Дмитрий Шишкин, «Ингосстрах»: В современных реалиях кибератака не может считаться обстоятельством непреодолимой силы

Дмитрий Шишкин, начальник управления страхования ответственности компании «Ингосстрах», рассказал порталу Cyber Media об особенностях страхования киберрисков и распространенных мифах вокруг темы киберстрахования.

Cyber Media: Какие типовые заблуждения или «мифы» встречаются у тех, кто обращается за услугами по страхованию киберрисков?

Дмитрий Шишкин: Миф 1: Киберстрахование заменяет надлежащие меры кибербезопасности.

Киберстрахование не заменяет внедрение надежных мер кибербезопасности. В первую очередь важно защитить информационные системы и данные своей компании, чтобы предотвратить возможный ущерб.

Миф 2: Киберстрахование нужно только крупным компаниям.

Кибератакам подвержены компании любых размеров и даже малый бизнес может понести значительный финансовый и репутационный ущерб в результате атаки. По располагаемым нами данным, каждая пятая кибератака совершается на малый бизнес. И, как правило, предприятия не готовы к ней.

Миф 3: Киберстрахование стоит дорого.

Стоимость киберстрахования зависит от множества факторов, таких как отрасль страхователя, объемы ведения деятельности, спецификации программных и аппаратных средств защиты, применяемых на предприятии клиента и т.д., но в то же время в последние годы видна тенденция к снижению тарифов по киберстрахованию. Большинство компаний смогут найти полисы, которые соответствуют их бюджету. Например, полис Кибер-Инго.

Миф 4: Киберстрахование покрывает все типы кибератак.

Условия полисов киберстрахования различаются, и некоторые из них могут не покрывать определенные типы атак, такие как вымогательство или мошенничество в социальных сетях, например. Важно внимательно подойти к изучению условий договора страхования.

Миф 5: Киберстрахование покроет все расходы, связанные с утечкой данных.

Полисы киберстрахования обычно имеют лимиты покрытия и могут не покрывать все расходы. Все зависит от выбранного объема страхового покрытия, предусмотренного договором страхования. На этапе заключения договора можно наполнить договор необходимыми рисками и объемом покрытия.

Миф 6: Киберстрахование необходимо только для компаний, обрабатывающих персональные данные.

Даже компании, которые не собирают персональные данные, могут стать мишенью для кибератак. Злоумышленники могут атаковать компании из-за их интеллектуальной собственности, финансовой информации или просто для того, чтобы нарушить или остановить работу компании.

Миф 7: Тарифы по киберстрахованию фиксированные и не изменятся с течением времени.

Страховые премии по киберстрахованию могут меняться в зависимости от таких факторов, как частота и серьезность кибератак, изменения в нормативно-правовой базе, истории убыточности продукта у каждого конкретного страховщика.

Cyber Media: Сравнительно недавно в мировой практике был кейс с атакой, предположительно, шифровальщика, которую компания-жертва трактовала как форс-мажор. Что, в контексте страхования киберрисков, принято считать обстоятельствами непреодолимой силы? Какова сейчас практика в России и мире?

Дмитрий Шишкин: Форс-мажор или, согласно российскому законодательству, непреодолимая сила – это чрезвычайные и непредотвратимые обстоятельства, которые делают невозможным надлежащее исполнение принятых обязательств в наступивших условиях. Согласно ст. 401 ГК РФ обязанность доказательства наступления таких обстоятельств лежит на стороне, нарушившей свои обязательства. При этом абсолютно любое обстоятельство не может быть признано форс-мажором, так как он должен отвечать одновременно четырем критериям:

1. Быть чрезвычайным, т.е. исключительным для заявляющей о непреодолимой силе стороны, наступление которого не является обычным в его деятельности;
2. Быть непредотвратимым, это означает, что любой участник гражданского оборота, осуществляющий подобную деятельность, не смог бы избежать наступления данного обстоятельства и его последствий;
3. Быть непреодолимым, т.е. повлечь невозможность исполнения обязательств;
4. Не должно зависеть от воли или действий должника.

Если применить эти критерии к хакерским атакам на компанию, то:

1. Являются ли хакерская атака чем-то исключительным? Нет. Любая компания в любой момент может быть атакована, а значит борьба с влиянием этих атак должна входить в ее обычную деятельность. На рынке существует множество продуктов по кибербезопасности, множество компаний, оказывающих услуги по кибер-безопасности. Вероятность успешной защиты от атаки может быть сильно увеличена каждой отдельной компанией.
2. Можно ли говорить, что атака является непредотвратимой? Как заявитель обстоятельств сможет доказать, что защита любой работающей в отрасли компании с ней бы не справилась? Никак.
3. Действительно, на определенном временном отрезке последствия хакерской атаки может быть непреодолимыми, однако у компании должна быть налажена система дублирования всех данных, которые необходимы для обеспечения функционирования компании, поэтому после совершения атаки через некоторое время компания продолжит осуществлять свою деятельность.

По нашему мнению, уже разбора первых трех условий достаточно, чтобы понять, что атака не может быть признана обстоятельством непреодолимой силы.

Cyber Media: Законодательные органы изучают возможность введения обязательного страхования киберрисков не первый год, например – в контексте последующих компенсаций из этих средств для конечных пользователей, в случае утечки ПДн. На ваш взгляд, насколько жизнеспособен подобный проект с точки зрения экономической целесообразности и эффективности решения проблем ИБ?

Дмитрий Шишкин: Введение обязательного или вмененного страхования киберрисков может быть полезным шагом для обеспечения защиты персональных данных граждан и компенсации ущерба в случае утечки информации. Оно может способствовать увеличению ответственности компаний за сохранность данных и мотивировать их принимать дополнительные меры по обеспечению кибербезопасности.

Однако, эффективность такой системы будет зависеть от правильного определения размера и механизма страховых выплат, адекватной оценки рисков и обязательных требований к мерам по обеспечению информационной безопасности. Важно также учитывать специфику рынка и потребности бизнеса, чтобы минимизировать возможные негативные последствия и максимально эффективно решить проблемы информационной безопасности.

Cyber Media: В России действует национальный стандарт по страхованию киберрисков (ГОСТ Р 59516-2021), насколько этот документ соответствует лучшим практикам? Насколько радикально он отличается от схожих регламентов, действующих в других странах, где развита практика страхования киберрисков?

Дмитрий Шишкин: Российский национальный стандарт разработан с учетом основных нормативных положений действующего международного стандарта ISO/IEC 27102:2019 «Менеджмент информационной безопасности. Рекомендации по страхованию кибер-рисков».

В документе представлены руководящие указания по осуществлению киберстрахования в качестве варианта работы с рисками для сокращения последствий киберинцидентов в рамках системы управления рисками информационной безопасности организации, а именно указания по:

• эффективному использованию киберстрахования для сокращения последствий киберинцидента;
• обмену данными и сведениями между страхователем и страховщиком для упрощения андеррайтинга, мониторинга и работы с требованиями страховых компаний, связанными с киберстрахованием;
• эффективному использованию системы управления информационной безопасностью при предоставлении страховщику соответствующих данных и сведений и т.д.

Cyber Media: Как меняется отношение к страхованию рисков ИБ у бизнеса? Есть ли тенденция на повышение спроса, какие факторы на это влияют?

Дмитрий Шишкин: Ситуация на рынке киберстрахования в России достаточно сложная: с одной стороны, действуют факторы, способствующие росту заинтересованности компаний в покупке страхового полиса. Например, такие факторы, как:

1. Рост угроз кибербезопасности: с каждым годом число кибератак и киберинцидентов растет, злоумышленники становятся все более изощренными и профессиональными в своих действиях. Это заставляет компании осознавать необходимость дополнительной защиты и страхования.
2. Ужесточение законодательных требований и увеличение объема ответственности, которое государство накладывает на компании за утечку персональных данных.
3. Увеличение ущерба от кибератак: утечка данных и кибератаки могут привести к серьезным финансовым потерям, репутационному ущербу и потере клиентов.

Однако с другой стороны, эти же факторы способствуют и тому, что многие компании, боясь за свою репутацию и возможные последствия со стороны государства, прикладывают все усилия для того, чтобы информация о кибератаках, утечках персональных данных и убытках не выходила за пределы их компании, т.к. прямо говоря, скрывают информацию о том, что они подверглись кибератаке и понесли какой-либо ущерб. В таких случаях, конечно, спроса на киберстрахование не будет, т.к. страховщику придется раскрывать данные о кибератаках и их последствиях.

Таким образом, мы видим столкновение двух разнонаправленных тенденций, но постепенно первые факторы начинают преобладать, и спрос на киберстрахование растет, особенно у тех компаний, которые планируют свое безопасное кибербудущее.