ведением деятельности в киберпространстве, включающие ущерб, нанесенный в результате кибер-атаки, ответственность компании за утерю данных, убытки, вызванные перерывом в деятельности компании из-за распространения вируса в ее компьютерной сети. Но большинство таких предложений распространяются лишь на компенсацию непосредственно зафиксированного убытка — затрат на восстановление данных, возможных выплат клиентам, чьи персональные данные были утеряны, затрат рабочего времени или похищенных сумм. В то же время у клиентов есть потребность в полной оценке и компенсации возможных потерь, в том числе нематериальных. Речь идет об учете всех затрат по восстановлению нормального функционирования компании и ее репутации, а также консультационной поддержке по разрешению подобных, иногда весьма специфических, ситуаций.
В ответ на эти запросы компания AIG в октябре 2012 года представила в России продукт CyberEdgeSM. Он учитывает реалии российского рынка и позволяет компании-страхователю защититься от возможных финансовых потерь, связанных как с обработкой данных, так и с ответственностью перед клиентами. Подводить итоги пока рано, поскольку внедрение любого инновационного продукта является достаточно сложным процессом, сопровождающимся широким кругом мероприятий, направленных на разъяснение сути продукта, его преимуществ и особенностей по сравнению с существующими продуктами, обучение продающих подразделений и т.д. Однако следует отметить, что первые продажи продукта состоялись практически сразу после его анонсирования, буквально в течение недели после старта продаж.
Первыми покупателями стали компании, которые работают в сфере информационных технологий и которые не понаслышке знают, насколько велик риск утраты данных. Также мы увидели интерес среди компаний финансовой сферы – банков и процессинговых центров, дата-центров.
Программа CyberEdgeSM покрывает убытки страхователя, включая расходы на защиту, в результате нарушения данных по таким причинам, как сбои в работе корпоративной системы, хищение или потеря информации, компьютерные атаки, распространение вирусов и т.д. В объем страховой выплаты также включаются затраты на юридические консультации и представительство в связи с возможным расследованием инцидента, расходы на восстановление репутации. В партнерстве с ведущими юридическими, PR и IT-компаниями, клиенту обеспечивается всесторонняя консультационная поддержка.
Страховая премия по страхованию кибер-рисков определяется индивидуально для каждого клиента и при лимите ответственности в 1 миллион долларов может варьироваться от 1 000 долларов до 500 000 долларов. При этом, по нашим оценкам, средняя страховая премия укладывается в пределы 7-10 тысяч долларов (при лимите ответственности в 1 миллион долларов) в том случае, если компания полностью соответствует нашим представлениям об уровне защиты данных.
Стоит отметить, что, приобретая полис CyberEdgeSM, страхователь получает не только защиту от фактических исков в связи с нарушением данных, но и возможность воспользоваться услугами ведущих специалистов в области информационных технологий, PR и юридических услуг, которые быстро и качественно смогут помочь предотвратить или ликвидировать последствия любого инцидента, связанного с утечкой данных.
При оценке риска андеррайтер анализирует ряд факторов. Во-первых, на степень риска влияет та отрасль, в которой страхователь ведет свои операции. Очевидно, что у компаний, работающих в финансовой сфере, а также у тех предприятий, которые обрабатывают огромные массивы персональных данных, риск получить требование в связи с утечкой данных, значительно выше, чем, к примеру, у склада или компании, работающей в сфере строительства. Во-вторых, на риск влияет объем и характер данных, которые обрабатывает и хранит страхователь. В-третьих, важное значение имеет то, какие у клиента существуют процедуры по работе с данными и защите данных. В-четвертых, принимается в расчет информация об инцидентах, связанных с данными, с которыми данный страхователь сталкивался в прошлом.
Что касается вопроса о выплатах по данному продукту, следует отметить, что пока убытков у наших российских страхователей не было, однако за рубежом урегулировано несколько страховых случаев с участием российских хакеров. Известно, что, согласно ежегодному отчета Sophos о кибербезопасности, в 2012 году 80 % атак было реализовано с благонадежных сайтов, зараженных вредоносным кодом, при этом почти 18% доменов с эксплойтами Blackhole находились в России. То есть мы можем предположить, что российские хакеры «держат» значительную долю мирового рынка киберпреступлений и представляют очень серьезную опасность, в том числе и для российских компаний. При этом многие виды покрытий, доступных страхователям в США и Европе, могут быть недоступны для российских компаний в силу законодательных ограничений и наоборот.
В настоящий момент наш полис CyberEdgeSM имеет достаточно широкий набор покрытий, как обязательных к покупке, так и дополнительных. Приобретая полис, страхователь получает защиту от практически любых последствий кибер-инцидента, поэтому мы делаем ставку на востребованность данного продукта.
Наши цели по сборам страховой премии на 2013 год достаточно амбициозны, так как мы уверены в том, что CyberEdgeSM является не менее необходимым полисом для любой компании, которая исповедует качественных риск-менеджмент, чем полисы страхования имущества, общегражданской ответственности или D&O. Кроме того, мы постоянно обновляем и совершенствуем наше продуктовое предложение в соответствии с потребностями рынка.
Для продвижения продукта CyberEdgeSM мы планируем использовать как традиционные каналы продаж страховых продуктов (агентов, брокеров, штатных менеджеров по продажам), так и выстраивать альтернативные структуры. Такими структурами продаж могут стать, в частности, ассоциации предприятий, работающих в сфере информационной безопасности, а также любые организации, среди клиентов которых могут найтись наши потенциальные страхователи. Несмотря на то, что средний размер комиссионного вознаграждения по данному продукту будет среднерыночным, мы не исключаем, что на первоначальном этапе мы будем готовы платить повышенную комиссию для привлечения внимания продюсеров к этому продукту.
Что касается перестрахования данного вида рисков, пока мы не видим в нем острой необходимости. AIG обладает достаточной емкостью, чтобы удерживать риски до 15-20 миллионов долларов по каждому договору путем перестрахования внутри группы. Поэтому внешнего перестрахования, скорее всего, не потребуется.
Все большее распространение виртуальной реальности одновременно приводит к росту абсолютного числа возможных угроз, случайных или намеренных. Поэтому можно не сомневаться, что рынок кибер-защиты и страхования находится лишь на начальной стадии развития. Компании США и Европы уже пользуются комплексными решениями по защите своего бизнеса в киберпространстве, и мы уверены, что российские клиенты последуют их примеру.