Цифровая трансформация бизнеса и переход к облачной инфраструктуре неминуемо повышают риск нарушений конфиденциальности и защиты данных. Компании, сфокусированные на цифровой перестройке, все чаще сталкиваются с подобными инцидентами, чреватыми причинением ущерба третьим лицам, приостановкой деловых и технологических процессов. Гарантированно защитить информационные активы становится все сложнее из-за постоянно меняющейся модели угроз и из-за увеличения числа возможных точек отказа в ИТ-инфраструктуре.
Эксперты предлагают несколько способов минимизировать киберриски. Во-первых, риск можно полностью исключить, если отказаться от технологии или процесса, которые этот риск провоцируют. Это, по сути, означает отказ от развития бизнеса и продолжения конкурентной борьбы. Другая тактика предусматривает снижение выявленного риска путем приобретения и установки соответствующих средств информационной безопасности. Проблема в таком случае не снимается полностью, но уменьшается вероятность инцидентов информационной безопасности. Третий вариант – принять возможный риск, но нивелировать его возможные последствия, прибегнув к резервированию критичного производственного процесса. Для этого потребуются значительные инвестиции, а значит, вырастет себестоимость продукции. Но есть и четвертый вариант – передать киберриски сторонней организации, тем самым застраховавшись от них.
Пионером в страховании от киберрисков являются США, там подобные услуги предоставляются с середины 1990-х годов. Толчком к развитию данного рынка послужил принятый в свое время законодательный акт, обязывающий американские компании публиковать сведения обо всех произошедших у них утечках данных. Это вынудило предприятия принять дополнительные меры для защиты бизнеса. В результате на американском рынке уже более 50 страховых компаний предлагают полисы страхования от киберрисков. Совокупный объем страховых премий, полученных ими в прошлом году, составил более 2,5 млрд долл. В Европе показатели скромнее – объем рынка оценивается в 250-500 млн евро. Но и в Старом и в Новом Свете эти цифры ежегодно демонстрируют двузначный рост (увеличиваются более чем на 10%).
Ожидается, что в мае 2018 года в ЕС будет принят закон о защите данных, аналогичный действующему в США. Это приведет к еще большему оживлению на рынке страхования киберрисков. Готовящийся закон будет иметь экстерриториальный характер, поэтому распространится и на российские компании, ведущие свои операции на территории Евросоюза.
Отечественный рынок страхования от киберрисков еще только формируется, предложений очень мало, и условия страхования в разных компаниях сильно различаются. Но есть три области, которые стараются охватить почти все страховщики: причиненный вред третьим лицам, пострадавшим от инцидента; убытки самого страхователя, в том числе утрата прибыли и затраты на восстановление прерванных бизнес-процессов до уровня, предшествующего нападению; потери, связанные с непреднамеренным нарушением стандартов и требований законодательства в результате инцидента.
ИТ-директора, решившие застраховать свои ИТ-активы от возможных инцидентов в области безопасности, должны знать, что вряд ли смогут возместить убытки от перерыва в производстве, если в компании была зафиксирована лишь некая утечка данных, но не было полной или частичной недоступности компьютерных систем. Ущерб не возместят и в случае использования на предприятии нелицензионного софта. Также полис не покрывает риски, связанные с отключением ИТ-систем от электричества или внешних телекоммуникационных каналов. Сбои облачных сервисов, предоставляемых клиенту сервис-провайдерами, тоже обычно не рассматриваются как страховой случай.
И наконец, из-за того что статистики по инцидентам и выплатам еще не накоплено, обоснованной методики расчета страховых тарифов пока просто не существует и цена полиса определяется индивидуально для каждого страхователя. Таким образом, страхование от киберрисков в России остается делом весьма рискованным, хотя и перспективным.
- Алексей Есауленко