«ОСАГО для IT»: почему страхование киберрисков еще не стало обязательным

Кибератак становится все больше и больше. Однако страхование до сих пор не стало обязательным. Одна из причин — фирмы часто скрывают данные об утечках. Что мешает ввести «ОСАГО для IT», рассказывает Владимир Новиков, директор по рискам «СберСтрахования».

По данным Positive Technologies, в 2022 году количество обнаруженных киберинцидентов выросло на 50% по отношению к 2021 году, а за девять месяцев 2023 года — еще на 76%. Речь идет об уничтожении онлайн-инфраструктуры компаний, установке вредоносного ПО, удалении значимой информации и других действиях. Отдельная проблема —утечки персональных данных пользователей. По данным Роскомнадзора, за 2023 год в сеть попали более 300 млн записей о россиянах.

Наказание за утечки пока очень мягкое

Сейчас утечки пользовательских данных грозят бизнесу в основном репутационными потерями. Максимальный размер штрафа составляет до 100 тыс. руб., а практика получения компенсации через суд развита слабо. Тем не менее законодательство в этой сфере постепенно ужесточается. Так, в январе прошло первое чтение поправки к KoAП РФ: по ней за незаконную передачу данных нескольких тысяч человек бизнесу грозит штраф от 3 млн до 5 млн руб. Еще строже наказываются утечки данных спецкатегорий (к ним относится, например, информация о здоровье) — от 10 млн до 15 млн руб.

Страхование от утечки персональных данных начали обсуждать в Минцифры еще в 2022 году, инициативу поддержали в Совете Федерации. К лету 2023 года инструмент получил название ОКРУГ (сокращение от «обязательное киберстрахование рисков и угроз»). Что именно будет покрывать полис и в пределах каких сумм, пока обсуждается. В феврале 2024 года в Совете Федерации разработали законопроект о страховании ответственности операторов персональных данных. Закон должен обеспечить пострадавшим компенсацию вреда в случае утечки их персональных данных.

Компании не спешат покупать страховки

Киберстрахование появилось на российском рынке в середине 2010-x годов. В широком смысле оно работает с инцидентами, причиной которых стало нарушение кибербезопасности: это может быть как утечка данных, так и остановка производства, если к ней привел вредоносный вирус.

Страховаться от киберугроз может компания любого размера, но в России такой тип полисов сегодня непопулярен: по нашей оценке, их оформляют менее 5% компаний.

В основном это цифровые гиганты, а малый бизнес о проблеме не задумывается. По данным Всероссийского союза страховщиков (BCC), из 15 страховых компаний, входящих в профильную рабочую гpyппy, только шесть реально заключали договоры по киберстрахованию в 2022 и 2023 годах.

Сделать киберстрахование обязательным сложно

Несмотря на важность инициативы, с ее реализацией связаны сложности. Главная из них — недостаток данных. Поскольку сегодня от киберугроз страхуются компании, уделяющие внимание информационной безопасности, страховые случаи происходят нечасто. К тому же информация о киберинцидентах довольно чувствительная: некоторые компании предпочитают не разглашать факт взлома. В нашей практике был случай, когда клиент обратился за компенсацией, но не допустил на территорию экспертов для расследования инцидента. Такая ситуация мешает получать объективную статистику о количестве успешных хакерских атак на российские компании.

Страховые компании могут анализировать лишь несколько десятков зафиксированных страховых случаев. Для сравнения, когда произошел переход к обязательному автострахованию, у участников рынка был опыт наблюдения более чем за 300 тыс. автомобилей и урегулирования примерно 15 тыс. инцидентов. Без достаточного объема данных сложно оценивать риски, рассчитывать размер потенциальных компенсаций и, соответственно, страховых взносов.

Сложность связана и с возможным объемом утечек. Сегодня максимальное покрытие по одному страховому случаю, которое готовы предложить страховщики, по разным оценкам, составляет от 1 млрд до 2 млрд руб. Этого может быть недостаточно для покрытия того ущерба, который наносят кибератаки.

Частично решить проблему может переходный период, во время которого власти будут стимулировать бизнес оформлять полисы добровольно. Это могут быть, например, налоговые послабления — такие меры важны, поскольку затраты на киберстрахование практически невозможно включить в себестоимость производимой продукции. Переходный период нужен и для разработки самих программ — андеррайтинга, способов оценки рисков и урегулирования страховых случаев.

На начальном этапе, как и в случае с OCAFO, стоит ограничить круг страховых компаний, предъявить к ним дополнительные требования по капиталу. Так участники рынка будут уверены, что компании смогут обеспечить выплату при наступлении етрахового случая и избегут негативного опыта на первом этапе внедрения продукта.

Помочь может Всероссииский союз страховщиков

Как именно будет выглядеть страхование ответственности операторов персональных данных, сейчас обсуждают участники рынка, профильные министерства и ведомства. По сути, требуется разработать тигіовой продукт, который будет покрывать случаи утечки персональных данных — своего рода ОСАГО для киберсферы. В нем должны быть учтены ответственность страховщика, порядок получения выплаты, фиксации страхового случая, его урегулирования, а также созданы алгоритмы для оценки степени риска оператора персональных данных.

Если разработать такой продукт на базе BCC, он автоматически станет обязательным для использования всеми страховщиками, которые входят в союз, без дополнительного законодательного урегулирования.

Несмотря на сложности, нынешняя ситуация — хорошая возможность выстроить такую систему защиты, которая будет помогать бизнесу любого размера быстро получать помощь в случае столкновения с подобными угрозами.