Страхование кибер-рисков – российская специфика и перспективы развития Клоков Александр Александрович Руководитель направления кибер-рисков АО «АльфаСтрахование»
|
Как развивается кибер-страхование в России? Какие изменения в нормативной базе необходимы для более широкого применения страховых механизмов в системе кибербезопасности промышленности и государства? В чем особенности защиты рисков финансово-банковской сферы и какой инструментарий продуктов кибер-страхования сейчас есть у страховщиков? Об этих и других проблемах с корреспондентом портала «Страхование сегодня» беседует руководитель направления кибер-рисков компании «АльфаСтрахование» Александр Клоков.
Мария Жилкина,
Медиа-Информационная Группа «Страхование сегодня» (МИГ)
Александр Александрович, как инциденты последнего времени повлияли на рынок страхования кибер-рисков? Какие изменения на нем отмечаются в России и в мире?
Сейчас наблюдается достаточно большой интерес к этому виду страхования, во всяком случае, к нашему продукту АльфаCyber в виду его широкого покрытия и гибких условий. Если 10 лет назад киберстрахование вызывало больше тотальный скепсис, то теперь стало реальной необходимостью – об этом свидетельствует опыт российского рынка. Наиболее зрелые, крупные компании к нам обратились самостоятельно, кому-то мы «открываем глаза».
Уже существует практика, когда крупный бизнес от своих поставщиков ИТ-решений требует наличия страхования ответственности в части киберрисков, особенно это касается представителей малого и среднего бизнеса. Страхование киберрисков актуально даже для компаний, использующих минимальный набор ИТ-решений и просто имеющих электронный документооборот, использующих электронные кассы. Ошибочно полагать, что малые и средние предприятия неинтересны киберпреступникам. Гораздо проще взломать менее совершенную со стороны информационной безопасности компанию и использовать её ресурсы для проникновения в крупную корпорацию, с которой налажены доверительные отношения в рамках контрактной деятельности. Вспомните, один из недавних вирусов шифровальщиков распространялся вместе с обновлениями системы электронного документооборота. В киберпространстве, как и в реальной жизни, никогда не знаешь, где тебя поджидает опасность.
По оценкам аналитиков, прямой ущерб, нанесенный российским компаниям в 2017 году в результате кибератак, составил 116 млрд. рублей. Однако даже эти цифры не отражают действительной картины.
Компании очень неохотно сообщают о подобных инцидентах. Количество известных киберпреступлений составляет не более 20% от их реального числа. При этом общемировые потери составили порядка триллиона долларов, и, если не работать над принципиальным улучшением средств защиты и минимизации рисков, через несколько лет они достигнут 8 триллионов долларов. И речь в озвученных цифрах идёт только про информационную безопасность, без учёта сбоев ИТ-систем, ошибок ИТ-специалистов и подрядчиков, человеческого фактора, - все данные риски покрывает наш продукт АльфаCyber.
Разработчики решений в сфере информационной безопасности, да и просто ИТ-систем, бесконечно меряются функциональными преимуществами, гордо рапортуют об успешных проектах, надёжности и невероятных возможностях своих супер систем. Но есть и обратная сторона маркетинговой медали. Как показывает практика, не существует 100 %-но гарантирующих безопасность и надёжность решений, они все равно разрабатываются людьми, действуют по заложенным алгоритмам, и невозможно заранее смоделировать все сценарии нештатного поведения системы и лазейки для киберпреступников, исследовательские центры которых постоянно анализируют существующие на рынке компьютерные, промышленные и даже психологические технологии, зачастую оказываются на шаг впереди их разработчиков, таким образом, вы долгое время можете не знать, что к вашей информации и ресурсам имеет доступ кто-то ещё. Да, дефекты выявляются и устраняются, правда не все и не всегда, это непрерывный, непростой процесс, который не происходит мгновенно. Вы можете грешить на удачу, что она не сопутствует вам и крупные контракты уходят конкурентам, но дело может оказаться за гранью реальности – в киберпространстве. Фактически, мы наблюдаем гонку «вооружений» между разработчиками и киберпреступниками. Допускаю аналогию с автомобильными охранными системами: чем они сложнее и более изощренные, тем больше времени уйдет на угон, но полностью исключить его все равно нельзя. В крайнем случае, автомобиль можно просто погрузить на эвакуатор и увезти.
Мы всегда исходим из задач клиентов, отталкиваемся от их потребностей, совместно решаем бизнес задачи и в ответ на очередной вызов рынка компания «АльфаСтрахование» в феврале 2018 года запустила свой продукт по киберстрахованию АльфаCyber. Киберстрахование – это последний рубеж «обороны», и многие компании начинают это понимать, снимая маркетинговую пелену, объективно подходя к управлению киберрисками. По отзывам наших клиентов — это то, чего долго не хватало на рынке для полной ответственности перед бизнесом и решения поставленных задач.
Что препятствует развитию кибер-страхования?
Вот что показывает наш опыт. Когда страховщик пытается пробиться к лицу, принимающему у страхователя решения и обладающему бюджетом, и начать с ним разговор про кибербезопасность, тот привлекает своего ИТ-директора или ответственного за кибербезопасность. Разумеется, разговор переходит на непонятные сторонам языки, огромный разрыв в терминах - страховщик не понимает ИТ и не знает, для чего предназначена та или иная система, принципы её работы, не умеет работать с возражениями, а ИТ-специалисты потенциального страхователя не знают преимуществ страхования в их повседневных задачах, не задумываются об убытках бизнеса и способах их возмещения в случае инцидентов.
Зачастую страхователю не всегда понятно, чей бюджет и в чьей компетенции внутри компании находится вопрос страхования киберрисков. Можно начинать общаться с рисковиками, внутренними аудиторами, безопасниками, ИТ-специалистами, бизнес-владельцами систем, директорами, можно наоборот. Как показывает практика, наиболее эффективный результат, да и в целом понимание ценности киберстрахования достигается только в синергии, когда в проработку вовлечены представители всех бизнес-направлений, на деятельность которых влияет обсуждаемая система.
Важно знать свои слабые места. Например, многие компании заблуждаются, считая, что у них все и так застраховано по имущественной программе. А ведь в 98 % случаев в разделе «Исключения» указаны электронные риски. И это не только у нас. В 2014 году в Германии, стране с очень развитым уровнем технологий, киберпреступники взломали промышленную систему сталелитейного завода и вывели из строя доменную печь. Думаете, у них не было современных технических средств защиты? Сработал один из стандартных сценариев: киберпреступники рассылали фишинговые письма (такие письма маскируются, например, под корпоративную рассылку или письмо от реального подрядчика этой организации), кто-то из сотрудников открыл письмо, запустил специально разработанное вредоносное программное обеспечение, фактически кибероружие, тем самым открыв киберпреступникам доступ в корпоративную сеть, посредством которой они уже добрались в производственную систему управления доменной печью. Убыток составил порядка 100 миллионов евро. К сожалению, имущественная программа данный риск не покрывала.
Обычно в таких дискуссиях затрагивают законодательные меры, необходимость регулирования данной сферы государством, обсуждают отраслевые стандарты, мировые практики, но я бы начал устранять препятствия с более фундаментальных вещей – с образования, точнее с повышения кибеграмотности, с цифровой «гигиены», которые было бы неплохо ввести уже в школах в рамках уроков информатики. Мир изменился. Нашу жизнь сложно представить без информационных технологий, наши дети с раннего возраста виртуозно владеют гаджетами, сервисами, не понимают и не представляют всех опасностей, с которыми они могут столкнуться, когда на подходе эра искусственного интеллекта. Если мы учим жизни, неким правилам и практикам взаимодействия с обществом, мы должны научить наших детей быть успешными в киберпространстве.
Чем руководствуются хакеры, когда выбирают цель для атаки?
Целью киберпреступников по-прежнему являются деньги, а их организация напоминает структуру международных корпораций с сотнями «сотрудников», распределённых по всему миру и прекрасно отлаженными бизнес-процессами. Направления деятельности впечатляют, я уверен, общественность даже не представляет, насколько всё реально. Например, уже возможно захватить управление летящим самолётом, а подключение к камере и микрофону, захват изображения происходящего на экране уже в порядке вещей применяется многими внутренними службами безопасности компаний. Киберпреступники могут не выбирать сами, им могут заказать, например, ваши конкуренты. Существует целый теневой рынок подобных услуг, зачастую которыми воспользоваться не сложнее привычного интернет-магазина. Заказать, к примеру, DDoS-атаку стоит очень дешево, со всего мира к сайту начинает поступать множество запросов, сайт не справляется с нагрузкой и потенциальные клиенты не могут его даже открыть. Атака может продолжаться часами, и владелец сайта (например, интернет-магазина) терпит большие убытки. Возможен сценарий атаки, когда у интернет-компаний перехватывают заказы, фирма-конкурент, куда они перенаправляются, быстрее реагирует и работает с клиентами по более привлекательным ценам.
Финансово-банковская сфера остаётся одной из самых рискованных. И хищение денег – не самое страшное, что может случиться. Безусловно, в рамках нашего продукта по страхованию киберрисков возможно в покрытие включить защиту от хищения денежных средств со счёта. Во многих странах мира банки являются объектами критической инфраструктуры государства и становятся мишенью для прогосударственных хакерских групп, специализирующейся на диверсиях и саботаже. Одна успешная кибератака может привести как к ликвидации самой кредитно-финансовой организации, так и коллапсу финансовой системы государства в целом. Кроме технических атак возможны информационные, нацеленные на репутацию, как я упоминал ранее, против которых внутренние системы безопасности бессильны. Так, в результате информационной атаки крупный российский банк потерял почти 1,5 трлн рублей наличных денег за одну неделю. В период «черного вторника» его клиентам было разослано более миллиона sms-сообщений о неких проблемах в банке. За этим последовала вторая волна sms, которая привела к панике и очередям у банкоматов. Люди вспомнили 90-е годы и побежали снимать деньги.
На такой случай у «АльфаСтрахование» тоже есть возможность застраховать риск, в том числе репутационный. Мы задействуем мощные системы мониторинга, которые отслеживают в сети, например, публикации всех русскоязычных пользователей, СМИ и других источников информации на предмет вбросов компрометирующей информации, помогаем вместе с партнёрами готовить пресс-релизы, оказываем юридические консультации и прикладываем все необходимые усилия для защиты репутации наших клиентов.
Потенциальный круг страхователей по подобным продуктам, в принципе, не ограничен, это может быть и небольшой бизнес, и более крупный, и госструктура. Вопрос только в емкости, можно ли будет это разместить дальше в перестрахование. Ведь речь идет об очень высоких суммах ущерба. Ущерб российской финансовой сферы от атак киберпреступников за 2-е полугодие 2017 и 1 полугодие 2018 годов составил 2,96 млрд рублей.
К числу наиболее распространенных типов атак относятся атаки на систему межбанковских переводов SWIFT, но здесь большую часть несанкционированных транзакций удается вовремя остановить и вернуть деньги пострадавшим банкам. Часто атакуют карточный процессинг, например, у одного банка удалось снять с карточек через банкоматы партнера банка 35 млн. рублей. В одном из популярных мессенджеров постоянно публикуются подробные инструкции для желающих поучаствовать в так называемых «дропах». Они оформляют карточку и могут за комиссию обналичивать деньги, которые им переводят киберпреступники, после чего пластик уничтожают. Зачастую в таких схемах участвуют либо люди, которым нечего терять, либо студенты, ищущие легкого заработка. То, что это преступление, они не осознают.
Попадает ли человек, участвующий в этом, под действие уголовного законодательства?
Разумеется, и законодательство развивается в ногу со временем. А органы исполнительной власти обладают и получают все необходимые инструменты для работы в киберпространстве, отчасти которые нам и доступны. Говоря о хищении денежных средств посредством кибератаки с последующим обналичиванием, в рамках урегулирования мы помогаем компаниям выстроить хронологию действий киберпреступника и разобраться в цепочке перемещения денег, включая криптовалютные операции. Кроме того, по мере расследования киберинцидента страховщик накапливает доказательную базу для взыскания суммы ущерба с кибепреступника в судебном порядке, что открывает возможность вернуть выплаченные клиенту деньги. Мы обладаем всеми необходимыми ресурсами для поиска киберпреступника в любом уголке мира и сопровождения судебного процесса.
Какие есть преступления в сфере оборота криптовалют и можно ли от них застраховаться?
Криптобиржи регулярно страдают от кибератак, ущерб от которых уже очень велик. В течение 2017 года и первых трёх кварталов 2018 года совокупный ущерб бирж от кибератак, под подсчётам аналитиков, составил не менее $877 млн. Прямым взломам подверглись как минимум 13 криптобирж, однако киберпреступники нередко атакуют и конечных пользователей, что также приводит к ущербу для бирж. В 2016-2017 годах количество подобных инцидентов выросло более чем в три раза. Например, вирус Coinminer работает так: человек заходит на взломанный сайт, возможно, довольно известный, и на его компьютер незаметно устанавливается программа, которая начинает майнить криптовалюту. То есть незаметно от вас ваш компьютер начинает кому-то зарабатывать деньги. У нас есть покрытие от неправомерного использования вычислительных ресурсов, в том числе на такие случаи.
Вообще, конечно, вы выманили уже достаточно секретов, но приоткрою ещё одну завесу. Один из наших партнёров завершил создание международной скоринговой системы, которая позволит оценивать надёжность криптовалютных бирж с точки зрения кибербезопасности. Оценка проходит по целому ряду критериев, в том числе по уровню технической безопасности, надёжности хранения ключей, паролей и персональных данных клиентов. Также оценивается инфраструктура и архитектура, чтобы определить способы противостояния потенциальным угрозам. По мнению аналитиков к 2023 году общемировой рынок страхования криптовалютных активов будет оцениваться в $7 млрд. Поэтому да, мы работаем и в данном направлении.
Как нашумевшие случаи с вирусами Petya и т.п. повлияли на методы кибербезопасности и кибер-страхования?
Да, программы-шифровальщики произвели большой взрыв в сфере кибербезопасности и за её пределами. Понятно, когда жертвами становятся домашние компьютеры или малый и средний бизнес, не настолько зрелые, не располагающие большими бюджетами на кибербезопасность. Но успешные атаки на российских телеком-операторов и нефтяные компании в 2017 году показали, насколько технологии атак опередили применяемые инструменты защиты, если заразили такие большие организации. Существует мнение, что это были тестовые, аналитические атаки и цель заработать не стояла.
От шифровальщиков у нас тоже есть страховая защита. Мы не выплачиваем напрямую выкуп, потому что это противозаконно, зато можем оплатить работы квалифицированного партнёра по гарантированному восстановлению данных, возместить недополученную прибыль в результате перерыва в деятельности. И кстати, ошибочно предполагать, что после оплаты выкупа данные вернут. Шифровальщики сейчас - это тренд, во второй и последующих волнах этим решили многие заняться, пишут свои версии, даже не проверяя, могут ли данные быть корректно расшифрованы и отправлены обратно. Им главное – получить деньги, остальное не важно.
У нас есть покрытие от утраты данных и хищения интеллектуальной собственности, в том числе в случае промышленного кибер-шпионажа.
Какие еще любопытные случаи кибер-атак зафиксированы?
Интересный пример – ботнет Mirai. В единую вычислительную сеть были объединены сотни тысяч камер, кофеварок, серверов и различных прочих интернет-вещей (умных устройств, подключенных к интернету). И с помощью этой системы были осуществлены мощные DDoS-атаки. Это также попадает под понятие неправомерного использования вычислительных ресурсов, от которых мы страхуем.
В результате хакерской атаки на систему обработки багажа 20 тысяч пассажиров не могли вылететь из Лондона. Было отменено 59 рейсов. Только представьте их убытки.
Есть пример утечки персональных данных 420 тыс. действующих и бывших сотрудников крупного российского банка.
Недовольный австралийский инженер системы SCADA из компании Maroochy Water Services, намеренно спровоцировал разлив 800 тысяч литров сточных вод в местные парки, реки и даже на территорию отеля Hyatt Regency.
Один из разработчиков известной операционной системы недавно выпустил обновление, удаляющее личные данные пользователей.
Немало примеров утечки пользовательских данных в крупных социальных сетях.
Крупный известный интернет-магазин из периодической недоступности клиентам в результате DDoS-атаки недополучил десятки млн. долларов США в предрождественский период.
В рядовой компании произошёл обрыв линий связи с облачным провайдером и базовые ИТ-сервисы, включая почту, оказались недоступны сотрудникам офиса.
Сотрудники российского аэропорта и автоконцерна пользуясь электричеством работодателей добывали криптовалюту, разместив мощные вычислительные фермы.
И так далее. На самом деле примеров с каждым днём всё больше и больше.
ВСС совместно с фондом «Сколково», Минфином, ЦБ РФ и Минкомсвязи поручено подготовить предложения по страхованию кибер-рисков, это включено в план по реализации национального проекта «Информационная безопасность». Обсуждается возможность использования налоговых льгот и отнесения затрат на защиту на расходы предприятий. Что, на Ваш взгляд, должно быть учтено при работе над этим документом?
Я считаю, что популяризация добровольного страхования рисков, связанных с информационной безопасностью, это, безусловно, важная и нужная задача. И я уверен, что ведомства, которым она поручена, прекрасно с ней справятся. Мы тоже участвуем в этом процессе. Необходимо проанализировать нормативную базу и выстроить сквозную скоринг модель, положения кибер-страхования, возможно, это надо выделить в отдельный документ. Также надо определить, какие сферы деятельности должны страховаться, какие носить рекомендательный характер. В идеале мы, конечно, хотели бы, чтобы страховалось все, что можно, ведь это преимущества для наших клиентов и наш хлеб.
Например, с 1 января 2018 года вступил в силу Федеральный закон № 187-ФЗ «Об информационной безопасности и критических информационных инфраструктурах». Возможно, для некоторых категорий предприятий, подпадающих под действие данного законодательства, стоит предусмотреть обязательное киберстрахование. Если в результате кибер-атаки выйдет из строя, к примеру, электростанция, и не то что город, а целый регион останется на длительное время без электричества, не будут работать системы жизнеобеспечения в медицинских учреждениях, это будут колоссальные убытки для всех. Такие моменты, возможно, требуют обязательного страхования. В страхование кибер-рисков заложен риск ответственности при нанесении ущерба чужому имуществу, жизни и здоровью людей в результате кибератаки.
В числе других нормативных актов, имеющих отношение к киберзащите, я бы упомянул, прежде всего, 149-ФЗ Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.2006, а также закон по государственно-частному и муниципально-частному партнерству 224-ФЗ, закон 39-ФЗ и др. В рамках их реализации можно было бы предусмотреть страхование ответственности разработчиков информационных систем (как ИТ-систем предприятий в целом, так и отдельных систем). Как я упоминал ранее, для некоторых компаний это принципиальное условие заключения договора с разработчиком заказной ИТ-системы, позволяющее быть в полной мере уверенным в результате и в безопасности бизнеса.
Есть ли в России емкость для принятия рисков такого масштаба, и насколько реально разместить их за рубежом? Как вообще осуществляется перестрахование кибер-рисков?
Разместить возможно, и нам есть что предложить рынку. Наша компания сотрудничает со всеми ведущими международными и российскими брокерами, есть эксклюзивные прямые выходы на емкости континентального европейского рынка. Совокупную перестраховочную емкость мы оцениваем в несколько сотен миллионов долларов, что с лихвой закрывает потребности в лимитах даже самых крупных компаний.
Не ощущаете ли Вы, будучи чисто российской компанией, конкурентную уязвимость по сравнению с дочерними компаниям зарубежных страховых групп, предлагающих глобальные программы своих материнских структур, опирающихся на их опыт, статистику, возможно, другую, более совершенную систему расчета тарифов?
Практика текущего года показывает, что мы достаточно уверенно чувствуем себя в данном направлении, ощущаем себя даже лидером, визионером отрасли страхования киберрисков. Мы выпустили свой продукт в феврале, собрали уникальную команду на рынке страхования, счет клиентов, застраховавших свои риски, идет уже на десятки, не смотря на небольшой срок жизни продукта.
На мой взгляд, руководство компании «АльфаСтрахование» очень грамотно подошло к созданию продукта. Сначала подготовили страховую часть, сделали андеррайтинг, написали правила с учетом мировых практик, с оглядкой на эти западные компании сделали некоторые улучшения, безусловно, учли и российские реалии. Когда эта страховая база была готова, в команду для дальнейшего развития и продвижения продукта пригласили экспертов по информационным технологиям и кибербезопасности.
У нас есть понимание, как работает данная индустрия, какие могут быть инциденты, какие могут допускаться ошибки персоналом и подрядчиками (от чего, кстати, мы тоже страхуем). Выстроена партнерская экосистема с лидерами ИТ/ИБ-отрасли, что позволяет идентифицировать потенциальные киберугрозы для клиента, объективно оценивать риски и предлагать понятные для рынка решения.
У западных компаний, как мы сейчас видим, такого нет, нет широкого покрытия и набора рисков, нет настолько проработанной и развитой экосистемы. Кроме того, клиенты с осторожностью смотрят на их предложения, потому что текущий период – период санкций, и не всегда понятно, что делать в случае, если что-то произойдет. А у нас подход такой, что мы для клиента являемся единой «точкой входа»: если у него что-то случилось, мы в рамках страхования можем сделать все – зафиксировать инцидент, провести расследование, восстановить работоспособность сервиса, при чём всё от и до зафиксировано в договоре страхования, что и делает продукт понятным. Клиенту не нужно будет искать, кого привлечь, кто может поставить оборудование, как судиться с виновниками и т.д.
Какие категории клиентов покупают кибер-страхование – это крупные и продвинутые компании или наоборот мелкие покупатели небольших, возможно, коробочных решений?
У нас есть и коробки, они актуальны для малого и среднего бизнеса, там лимиты небольшие. Те компании, которые пришли страховаться, это преимущественно крупные, зрелые компании, с собственной системой управления рисками и внутренним аудитом, у них отдельно выделены специалисты по информационной безопасности и отдельно – по ИТ. По отраслям это промышленность, пассажирские перевозки, крупные онлайн-сервисы, провайдеры облачных систем, ритейл, финансовые организации, операторы связи, представители ИТ-индустрии.
Есть разработчики информационных систем безопасности, которые видят в кибер-страховании дополнительную ценность для своих продуктов. Технически безопасность нельзя гарантировать на 100%, и в случае атаки никто не вернет потерянные деньги. Страхование же повышает привлекательность продукта тем, что вендор не только предоставляет качественные технические решения, но и заботится о своих клиентах на случай не предвиденного сбоя или эксплуатации уязвимости в период её устранения.
Провайдеры облачных услуг теперь могут не только в рамках % от месячного тарифа возмещать убытки от недоступности своих сервисов клиентам, а покрывать полноценно их финансовые потери. Партнёр может выступать либо страхователем, либо агентом.
Продукты кибер-защиты – это исключительная прерогатива корпоративного страхования, или существуют страховые продукты информационной безопасности для частных лиц? Есть ли вообще интерес к такой защите у частных пользователей?
Пока к нам напрямую таких запросов от физических лиц не поступало, но с некоторыми разработчиками и поставщиками услуг мы работаем в данном направлении. В частности, совместно с несколькими операторами связи мы уже подготовили и сформулировали наше видение коробочного кибер-продукта для физлиц. Скоро он начнет запускаться на рынок.
Для физлиц может быть актуальной страхование от утраты информации, от шифровальщиков. Популярность атак на финансовые организации и на физлиц практически одинаковая, потому что это незащищенные компьютеры, их легко взломать, проникнуть в банковские приложения, списать деньги со счетов. Так что эта защита очень актуальна и для простых обывателей.
Давайте поговорим немного о ценообразовании в страховании кибер-рисков. Какие параметры и факторы влияют на тариф?
Страхование – доступный инструмент, и не стоит слишком много. Как правило, тариф лежит в диапазоне от 0,75 до 1,5 процентов в год и зависит от профиля риска и выбранных страхователем секций внутри программы. Так, страхование перерыва в коммерческой деятельности чаще всего приводит к смещению тарифа к верхней границе интервала. Поскольку информационные технологии – это динамично развивающаяся отрасль, мы постоянно корректируем тарифную политику с оглядкой как на текущую конъюнктуру рынка, так и на поступающую нам информацию об актуальных угрозах. Мы сами (наш экспертный штаб) и наши партнеры постоянно держим руку на пульсе, смотрим, что появляется на рынке, какие новые киберугрозы выходят в свет, и в соответствии с этим предлагаем новые виды защиты. Как я говорил - это своего рода «гонка вооружений» – киберпреступность и меры защиты от нее развиваются параллельно.
Если это гонка, насколько тарифы являются актуарно обоснованными, с учетом того, что каждый следующий риск – новый, не имеющий статистической базы?
Оценку риска делают наши собственные эксперты, привлекаются также профильные компании. Конечно, мы с клиентами обсуждаем, какие у них были инциденты в прошлом, и даем тариф с учетом всей информации. Мы имеем ряд статистических данных, скоринг модель, недостающую информацию берём от клиентов, так как важно понимать ретроспективные показатели страхуемой системы в конкретном клиенте.
Мы оцениваем уровень защищенности, учитывая не только технологические аспекты, но и анализируем внутреннюю нормативную базу. Мы изучаем, что компания будет делать, если что-то пойдет не так, какими будут действия персонала, не приведут ли они к еще большему ущербу. Могут быть выданы рекомендации по проведению обучения по кибербезопасности у наших партнеров. Можем провести имитацию кибератаки и выполнить тест на проникновение. Мы подразумеваем, что компания, приобретающая киберстрахование, должна ответственно относиться к своей безопасности и предпринимать все адекватные меры защиты. Конечно, мы всегда предлагаем клиенту сначала максимально широкое покрытие, в комплексе включающее ошибки персонала, просто «человеческий фактор» или специальные умышленные действия, а также действия подрядчиков (случайные и умышленные). Но необходимости заботиться о себе это не отменяет.
Каковы основания для отказа в выплате по кибер-страхованию?
Мы расследуем причины инцидентов, смотрим, не попадает ли случай в перечень исключений из покрытия, которые выбрал клиент при заключении договора и подсчете тарифа. Страховщик отказывает в страховой выплате в порядке и сроки, предусмотренные в договоре, если заявленное страхователем событие не является страховым случаем в соответствии с условиями правил и договора страхования. Поэтому рекомендуем не урезать покрытие, ошибочно полагая, что так станет дешевле – при наступлении страхового случая может выйти гораздо дороже. Более того, проводя оценку риска, мы можем видеть слабые места, и если клиент упорно не хочет от них страховаться, это говорит об общей уязвимости системы, и тариф будет значительно выше. Если при расследовании выяснится, что имели место умышленные действия сотрудника, и компания не застраховалась от такого риска, это будет поводом для отказа.
Более подробно перечисленные и другие основания сформулированы в правилах страхования – они достаточно объемны и подробны, все желающие могут с ними ознакомиться, поэтому предлагаю читателя не обременять цитатами. Но если конкретного клиента что-то не устраивает, то всегда можно предусмотреть дополнительные условия в его договоре страхования, скорректировать формулировки, учитывая специфику и потребности клиента.
Какие перспективы, на Ваш взгляд, у российского рынка кибер-страхования в будущем?
Интерес к киберстрахованию растет. Существует экспертная оценка страховых премий к 2025 году на российском рынке в размере 1 млрд руб. На наш взгляд, она существенно занижена, такой показатель будет достигнут в ближайшие 2, максимум, 3 года. Рынок киберстрахования будет активно развиваться, продолжится «гонка вооружений». Как только будет выявляться новая угроза, новый риск для наших клиентов, мы предложим актуальное решение, учитывающее потребности рынка и вызовы цифровой эпохи.