Пресса о страховании, страховых компаниях и страховом рынке

РЖД-Партнер, 27 апреля 2021 г.

Беззащитная цифра

363 просмотра

Цифровые риски пока еще не общепризнаны, и покрытие от них не пользуется большой популярностью. Тем не менее страховой рынок уже присматривается к растущему спросу на такую защиту. Формирование комплексной защиты от киберинцидентов подразумевает страхование электронного оборудования, профессиональной ответственности в IT-сфере, данных клиентов и информации.

История вопроса

Рынок страхования развивается по своим законам: практика защиты от определенных рисков возникает только после осознания (и переживания) последствий какой-либо новой угрозы. А потому прежде чем говорить о киберрисках, следует провести линию и понять, чем они отличаются от привычных нам. Для этого потребуется небольшой экскурс в историю страхования имущества. «Первоначально имущество страховалось от наиболее разрушительного риска – повреждения огнем. С течением времени к покрытию добавились иные риски (повреждение водой, стихийные бедствия, противоправные действия третьих лиц), поэтому еще в начале 2000-х гг. на российском страховом рынке можно было услышать «страхование от огня и сопутствующих рисков». Дальше в обиход вошло понятие страхования «от всех рисков» (имущество считается застрахованным от любого риска внешнего воздействия, специально не исключенного по тексту полиса или правил страхования), а страхование от огня переросло в покрытие «от поименованных рисков» (покрываются только те риски, которые перечислены в полисе, – пожар, взрыв и т. д.). События 11 сентября 2001 года в США привлекли внимание сообщества к страхованию от террористических рисков, которые стали дополнением к двум указанным выше покрытиям – «от всех рисков» и «от поименованных рисков». Развитие транснациональных корпораций привело к тому, что на международном уровне пришлось искать покрытие «от политических рисков», которое является частым исключением из существующих программ страхования имущества, – так появилось страхование от экспроприации, военных рисков и т. д.», – рассказывает Павел Липатов, директор департамента страхования корпоративного бизнеса ООО «Абсолют Страхование».

С развитием технологий и средств дистрибуции информации стало очевидным, что имущество может пострадать от несанкционированного доступа к ней и системам управления. Глобальные убытки от киберпреступности и расходы на защиту от киберпреступлений увеличились более чем на 50% за 2 года и в 2020-м составили $1,1 трлн, или более 1% мирового ВВП, говорится в исследовании «Скрытые издержки киберпреступности» компании McAfee.

Согласно выводам аналитиков, кража интеллектуальной собственности и финансовые преступления составляют 75% киберпотерь и представляют наибольшую угрозу для компаний. В отчете также рассматривается ущерб бизнесу, выходящий за рамки финансовых потерь (простои, удар по репутации бренда и снижение эффективности): 92% организаций сообщают о таких последствиях. Кстати, средняя стоимость самого длительного простоя среди опрошенных в рамках исследования компаний в 2019 году составила $762 тыс. Около 33% рес пондентов заявили, что инциденты в сфере IТ-безопасности, приводящие к простоям системы, обходятся им в сумму от $100 тыс. до $500 тыс.

К основным способам помощи в борьбе с киберпреступностью относятся: централизованное внедрение основных мер безопасности, повышение прозрачности со стороны организаций и правительств, стандартизация и координация требований кибербезопасности, повышение осведомленности сотрудников в области кибербезопасности и разработка планов предотвращения и реагирования. Но и этого зачастую бывает недостаточно. Поэтому и возникает интерес к страхованию от цифровых рисков.

Рынок киберстрахования находится в зачаточном состоянии по сравнению с более устоявшимся рынком коммерческого страхования, однако темпы его роста значительны. Компания MarketsandMarkets подсчитала, что объем мирового рынка киберстрахования в 2020 году составил $7,8 млрд. К 2025-му, как ожидается, эта цифра достигнет $20,4 млрд. Ежегодный рост прогнозируется на уровне 21,2%. Спрос на подходящую страховую защиту и услуги по профилактике киберрисков растет экспоненциально, но не во всех странах.

На отечественном рынке цифровые риски пока еще не общепризнаны, и покрытие от них не пользуется большой популярностью, отметил П. Липатов. Тем более в логистической сфере. Вот только прятать голову в песок и делать вид, что заботиться не о чем, нельзя: число киберпреступлений в России выросло в 11 раз за 5 лет, сообщается в докладе «Состояние преступности в России» за 2020 год, подготовленном управлением правовой статистики и информационных технологий Генпрокуратуры. По данным ведомства, в 2020 году на преступления, совершенные с использованием информационнотелекоммуникационных технологий или в сфере компьютерной информации, приходилось одно из каждых четырех регистрируемых преступлений.

По подсчетам Сбербанка, на борьбу с последствиями кибератаки крупные российские компании тратят в среднем порядка 11 млн руб. Для среднего и малого бизнеса эта цифра заметно ниже и составляет 1,6 млн руб. Специалисты Сбербанка полагают, что в обозримой перспективе, к 2025 году, российский рынок страхования информационной безопасности вырастет до 10 млрд руб.

Беззаботность логистов

Киберрискам подвержены все участники логистических процессов: грузовладельцы, сервисные платформы, перевозчики и государственные органы. «Как минимум в страховке нуждаются все компании, которые осуществляют обмен информацией во внешней среде, например, с получателем или отправителем товара, у которого есть заявки или практика подписания части документов в электронном виде. В принципе, все это уже является стандартом отрасли», – подчеркнул Виталий Шахназаров, директор по качеству Corex Logistics. Однако на рынке сложилась устойчивая картина: грузовладельцы страхуют грузы, перевозчики – профессиональную ответственность и дебиторскую задолженность, экспедиторы – все перечисленное. А вот о защите от киберрисков позаботились пока разве что цифровые платформы, занимающиеся автоматизацией грузовых перевозок. Хотя в первую очередь грузовладелец и оператор не всегда применяют наиболее продвинутые технологии, отдавая предпочтение дешевым электронным продуктам, которые исправно выполняют свою функцию, но не обеспечены серьезной защитой от кибератак.

На Западе драйвером роста рынка страхования от киберрисков являются штрафы хозяйствующему субъекту при разглашении персональных данных, то есть полисы построены на том, что покрывают расходы юридического лица на восстановление защиты и оплату штрафных санкций при утечке персональных данных пользователей – физических лиц, рассказывает П. Липатов. Однако эксперт предупреждает, что было бы неправильным ограничивать киберриски только страхованием от штрафов.

Есть и иные примеры повреждения, а нередко и утраты имущества в результате киберпреступления. Очень часто в пример приводится Иранская АЭС, на которую было совершено нападение, также часто вспоминаются вирусы и вредоносное ПО Petya или Wanna Cry. «Говорят об огромных потерях в результате блокировок компьютеров, но подобные случаи пока что носят характер катастрофических событий, которые в силу отсутствия накопленного статистического материала очень тяжело оцифровываются страховщиками, поэтому предложение по ним не так велико», – пояснил П. Липатов.

Кроме того, использование информационных технологий не ограждает от технических проблем, то есть поломки оборудования и нарушений работы программного оборудования. В случае если компания не прибегает к облачным сервисам хранения информации, часть данных может быть потеряна без возможности восстановления. Хотя это грозит и бумажным документам, все же риск моментального исчезновения архивов в информационном пространстве гораздо выше.

Не всегда ущерб в результате кибератак или инцидента с нарушением кибербезопасности носит материальный характер, уточнила начальник отдела страхования ООО «Байкал-Сервис ТК» Светлана Лемешева. В случае проникновения в систему возможна не только потеря конфиденциальной информации, но и прямое вмешательство в бизнес-процессы, которое оборачивается потерей грузов, а зачастую и уходом партнеров, не готовых более рисковать своими активами, рассказала основатель компании Incentre Елена Харламова. «Такой ущерб довольно сложно оценить, и его размер, скорее всего, будет приблизительным», – предупредила С. Лемешева.

Гораздо проще оценить прямой ущерб с помощью решений судов и выплат клиентам. «Например, в транспортной отрасли отток клиентов в результате взлома системы и публикации сведений не страхуется, а решение суда о штрафе за утрату клиентских данных застраховать можно. Само подключение к датчикам транспортного средства не страхуется, а спровоцированная взломом авария страхуется – ущерб можно покрыть», – пояснил Кирилл Бутаев, менеджер по работе со стратегическими клиентами SAS Россия и СНГ.

Это плавно подводит нас к тем рискам, по которым накоплен достаточный аналитический материал: ими зачастую закрывают дырки в пока не проработанном покрытии цифровых рисков. В качестве примера можно привести риски недобросовестности персонала и третьих лиц, которые получают доступ к базам данных и программному обеспечению. «Например, случай из практики: продавец розничного магазина, получив доступ к базе данных цен, поставил цену одной единицы бытовой техники в 1 руб., его знакомый, вполне законно оплатив 1 руб. на кассе, стал обладателем этой единицы», – рассказал П. Липатов. Подобные риски могут быть застрахованы в рамках покрытия «от недобросовестности персонала» – нельзя сказать, что оно пользуется большой популярностью, но факт возможности покупки покрытия остается.

В целом сейчас на рынке предлагают страховать следующий набор рисков:

• информационные системы от инцидентов с нарушением кибербезопасности;
• убытки, возникшие от перерыва в хозяйственной деятельности;
• гражданскую ответственность в связи с инцидентом;
• непредвиденные расходы в связи с инцидентом;
• несанкционированное списание денежных средств со счетов.

По итогу любого разбирательства ущерб определяется в зависимости от риска. В основном оплачиваются расходы на устранение инцидента, отметила С. Лемешева. «Ущерб по законодательству РФ всегда возмещается на основании заключения или ответа независимого эксперта. Должна заметить, что услуги профессиональных экспертов в этой сфере дороги», – добавила она. Причем, как отметил В. Шахназаров, методика расчета ущерба продиктована стандартами рынка и судебной законодательной практикой. «Она очень близка к методике определения морального ущерба. Это абсолютно непрозрачная схема. По субъективной оценке, выплата всегда ниже реального ущерба, причем иногда на порядок – до смешных сумм», – посетовал эксперт.

Страховое беззаконие

Еще год назад к страхованию цифровых рисков страховые компании относились настороженно – далеко не все предлагали такие продукты. Сейчас количество предложений увеличивается, отмечает В. Шахназаров. Но чем плохо существующее предложение? «Каждый случай страхования цифровых рисков требуется обсуждать дополнительно, базовые правила чрезвычайно размыты. Страховые компании предлагают общий продукт, абсолютно невыгодный клиентам. А значит, клиенту необходим детальный анализ с привлечением собственных экспертов и формированием спектра пунктов, которые относятся к информационным рискам. По-другому, к сожалению, пока такой продукт внедрять нет возможности», – рассказывает эксперт.

И ключевая проблема в этом – не удовлетворяющая потребности как страховщиков, так и клиентов нормативная база: методика расчета отсутствует, а практика оспаривания решений, даже в судебном порядке, очень тяжела, субъективна и затратна по времени. «Если вы не сошлись во мнении со страховой компанией, судебные иски могут длиться годами. И даже если суд примет решение в пользу страхуемого, сумма выплат будет слишком мала. Это обесценивает сам смысл страхования», – поделился своим видением рыночной ситуации В. Шахназаров.

Причем некоторые страховые компании настолько не хотят платить своим клиентами в случае киберинцидента, что отправляют в компанию своих специалистов, чтобы помочь наладить безопасность на высоком уровне. И не всегда это приводит к должному результату. В. Шахназаров считает, что необходимо сформировать совершенно новый пул законодательства. Оно должно определить, что является информационным риском и что из себя представляет практика расчета возможного ущерба. Также неплохо было бы зафиксировать, как и с привлечением каких экспертных ресурсов может проводиться практика оспаривания. «Очень часто к определению возможных убытков, ущерба или рисков привлекаются крайне разнонаправленные специалисты, и их мнения просто не совпадают. Формализация в этой части позволит выработать единый экспертный подход и сформировать экспертное сообщество, которое способно оценить потенциальный или реальный ущерб от инцидента», – пояснил эксперт.

С появлением понятных стандартов, правил и практик страхования от киберрисков это направление сможет дать новый бустер для развития всего рынка страхования, с учетом масштаба и объема последствий от ослабленной цифровой защиты.

Киберрискам подвержены все участники логистических процессов: грузовладельцы, сервисные платформы, перевозчики и государственные органы. Как минимум в страховке нуждаются все компании, которые осуществляют обмен информацией во внешней среде, например, с получателем или отправителем товара, у которого есть заявки или практика подписания части документов в электронном виде

Точка зрения

Светлана Лемешева, начальник отдела страхования ООО «Байкал-Сервис ТК» –

У нас пока было только два предложения от страховых компаний. Полагаю, что страховые довольно настороженно относятся к данному виду страхования, поскольку направление новое. Предположу также, что нужно дорабатывать нормативную базу, все-таки законодательство немного отстает и не всегда успевает за быстрым развитием IT-технологий.

Виталий Шахназаров, директор по качеству Corex Logistics

 – Информационные риски страховать всегда сложнее, поскольку в них большую роль играют индивидуальные параметры. И, к сожалению, существует огромная часть рисков, к которой страховые компании относятся с большой осторожностью. Во-первых, ни одна страховая компания не застрахует от упущенной выгоды, потому что ее очень сложно оценить, – а это первый и самый главный цифровой риск. Под упущенной выгодой я имею в виду утечку инсайдерской информации о текущих контрактах и ценах, за счет чего конкуренты могут перехватить ваши контракты или выиграть тендер. Репутационные риски также невозможно оценить даже с субъективными методами и экспериментами экспертной оценки. Имеются примеры, когда информация о том, что компания подверглась кибератакам и упустила конфиденциальные данные, начинает распространяться по рынку – и это негативно отражается на результатах тендера с ее участием. Оценить подобный ущерб не представляется возможным. В целом страховка обычно защищает от взломов и повреждения данных, но эти риски не являются системными. Для сравнения: в рамках КАСКО есть максимальный предел риска – это максимальная стоимость машины. В информационных рисках этого предела нет.

Владимир Новиков, директор по рискам СК «Сбербанк страхование» –

Железнодорожный и авиационный транспорт – высокотехнологичные виды бизнеса, где практически все автоматизировано. Невозможно представить, какой урон могут нанести злоумышленники, если внедрятся в железнодорожные или авиационные системы управления: неминуемы человеческие жертвы, а также большие инфраструктурные и экономические потери. Известен инцидент, связанный с хакерскими атаками на основного железнодорожного оператора Германии – Deutsсhe Bann. 13 мая 2017 года на мониторах железнодорожных платформ и вокзалов в разных концах страны появились сообщения с требованием выкупа. На устранение атаки ушло более суток. К счастью, жертв не было, но пассажиры столкнулись с проблемами навигации. На российском рынке киберстрахования последние несколько лет работает около восьми страховых компаний, и за прошедший год их больше не стало. При этом интерес со стороны предприятий к киберстрахованию растет. Однако открытым остается вопрос трактовки данного вида страхования, степень отнесения к страхованию имущества. От этого зависит трактовка страховых премий. В отличие от стран ЕС, у нас нет принуждающего к страхованию ответственности за компрометацию персональных данных законодательства. Но с другой стороны, рост естественного интереса в России к киберстрахованию является осознанным.

Еще год назад к страхованию цифровых рисков компании относились настороженно. Сейчас количество предложений увеличивается, но клиенты не удовлетворены их качеством.

Юлия ЧЕРНЫШЕВСКАЯ

В материале упоминаются: Компании, организации: Абсолют Страхование 1873 Сбербанк страхование (СберСтрахование) 2309 Персоны: Липатов Павел Новиков Владимир Викторович

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »