Дмитрий Шишкин, начальник управления страхования ответственности компании «Ингосстрах», рассказал порталу Cyber Media об особенностях страхования киберрисков и распространенных мифах вокруг темы киберстрахования.
Cyber Media: Какие типовые заблуждения или «мифы» встречаются у тех, кто обращается за услугами по страхованию киберрисков?
Дмитрий Шишкин: Миф 1: Киберстрахование заменяет надлежащие меры кибербезопасности.
Киберстрахование не заменяет внедрение надежных мер кибербезопасности. В первую очередь важно защитить информационные системы и данные своей компании, чтобы предотвратить возможный ущерб.
Миф 2: Киберстрахование нужно только крупным компаниям.
Кибератакам подвержены компании любых размеров и даже малый бизнес может понести значительный финансовый и репутационный ущерб в результате атаки. По располагаемым нами данным, каждая пятая кибератака совершается на малый бизнес. И, как правило, предприятия не готовы к ней.
Миф 3: Киберстрахование стоит дорого.
Стоимость киберстрахования зависит от множества факторов, таких как отрасль страхователя, объемы ведения деятельности, спецификации программных и аппаратных средств защиты, применяемых на предприятии клиента и т.д., но в то же время в последние годы видна тенденция к снижению тарифов по киберстрахованию. Большинство компаний смогут найти полисы, которые соответствуют их бюджету. Например, полис Кибер-Инго.
Миф 4: Киберстрахование покрывает все типы кибератак.
Условия полисов киберстрахования различаются, и некоторые из них могут не покрывать определенные типы атак, такие как вымогательство или мошенничество в социальных сетях, например. Важно внимательно подойти к изучению условий договора страхования.
Миф 5: Киберстрахование покроет все расходы, связанные с утечкой данных.
Полисы киберстрахования обычно имеют лимиты покрытия и могут не покрывать все расходы. Все зависит от выбранного объема страхового покрытия, предусмотренного договором страхования. На этапе заключения договора можно наполнить договор необходимыми рисками и объемом покрытия.
Миф 6: Киберстрахование необходимо только для компаний, обрабатывающих персональные данные.
Даже компании, которые не собирают персональные данные, могут стать мишенью для кибератак. Злоумышленники могут атаковать компании из-за их интеллектуальной собственности, финансовой информации или просто для того, чтобы нарушить или остановить работу компании.
Миф 7: Тарифы по киберстрахованию фиксированные и не изменятся с течением времени.
Страховые премии по киберстрахованию могут меняться в зависимости от таких факторов, как частота и серьезность кибератак, изменения в нормативно-правовой базе, истории убыточности продукта у каждого конкретного страховщика.
Cyber Media: Сравнительно недавно в мировой практике был кейс с атакой, предположительно, шифровальщика, которую компания-жертва трактовала как форс-мажор. Что, в контексте страхования киберрисков, принято считать обстоятельствами непреодолимой силы? Какова сейчас практика в России и мире?
Дмитрий Шишкин: Форс-мажор или, согласно российскому законодательству, непреодолимая сила – это чрезвычайные и непредотвратимые обстоятельства, которые делают невозможным надлежащее исполнение принятых обязательств в наступивших условиях. Согласно ст. 401 ГК РФ обязанность доказательства наступления таких обстоятельств лежит на стороне, нарушившей свои обязательства. При этом абсолютно любое обстоятельство не может быть признано форс-мажором, так как он должен отвечать одновременно четырем критериям:
Если применить эти критерии к хакерским атакам на компанию, то:
По нашему мнению, уже разбора первых трех условий достаточно, чтобы понять, что атака не может быть признана обстоятельством непреодолимой силы.
Cyber Media: Законодательные органы изучают возможность введения обязательного страхования киберрисков не первый год, например – в контексте последующих компенсаций из этих средств для конечных пользователей, в случае утечки ПДн. На ваш взгляд, насколько жизнеспособен подобный проект с точки зрения экономической целесообразности и эффективности решения проблем ИБ?
Дмитрий Шишкин: Введение обязательного или вмененного страхования киберрисков может быть полезным шагом для обеспечения защиты персональных данных граждан и компенсации ущерба в случае утечки информации. Оно может способствовать увеличению ответственности компаний за сохранность данных и мотивировать их принимать дополнительные меры по обеспечению кибербезопасности.
Однако, эффективность такой системы будет зависеть от правильного определения размера и механизма страховых выплат, адекватной оценки рисков и обязательных требований к мерам по обеспечению информационной безопасности. Важно также учитывать специфику рынка и потребности бизнеса, чтобы минимизировать возможные негативные последствия и максимально эффективно решить проблемы информационной безопасности.
Cyber Media: В России действует национальный стандарт по страхованию киберрисков (ГОСТ Р 59516-2021), насколько этот документ соответствует лучшим практикам? Насколько радикально он отличается от схожих регламентов, действующих в других странах, где развита практика страхования киберрисков?
Дмитрий Шишкин: Российский национальный стандарт разработан с учетом основных нормативных положений действующего международного стандарта ISO/IEC 27102:2019 «Менеджмент информационной безопасности. Рекомендации по страхованию кибер-рисков».
В документе представлены руководящие указания по осуществлению киберстрахования в качестве варианта работы с рисками для сокращения последствий киберинцидентов в рамках системы управления рисками информационной безопасности организации, а именно указания по:
Cyber Media: Как меняется отношение к страхованию рисков ИБ у бизнеса? Есть ли тенденция на повышение спроса, какие факторы на это влияют?
Дмитрий Шишкин: Ситуация на рынке киберстрахования в России достаточно сложная: с одной стороны, действуют факторы, способствующие росту заинтересованности компаний в покупке страхового полиса. Например, такие факторы, как:
Однако с другой стороны, эти же факторы способствуют и тому, что многие компании, боясь за свою репутацию и возможные последствия со стороны государства, прикладывают все усилия для того, чтобы информация о кибератаках, утечках персональных данных и убытках не выходила за пределы их компании, т.к. прямо говоря, скрывают информацию о том, что они подверглись кибератаке и понесли какой-либо ущерб. В таких случаях, конечно, спроса на киберстрахование не будет, т.к. страховщику придется раскрывать данные о кибератаках и их последствиях.
Таким образом, мы видим столкновение двух разнонаправленных тенденций, но постепенно первые факторы начинают преобладать, и спрос на киберстрахование растет, особенно у тех компаний, которые планируют свое безопасное кибербудущее.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.
Зарегистрироваться