По данным компании McAfee, которая занимается разработкой антивирусного программного обеспечения, киберпреступники ежегодно наносят мировой экономике ущерб в размере $600 млрд. Страховой концерн Lloyd’s называет чуть более скромную цифру – $400 млрд в год.
С этими оценками сложно не согласиться. Особенно если посмотреть на то, с какой скоростью цифровые технологии накрывают планету. По данным компании Herjavec Group, которая специализируется на консалтинге в сфере кибербезопасности, сейчас в мире более 4 млрд пользователей интернета, в 2022 году их число возрастет до 6 млрд, а в 2030-м – до 7,5 млрд. А по прогнозам Ericsson, к 2023 году количество подключенных к глобальной сети устройств достигнет 30 млрд. Это почти вдвое больше, чем в 2017 году.
При этом от посягательств хакеров страдают даже в большей степени не рядовые пользователи, а крупный бизнес, который теряет колоссальные деньги. Только атака вирусов WannaCry и Petya в 2017 году затронула 150 стран и нанесла убытков более чем на $12 млрд. Поэтому компании тратят на киберзащиту все больше средств. В исследовании агентства MarketsandMarkets говорится, что по итогам 2018 года издержки бизнеса на защиту от хакеров составили почти $153 млрд, а в 2023-м они превысят $248 млрд.
В том числе, это затраты и на страхование от киберрисков и прочих цифровых угроз.
Не только для Украины, а и для всего мира. По данным Munich Re, подобную защиту предлагают в общей сложности 60 страховых компаний в разных странах. В то же время страхованием покрыто лишь 5% киберрисков.
Тем не менее валообразный рост угроз со стороны хакеров стимулирует развитие этого направления, и по оценкам той же Munich Re, объемы киберстрахования в 2020 году составят уже $8–9 млрд против $3,4–4 млрд в 2017 году. А согласно исследованию страховой группы Allianz, рынок киберстрахования растет на 25–50% ежегодно.
К слову, первые договоры страхования киберрисков были заключены еще в 2010–2011 годах. Эту тему активно обсуждали на ежегодном форуме в Давосе в 2012 году. Но активный рост данного вида страхования начался несколько лет спустя, после массовых взломов корпоративных и правительственных ресурсов в США. Поэтому 90% рынка страхования киберрисков приходится именно на Штаты.
Киберриск – это риск, связанный с использованием компьютерного оборудования и программного обеспечения как в местных (локальных) сетях, так и в глобальной интернет-сети; в расчетно-платежных системах, в системах интернет-торговли и в промышленных системах управления. Также это риск, связанный с накоплением, хранением и использованием личных персональных данных.
Таким образом, договор страхования киберрисков помогает защититься от угроз, в результате которых может произойти утечка данных, выход из строя различного оборудования и убытки, которые из-за этих событий несет страхователь.
Страховые компании пока что только нарабатывают практику страхования киберрисков, и стандартизированных страховых продуктов не существует. В Украине вообще такие договоры единичны.
«Зачастую спрос компаний на данное покрытие удовлетворяется через покупку дополнительных расширений в договорах имущества, ответственности. Но покрытие по киберрискам в таких договорах, учитывая специфику данных видов страхования, довольно ограниченное. Например, покрытие финансовых убытков вследствие прекращения деятельности в результате киберинцидента», – объясняет Вячеслав Хлопонин, младший андеррайтер страховой компании «УНИКА».
Поэтому договор киберстрахования – это, как правило, комплексный продукт, который включает в себя страхование имущества, ответственности и финансовых рисков. Основной страховой случай – убытки, которые возникли в результате нарушения работы компьютерной сети (или ее систем безопасности) страхователя из-за вторжения третьих лиц.
«Примерами последствий такого вторжения могут быть: предоставление несанкционированного доступа к компьютерным системам компании; изменение, удаление или передача электронных данных, программного обеспечения; использование ресурсов компьютерной системы и т. д. В свою очередь, несанкционированное вторжение обычно подразумевает использование любых средств деактивации и обхода систем защиты компьютерной сети (включая вирусы и вредоносное ПО, фишинг) и DoS/DDoS-атаки», – рассказывает Вячеслав Хлопонин.
Непосредственно убытки самого страхователя. Речь о потерях (недополученной выгоды) от перерыва деятельности и затратах на восстановление поврежденной инфраструктуры (например, на приобретение нового компьютерного оборудования) и на устранение пробелов в системе кибербезопасности страхователя, которые стали причиной возникновения инцидента.
Убытки от претензий третьих лиц. В данном случае покрывается ответственность в рамках материального ущерба, морального вреда, нарушения прав интеллектуальной собственности и т. д.
Издержки на кризис-менеджмент. Страховая компания возмещает затраты на привлечение экспертов по IТ-безопасности, консультантов, юристов для устранения и минимизации потерь вследствие кибернетической атаки.
«В дополнительном покрытии некоторых страховых программ есть услуга, которая покрывает расходы на кризисный PR и на восстановление репутации компании после кибератаки», – комментирует Андрей Семченко, директор департамента андеррайтинга СК «ИНГО Украина».
Чаще всего договоры страхования киберрисков покрывают первые две группы убытков. То есть потери страхователя и вред, нанесенный третьим лицам. «Наша компания заключила договор страхования с иностранной компанией, которая предоставляет услуги колл-центра и консультативную поддержку своих клиентов на территории Украины. Страховым случаем является факт наступления ответственности страхователя за нанесенный третьим лицам ущерб. В результате фактической утечки, вскрытия или передачи конфиденциальной информации; сбоя или отказа системы безопасности; любого вторжения, вмешательства, несанкционированного доступа или несанкционированного использования компьютерной системы компании», – приводит пример Антонина Яковенко, заместитель главы правления СК «Арсенал Страхование».
Основная сложность при страховании киберрисков – это фиксация убытков и доказательство причинно-следственной связи между страховым случаем и заявленным ущербом. Кроме того, сумму убытков нужно как-то подсчитать и документально подтвердить.
«Сложнее всего застраховать массивы данных, которые трудно оценить. Сколько стоит утечка данных небольшой фирмы или конкретного частного лица? Каким образом оценить ущерб от них?», – рассуждает Андрей Семченко.
Если убытки понесла непосредственно компания-страхователь, проводится экспертиза, задача которой – доказать или опровергнуть вторжение третьих лиц в компьютерную систему, чьи действия спровоцировали порчу имущества и простои в производстве.
«При страховании ответственности перед третьими лицами факт наступления страхового случая подтверждается решением суда», – уточняет Антонина Яковенко.
При этом страховщик не несет ответственность за грубые нарушения сотрудниками компании-страхователя требований по кибербезопасности; за мошеннические действия страхователя и действия его сотрудников, которые вызваны их недостаточной квалификацией.
Условия, покрытие и лимиты договоров киберстрахования страховщики определяют индивидуально для каждого отдельного клиента. Пока что страховые суммы, как правило, небольшие – в пределах $500 000, а страховой тариф составляет от 0,8 до 1,5% покрытия.
На условия страхования влияет большое число факторов. Это сфера деятельности компании, ее внутренние бизнес-процессы, контрагенты, с которыми она контактирует, объемы и характер конфиденциальных данных (например, финансовая документация, персональные данные клиентов), уровень IТ-безопасности компании и защиты данных, степень квалификации сотрудников и соблюдение ими элементарной цифровой гигиены.
«Для больших компаний может проводиться технический аудит с привлечением внешних IТ-экспертов. Уже сейчас есть тренд на автоматизацию этого процесса и появляются продукты, которые позволяют проводить анализ и определять уязвимость в инфраструктуре с минимальной вовлеченностью специалистов. С развитием рынка киберстрахования цена и доступность таких продуктов упадет, и, как следствие, качество андеррайтинга существенно вырастет», – рассказывает Вячеслав Хлопонин.
По мнению первого вице-президента СК «АХА Страхование» Андрея Перетяжко, главное препятствие на пути развития киберстрахования в Украине – низкий уровень автоматизации бизнеса. «Поэтому говорить об этом сегменте рынка стоит в среднесрочной перспективе. На его формирование в нашей стране потребуется минимум 2–3 года», – считает Перетяжко.
Параллельно будут развиваться сервисы и консалтинг, которые напрямую связаны с защитой от киберрисков. «Например, в основное покрытие страховой программы входит опция так называемого реагирования на киберинцидент. Она покрывает расходы на услуги специалистов, которые привлекаются для оперативного реагирования и останавливают кибератаку», – приводит пример Андрей Семченко.
Может даже покрываться кибершантаж. В этом случае страховщик возмещает сумму, уплаченную вымогателям за дешифровку заблокированной информации предприятия (например, базы 1С), а также за угрозу уничтожения технической инфраструктуры и ценных данных.
Страховая компания «АСКА»* – одна из немногих компаний, кто уже предлагает комплексный подход к страхованию киберрисков в Украине. Страхование от кибератак и кибертерроризма, от случайной утечки данных. Кроме того, можно застраховать ответственность перед партнерами из ЕС от утечек данных, которые должны быть защищены в соответствии с европейским регламентом о защите данных (GDPR). СК «АСКА» компенсирует прямые убытки от киберинцидента, а также убытки, связанные с перерывом в работе компании. Покрываются затраты на восстановление репутации и антикризисный PR. Страховой тариф по программам cyber-insurance зависит от мероприятий корпоративной безопасности уже внедренных в вашей компани. «АСКА» использует лучшие мировые практики страхования от киберугроз и надежное перестрахование от европейских партнеров.
*На правах рекламы.