В 2018 году число киберпреступлений в России выросло в два раза. Только по официальным данным Генпрокуратуры произошло больше 150 тыс. инцидентов. В среднем ежемесячно регистрируют больше 13 тыс. атак. Доля таких преступлений выросла с 4,4% до 8,1%, при этом расследовано только 31,8 тыс. Если смотреть статистику за 10 лет, киберпреступность продемонстрировала рост в 10 раз.

Киберпреступления включают распространение вредоносных программ, взлом паролей, кражу номеров и паролей банковских карт, в том числе корпоративных, мошенничество с платёжными системами и другое. Конечно, больше всего потерь несёт бизнес. В 2018 году сумма потерь превысила 1,4 млрд руб. Поэтому важна защита от подобных угроз – не только за счёт оптимизации и улучшения ИТ-технологий, но и за счёт страхования от киберинцидентов.

Объект страхования – имущественные интересы клиента. Они могут быть связаны с рисками:

• наступления ответственности за причинение ущерба имуществу граждан и других юридических лиц;
• наступления непредвиденных расходов;
• получения убытков от перерывов в производстве.

Защитить компанию с помощью страхования можно одним из двух способов.

В него включают риск кибератаки. Также можно приобрести страховку от киберугроз отдельно. Но в нашей стране такие продукты – редкость. В частности, программы страхования от киберугроз предлагают «АльфаСтрахование», «Сбербанк Страхование», «Согаз», «Альянс» и ещё нескольких крупных игроков рынка.

Договор можно заключить как на все, так и на отдельные киберриски. Есть стандартные пакеты и индивидуальные. Вторые ещё называют конструкторами – клиент выбирает услуги под особенности бизнеса.

Что касается базовой программы, в неё входят риски утраты и искажения данных, программного обеспечения, разглашения персональных данных, расследование и диагностика кибератак. В полис-конструктор можно включить риск хищения интеллектуальной собственности, вымогательство, ущерб деловой репутации и т.д. Цена программы страхования зависит от количества и набора рисков, покрытия и франшизы, а также рода деятельности страхователя и результатов оценки рискозащищенности.

Рассмотрим распространённые элементы киберстраховок подробнее.

Не всегда мошенников интересуют деньги. Иногда цель атаки – хищение информации о сотрудниках компании, продукции и т.д.

Атака на сетевые ресурсы и серверы может вывести из строя целые подразделения. В результате перерыва в рабочем процессе компания теряет прибыль. Эти потери компенсируют по страховому полису.

В убытки входят не только непосредственные потери, но и траты на защиту своих прав, в том числе юридическую.

Страховая компания покроет убытки и расходы, связанные с публичным раскрытием похищенной конфиденциальной информации, ложными или вводящими в заблуждение заявлениями (например, в СМИ).

Если киберпреступники требуют деньги за прекращение угрозы безопасности, клиент с согласия страховой компании выплачивает их, после чего СК возвращает ему всю сумму.

Если украденные данные разместили в публичном доступе, исказили, использовали против компании-страхователя, СК оплатит услуги по восстановлению репутации.

Полис включает также покрытие:

• расходов, связанных с восстановлением, повторных сбором или воссозданием информации после утечки или несанкционированного использования данных;
• рисков «технических сбоев» и «умышленных действий сотрудников»;
• услуг юристов, которые проводят инструктаж по предотвращению утечки персональных данных и действиям, если такая утечка всё же произошла;
• убытков, связанных с хищением денег со счетов, корпоративных карт компании.

Кроме того, по полису можно возместить убытки, связанные с проведением расследований регулирующими органами. Кстати, некоторые СК компенсируют затраты на внутренние расследования внутри компании-страхователя. Например, расходы на экспертов в области информационных технологий (услуги форензик).

Страховщик также возмещает расходы клиента по требованиям третьих лиц (например, клиентов, которые совершают покупки на сайте компании) из-за утечки данных или нарушения конфиденциальности. В полис может входить и защита в связи с требованием регулирующих органов.

Могут быть возмещены расходы на уведомление третьих лиц о произошедшей атаке, сбое, утечке данных и т.д., расходы на мониторинг после наступления страхового события (чтобы предотвратить повторную кибератаку).

Страховая компания не покроет убытки от ущерба в результате утечек данных, хакерских атак, киберугроз, которые произошли до покупки полиса. Даже если последствия от них наступили в момент действия договора.

Не подпадает под страховой случай кибератака в результате военных действий, мародёрства, вторжений зарубежных врагов, революции и других народных волнений. Теоретически это значит, что СК не покроет расходы, если киберпреступление будет организовано за границей и будет признано атакой на страну, а не на конкретную компанию.

Также в договорах страхования можно встретить любопытное исключение, касающееся того, что страхователь может лишиться выплаты из-за нечестности. Под этим понимают ненадлежащее или неполное указание стоимости товара на сайте, подлинности товара, а также несоответствие товаров, продуктов или услуг заявленному качеству и рабочим характеристикам. Также в числе исключений ошибки в обнародованных финансовых данных компании.

Не удастся покрыть убытки от сбоев в работе электричества, интернета. Сюда же относятся сбои в работе кабельного, спутникового, телекоммуникационного сетевого оборудования, включая проблемы в предоставлении услуг сторонним провайдером. Если в компании установлено нелицензионное ПО, это также станет препятствием для получения выплаты.

По данным страховщиков, интерес к киберстраховкам проявляют финансовые организации (особенно банки), предприятия энергетической и нефтяной отраслей, транспортные компании, телекоммуникационные компании. Также на подобные страховые продукты обращают внимание машиностроительные компании.

Комментирует Евгений Шешуков, заместитель генерального директора Legal-Soft: «Подобные полисы актуальны в большей степени, конечно, компаниям крупного бизнеса из-за возможности компенсации расходов на восстановление репутации страхователя и его работников, а также расходов на реагирование и упреждающую программно-техническую экспертизу, восстановление данных.

Однако сегмент малого и среднего бизнеса также может пользоваться страховыми программами для возврата части средств при заражении, а также компенсации убытков в результате нарушения безопасности компьютерных систем (заражения вредоносным ПО), уничтожения, модификации или удаления информации и др.».

Комментирует Артём Чернов, заместитель генерального директора сервиса по выбору и продаже страховых услуг онлайн Cherehapa Страхование: «Большая часть предложений страховых компаний связана с защитой от рисков фишинга (взлом персональных данных пользователя). Эти продукты активно приобретаются операторами сотовой связи и онлайн-магазинами. Также потребители таких страховых продуктов – криптобиржи. Одновременно уже создаются продукты и для предприятий реального сектора».

В США возраст рынка cyber-insurance превышает 10 лет. По данным PwC, такая страховка есть у трети американских компаний. По прогнозам к 2020 году объём киберстрахования достигнет $7,5 млрд.

В России же этот рынок узкий и нишевый. Причина в том, что компании не понимают, стоит ли тратиться на защиту от киберрисков. Страховки покупают российские подразделения международных компаний, которые такие риски, как правило, учитывают.

Дело в том, что компании, которые подверглись хакерской атаке, редко афишируют потери. Статистических данных недостаточно для полноценного андеррайтинга. В результате страховщики боятся недооценить угрозу и заламывают цены на полисы.

Ещё одна трудность – неоднозначное толкование киберриска. Кстати, эта проблема видна и на Западе. Показательный пример – иск транснациональной компании Mondelez против страховщика Zurich. На компанию обрушили хакерскую атаку, но СК отказалась платить на том основании, что использованный в атаке вирус по сути – кибероружие, а сама атака – акт военной агрессии другого государства, а значит, относится к категории обстоятельств непреодолимой силы.

Кроме того, в большинстве российских компаний нет комплексного подхода к кибербезопасности. Как правило, управлением рисками занимаются одни подразделения, а информационной безопасностью – другие.

Также в России пока не сформированы стандарты киберстрахования. Каждая компания предлагает свой подход.

Ещё одна проблема – отсутствие слаженного механизма взаимодействия государства со страховым рынком. Но над этим уже работают. К 2021 Министерство цифрового развития должно подготовить предложения по развитию добровольного страхования киберугроз.

«Вместо того чтобы полагаться на других, пусть даже самых надежных страховщиков, лучше вложиться в собственную систему комплексной защиты и принять в штат специалистов по информационной безопасности. Конечно, следует учесть, что рынок таких сотрудников в России развит слабо, спрос высок, эксперты по информационной безопасности стоят дорого (иногда даже завышено). Нанять профи может позволить себе только крупный бизнес федерального уровня. Для малого и среднего бизнеса проще нанять человека, который будет работать на упреждение рисков, а не последствий атак», – рассказывает Артём Чернов.

Мошенничество в киберпространстве набирает обороты, опережая современные средства защиты. Опасность может поджидать где угодно. Хотя страхование – цивилизованный способ защиты от рисков, в России эффективным и распространённым этот инструмент станет ещё нескоро.