Пресса о страховании, страховых компаниях и страховом рынке

Информационные технологии и директор, 26 сентября 2002 г.

Бизнес на риске

Муки становления рынка страхования информационных систем

831 просмотр

Как подойти к оценке стоимости информации? Каковы механизмы компенсации ущербов, полученных вследствие неправомерного использования информационных ресурсов? Как застраховать финансовые последствия инцидентов, связанных с информационной безопасностью? Что можно найти на рынке страхования ИТ-ресурсов?

Как известно, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов (страховых премий).

Напомним, что объектами страхования могут быть не противоречащие законодательству РФ имущественные интересы:

- личное страхование;
- имущественное страхование;
- страхование ответственности.

Мы рассматриваем вопросы имущественного страхования применительно к информационным ресурсам.

Правовой режим информационных объектов в той или иной степени определен, а вот определение стоимости (по крайней мере в России) для большинства объектов отработано значительно хуже. Если для объектов промышленного и авторского права в целом хотя бы понятно, как это можно сделать, то для конфиденциальной информации такая методология фактически отсутствует.
Существует ли объективная шкала оценки стоимости конфиденциальной информации?

Сразу выражу собственную позицию — объективной шкалы оценки стоимости конфиденциальной информации в настоящий момент не существует. Однако могут быть выработаны некоторые общие подходы к оценке информации, имеющей общенациональное значение. Например, ценность информации о том, что завтра доллар в России подешевеет на три пункта, близка к нулю. Ценность же информации, что завтра в России доллар будет стоить три копейки, для всех экономических структур и простых граждан бесконечно высока. Таких примеров можно придумать много, но, как правило, собственником подобной информации будет государство, которое защищает информацию в соответствии с законодательством о государственной тайне. А это, как говорится, совсем другая история, которая не относится к предмету нашего исследования.

Стоимость коммерческой информации субъективна. Она должна рассчитываться для конкретных условий, исходя из характеристик потребляющих ее систем, особенностей источника и получателя информации.

Существуют разные подходы к оценке ценности информации. В общем виде они формулируются следующим образом:

- прямая выгода, которая может быть извлечена в результате получения информации;
- прямые убытки, которые могут быть нанесены в результате утраты информации;
- минимальная стоимость затрат на восстановление информации.

Очевидно, что речь здесь должна идти о вероятных характеристиках – ожидаемой (потенциальной) выгоде и возможных (потенциальных) убытках. Кроме того, ценность информации зависит от времени — она может определяться степенью нехватки информации и возможной или желаемой скоростью ее получения.

Таким образом, только владелец информации (страхователь) может продекларировать ее стоимость (именно продекларировать, а не объективно определить). Алгоритм же действий страховой компании примерно такой же, что при страховании жизни и здоровья — должна быть выработана система оценки принятых мер по безопасности информации («уровень здоровья»), определена вероятность возникновения страхового случая, определены размеры страхового взноса.

Что предлагает рынок в сфере страхования ИТ-рисков?

Итак, что сегодня может быть реально застраховано в области «Страхование информационных систем»?

Информационные ресурсы: 

-  базы данных, библиотеки, архивы в электронной форме на технических носителях информации любого рода;
- программные средства и комплексы, находящиеся в разработке или эксплуатации.

Финансовые активы:

- денежные средства в электронной форме в виде записей на счетах (системы клиент-банк);
- ценные бумаги в электронном (бездокументарном) виде.

Убытки от временной приостановки коммерческой деятельности в результате страхового случая:

- недополученная прибыль за период вынужденного простоя;
- текущие расходы по прерванной деятельности (по поддержанию бизнеса в период вынужденного простоя).

Дополнительные расходы по восстановлению бизнеса:

- временная аренда оборудования и процессинговых услуг;
- расходы по срочной замене оборудования и программного обеспечения;
- расходы по расследованию страхового случая;
- расходы по защите репутации компании.

Какие же риски могут быть застрахованы? Российскими страховщиками уже сегодня может быть рассмотрен вопрос о возмещении убытков, связанных с утратой информационных ресурсов и электронных финансовых активов в результате следующих причин:

1. Сбои (выход из строя) информационных систем вследствие ошибок при их проектировании, разработке, создании, инсталляции, конфигурировании, обслуживании и эксплуатации.

2. Умышленные противоправные действия сотрудников компании.

3. Компьютерные атаки против компании со стороны третьих лиц.

4. Действия компьютерных вирусов.

5. Хищение денежных средств и ценных бумаг с использованием компьютерных сетей.

Как мы видим, рынок предлагает страхование информации, содержащейся в библиотеках, базах данных, архивах (а электронной форме или на твердых носителях), а также страхование рисков, с нею связанных. Информация страхуется по стоимости восстановления — такой подход распространен во всем мире. Данный вид страхования ориентирован на компании со значительными объемами финансовой, экономической, технической и пр. информации; на сложные информационные системы или осуществляющие часть своей деятельности с использованием автоматизированных систем, систем электронных расчетов или Интернета.

На сегодняшний день лимит ответственности устанавливается по согласованию между клиентом и страховщиком. Сумма определяется, исходя из объема и характера информационных ресурсов, имеющихся на предприятии, а также специфики его информационных систем. Клиент может застраховаться как по полному пакету рисков, так и выбрать только те, которые кажутся ему наиболее актуальными. В любом случае нижняя граница ответственности не может быть установлена ниже 50 тыс. долларов. Страховая компания обязуется выплачивать по полису убытки в течение года, до тех пор пока суммарный объем выплат не превысит лимит ответственности, указанный в страховом полисе.

Заявив на рынке услугу по страхованию информационных рисков, страховые компании, на наш взгляд, до конца этот вопрос не продумали. Текст рекламных предложений вызывает достаточное количество вопросов. Их внимательное изучение наводит на мысль: либо страховые компании начали заниматься благотворительностью (например, под страхование от ошибок программирования вполне подходит возмещение затрат, связанных с ошибками функционирования ОС Windows), либо в самом предложении содержится какой-то подвох — нельзя страховать ошибки в операционной системе, если сам производитель дает только гарантию на прочтение компакт-диска с дистрибутивом.

Требует совершенствования и сама процедура экспертизы информационной системы при страховании — в первую очередь в части разработки ее методологии. Принятая на сегодня практика не предусматривает проведения сколько-нибудь глубокого исследования эффективности принятых мер по обеспечению безопасности информации. К заявлению на страхование прилагается формализованный опросник, который должен заполнить заявитель. Впоследствии представители страховой компании проводят экспресс-оценку достоверности представленных данных. Очевидно, что при таком подходе существенно сокращаются затраты на проведение исследований, но не понятно, как при этом страховые компании на следующий же день не попадают под страховые случаи, связанные, например, с атаками на информационные системы (тот же спам, даже единичный, можно рассматривать как определенную атаку).
Необходимо признать: сегодня страховой рынок России не предлагает услуг по страхованию прав на интеллектуальную собственность.

А как вообще страховать информацию?

Выше мы уже отмечали, что стоимость информации — вещь очень субъективная.
В принципе мы согласны с принятой на страховом рынке практикой — не оценивать непонятно какую стоимость информации по непонятно каким методикам. Но косвенное страхование «интеллектуальной» информации кажется автору необходимым. На наш взгляд, это можно сделать путем страхования «финансовых последствий инцидентов с информационной безопасностью».

Использование такого подхода позволит клиенту обращаться за защитой своих информационных рисков, самостоятельно определяя их стоимость и возможных ущерб. Очевидно, что, до тех пор пока не сформируется судебная и страховая практика в этой области, подобная услуга будет очень дорогим удовольствием и воспользоваться ею захотят единицы. Но это, на наш взгляд, естественный путь эволюционного развития страхового бизнеса, который должен начинать формировать и этот рынок услуг.

Общая схема действий при страховании указанных выше рисков полностью соответствует принятой на сегодня схеме отношений «клиент — страховая компания»:

1. Определение необходимого объема страховой защиты: видов, условий страхования, лимитов и страховых сумм.

2. Заполнение анкеты-заявления на страхование.

3. Формирование коммерческих предложений с определением стоимости страхования.

4. Комплексное исследование, которое проводится независимой организацией либо представителями страховой компании. Основная цель — получить общее представление о рискозащищенности объекта.

5. Подготовка отчета и рекомендаций по результатам исследования. Согласование сроков выполнения рекомендаций.

6. Подписание договора страхования (полиса).

Естественно, страховая компания обяжет клиента выполнять определенные требования по обеспечению защиты предполагаемых к страхованию информационных ресурсов. Рынок услуг по безопасности информации в стране сформирован, основная нормативная база определена, хотя в части конфиденциальной информации к ней есть достаточно много вопросов. В связи с тем, что страховая компания рискует своими финансовыми средствами, она правомочна установить собственные требования к условиям страхования (фактически свои технические требования к системе безопасности клиента) и методологию оценки их выполнения. Уровень защищенности информации будет оцениваться в рамках исследования (аудита безопасности), проводимого страховой компанией). В этом случае исследование никак не может иметь формальный характер.

В эту схему хорошо вписывается уже начавшееся страхование своей ответственности производителями средств защиты информации, а также производителями средств ИТ. Построение информационных систем из компонент, у которых ответственность перед потребителями уже застрахована, существенно упрощает процедуру страхования системы в целом и может явиться основной для привлечения внимания именно к таким продуктам.

По сути, в России рынок страхования информационных систем так еще и не сложился. По-видимому, основными потребителями его услуг в ближайшее время будут в основном финансовые организации, заинтересованные в повышении своей привлекательности, компании, предоставляющие разнообразные интернет-услуги (в первую очередь, платежные системы). При этом основной целью этих компаний будет не получение компенсации за понесенный ущерб, а чисто рекламные цели. Как раз рекламная подоплека будет являться существенным тормозом становления эффективного страхового рынка, компенсирующего именно ущерб. Тем более что страховые компании и сами не готовы к иному подходу в этом бизнесе. Существует молчаливое соглашение сторон о некоторых не очень обременительных правилах игры, которые всеми участниками выполняются. Обидно, что крайними в этом случае, как всегда, окажутся рядовые, ни в чем неповинные граждане.

ОТ РЕДАКЦИИ

Мы заинтересовались, как обстоит сегодня дело со страхованием информационных рисков в страховых компаниях, действующих на российском рынке. Проведя опрос ряда известных страховых компаний, среди которых: Ингосстрах, Сибирь, Спасские ворота, Согласие, АльфаСтрахование, Промышленно-страховая компания, РЕСО-Гарантия, РОСНО, Инфистрах, мы получили следующую информацию.

Большинство опрошенных сообщили, что подобные услуги ими не оказываются, ссылаясь на отсутствие методик оценки стоимости столь тонкой материи, как информация. В ряде компаний нам ответили, что подобное страхование просто невозможно, так как оно не входит в перечень утвержденных услуг, которые могут предоставлять страховые компании. И только в компаниях РОСНО и Инфистрах (бывшая АСКО) оказываются услуги по страхованию информационных рисков, но не в полной степени. В частности, РОСНО предлагает страхование информационных рисков, связанных с потерей информации, куда входят преступления в сфере компьютерной информации и электронных средств связи, а именно:

- уничтожение информации в результате противоправных действий третьих лиц, а также хищения или уничтожения устройств ее хранения;
- модификация ввода, блокирования или уничтожения информации в электронно-вычислительной системе связи, осуществленной третьими лицами в результате неправомерного доступа и приведшей к выполнению действий, повлекших убытки;
- вывода из строя устройств обработки, хранения и передачи информации.

При этом, как отметил г-н Хохлов С.И., специалист отдела страхования информационных рисков, услуги по страхованию собственно информационных рисков ими не оказываются.

Инфистрах осуществляет страхование информационных рисков в сотрудничестве с Министерством по связи и информатизации и Всероссийским научно-исследовательским институтом проблем вычислительной техники и информатизации (ВНИИПВТ). В настоящее время компания имеет лицензию на два вида страхования в области информатизации и телекоммуникаций.

МАКСИМЕНКО С.

В материале упоминаются: Компании, организации: АльфаСтрахование 13847 Ингосстрах 14107 Инфистрах 8 Промышленно-страховая компания (ПСК) 168 [УралСиб 2065] РЕСО-Гарантия 6317 РОСНО 2460 [Зетта Страхование, АО 56] Сибирь 4 Согласие 7031 Спасские ворота (ЗАО) 548

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »