Горизонты киберстрахования
Директор по работе с клиентами АО "СОГАЗ" Ирина Теряева и заместитель директора по страхованию перспективных проектов компании Павел Фомин рассказали редактору "Стандарта" Ксении Прудниковой об особенностях страхования киберрисков, а также о вызовах, которые бросает предприятиям цифровизация.
- Каким вы видите российский рынок страхования киберрисков? Какие продукты сейчас доступны?
Ирина Теряева:
Развитие технологий не только открывает недоступные ранее возможности, но и таит угрозы, которые за последние годы испытали на себе самые разные отрасли. Действия злоумышленников в киберпространстве нанесли ощутимый, а порой, без всякого преувеличения, катастрофический ущерб десяткам компаний, заставив бизнес-сообщество задуматься о создании защитных механизмов.
Несмотря на то, что попытки внедрения киберстрахования в России страховщики предпринимают уже не один год, приходится констатировать, что это направление все еще находится на начальной стадии. Сейчас в России найдется не более пяти крупных страховых компаний – и "СОГАЗ" в их числе, – которые официально запустили программу продаж. Причем под видом страхования киберрисков клиенту может быть предложено как расширение для действующего классического покрытия с триггером кибератаки (например, страхование имущества или перерыва в производстве), так и приобретение отдельного полиса Cyber. Самостоятельный полис Cyber, как правило, покрывает собственный ущерб страхователя от перерыва в деятельности, вызванного недоступностью систем в результате кибератаки, ответственность за утечку персональных данных или конфиденциальной информации, включая расходы на защиту, – проще говоря, те риски, которые являются стандартными исключениями из классических договоров страхования. Кроме того, могут быть застрахованы непредвиденные расходы страхователя по управлению кризисными ситуациями: привлечение специалистов программно-технической экспертизы для расследования причин инцидентов, профильных юристов, специалистов по связям с общественностью (антикризисный PR), расходы по восстановлению электронных данных, включая стоимость приобретения необходимого программного обеспечения, расходы на уведомление субъектов персональных данных в случае утечки, расходы, связанные с кибервымогательством. Нередко страховщики в качестве дополнительных опций предлагают покрытие рисков "технических сбоев" и "умышленных действий сотрудников".
- Что мешает развитию данного вида страхования?
Ирина Теряева:
Надо признать, что при всей реальности киберугрозы российский бизнес до сих пор далек от понимания необходимости страхования и пока не готов к массовой покупке полисов.
Тому есть ряд объективных причин, одна из которых – различие в подходах к ценообразованию у страховщиков. В большинстве случаев компания, ставшая жертвой кибератаки, предпочитает не афишировать размер понесенного ущерба ввиду деликатности информации. Это создает дефицит статистических данных, необходимых для полноценного андеррайтинга, и, как следствие, приводит к непоследовательности в ценообразовании. Многие страховщики высказывают опасение по поводу недооценки угроз и применяют консервативный подход. В результате мы получаем разброс цен на рынке, настораживающий потенциального покупателя.
Дополнительным негативным фактором является дефицит западной перестраховочной емкости для российского рынка.
Следует отметить и тот факт, что во многих существующих договорах страхования не содержится однозначного толкования киберриска или риск Cyber является "неопределенным" (не отражен в перечне исключений).
Как пример опасности двойного толкования показателен иск транснациональной компании Mondelez против страховщика Zurich. Причиной стал отказ в выплате страхового возмещения после хакерской атаки с использованием вируса NotPetya в 2017 году. Несмотря на то, что полис покрывал риск утраты или повреждения электронных данных, в том числе в результате злонамеренных действий, страховщик счел возможным отказать в возмещении – на том основании, что использованный в атаке вирус по сути является кибероружием, а сама атака – актом военной агрессии другого государства, а значит, относится к категории обстоятельств непреодолимой силы, освобождающих страховщика от ответственности.
Павел Фомин:
Помимо причин, связанных непосредственно с восприятием продукта киберстрахования, существуют и общие проблемы управления информационной безопасностью.
Во-первых, как отмечают эксперты, уровень общей культуры кибербезопасности и, например, управления рисками на предприятиях пока еще недостаточный. Как правило, управлением рисками занимаются одни подразделения, а обеспечением информационной безопасности – другие. Это приводит к тому, что нет системного подхода к страхованию киберрисков – ни на уровне государственных корпораций и концернов, ни у большинства предприятий, с которыми мы сотрудничаем. Другая сторона этой проблемы – трудности взаимодействия между ИТ-специалистами, специалистами по управлению информационной безопасностью и сотрудниками страховых компаний.
Во-вторых, в настоящий момент пока не сформированы стандарты киберстрахования. Компаний, которые реально предлагают такой продукт, пока немного, и каждая идет своим путем. Но в вопросах информационной безопасности, где все принято основывать на требованиях базовых стандартов, такая интеграция подходов рано или поздно должна произойти.
Наконец, в вопросах стимулирования развития киберстрахования нет оперативного механизма взаимодействия государства со страховым рынком. Национальная программа "Цифровая экономика РФ" ставит перед Министерством цифрового развития, связи и массовых коммуникаций задачу разработать к концу 2021 года предложения по популяризации добровольного страхования рисков информационной безопасности и повышению киберкультуры. Однако в настоящий момент наши клиенты не понимают, как будет решаться данная задача.
- И что в таком случае необходимо делать? Как сдвинуться с мертвой точки?
Павел Фомин:
Для преодоления этого барьера мы предлагаем свой страховой продукт, рассматриваем возможности объединения усилий всех сторон, заинтересованных в создании четкой, детально проработанной стратегии работы с киберрисками.
Ирина Теряева:
Исправление ситуации потребует от страховщиков пересмотра условий действующих полисов, а также корректировки формулировок для однозначного определения киберриска, что, безусловно, может привести к пересмотру премий.
- Компании какого масштаба являются основными заказчиками такого рода страхования? Какие именно продукты по киберстрахованию пользуются большим спросом у ваших клиентов?
Ирина Теряева:
В настоящий момент очевидный интерес к покупке полисов есть у финансовых институтов, предприятий энергетической отрасли, нефтегазового сектора, транспортных операторов, телекоммуникационных компаний. Кроме того, мы отмечаем рост спроса на индивидуальные полисы киберстрахования, тогда как раньше клиенты, как правило, ограничивались включением расширений в действующее покрытие. Такому изменению в предпочтениях способствуют более привлекательные лимиты индивидуальных полисов (по сравнению с расширениями для полисов традиционных видов страхования), уникальность покрытия Cyber BI, а также возможность покупки пакетов услуг от наших партнеров по ликвидации последствий инцидента.
Павел Фомин:
В свою очередь хотел бы поделиться опытом продвижения киберстрахования для корпоративного бизнеса. Мы провели несколько презентационных кампаний среди машиностроительных и двигателестроительных предприятий, в ходе которых объясняли перспективы и возможности киберстрахования. Наибольший отклик мы получили от специалистов по информационной безопасности. Но в дальнейшем все упирается в бюджетные возможности предприятий. Без поддержки головной структуры, без детально просчитанного обоснования затраты на покупку договора страхования киберрисков – это скорее роскошь. Хотя интерес к предложениям "СОГАЗа" показывает, что мы находимся на верном пути, и благодаря системной работе в данном направлении мы рассчитываем на успех в самое ближайшее время.
- Способствует ли популярности такого вида страхования тот факт, что киберпреступления все чаще становятся поводом для новостей и наряду с другими преступлениями попадают в криминальную хронику?
Ирина Теряева:
В 2018 году огласку в СМИ получили 270 случаев утечки информации из российских компаний и государственных органов, что, по данным аналитического центра InfoWatch, составляет 12 % от общего количества утечек данных по всему миру. И тем не менее, при всей очевидности киберугроз, страхование от них по-прежнему не пользуется большой популярностью. Такая инертность отчасти вызвана низким лимитом ответственности, установленным отечественным законодательством.
Однако в свете вступления в силу в мае 2018 года общеевропейского регламента о защите персональных данных (General Data Protection Regulation, GDPR) ситуация может резко измениться. Хотя сфера применения закона ограничена территорией Европейского союза, его юридическое действие распространяется в том числе на российских операторов, обрабатывающих персональные данные субъектов, которые находятся на территории союза, если такая обработка связана с предложением товаров и услуг.
Бизнесу стоит учитывать, что российские компании несут значительные риски, а именно: репутационные риски, риск затрат на защиту в суде, риски исков третьих лиц (в том числе коллективных), а также затраты на уведомление субъектов персональных данных об их разглашении, затраты на восстановление данных, которые могут быть покрыты полисом.
- Правительство РФ рассматривало возможность сделать страхование киберрисков обязательным для компаний ряда стратегических отраслей. Позже характер страхования таких рисков был заменен на добровольный. Какие меры со стороны государства, на ваш взгляд, могут мотивировать бизнес к добровольному страхованию киберрисков? Что может стать катализатором для покупки данного вида страхования?
Ирина Теряева:
Развитию данного вида страхования помогло бы законодательное закрепление норм и минимальных стандартов. Кроме того, положительным фактором станет формирование культуры обмена информацией о киберрисках.
Катализаторами для роста рынка киберстрахования в РФ будет постоянно растущее количество кибератак, их изощренность, всеобщая тенденция к автоматизации бизнес-процессов, а также совершенствование законодательства в сфере защиты данных. Стоит также отметить, что на практике мы часто встречаемся с тем, что в договорах о сотрудничестве между российскими резидентами и иностранными партнерами все чаще содержатся условия о необходимости предоставления полиса киберрисков, что подогревает интерес клиентов если не к покупке полиса, то к оценке объема покрытия и рисков, которые могут быть застрахованы.
Павел Фомин:
Государственные меры в отношении развития добровольного страхования киберрисков – это часть государственной политики в сфере информационной безопасности. Нужны единые принципы развития добровольного киберстрахования, совершенствование и более детальная проработка программы "Цифровая экономика РФ" в части страхования киберрисков, вплоть до разработки конкретных мероприятий, направленных на развитие данного вида страхования. В настоящий момент элементы системы содержатся в отдельных документах – например, в постановлении правительства РФ от 2 марта 2019 года №234, в 187‑ФЗ. Вместе с тем имеет место многообразие форм и проявлений активности в сфере цифровизации. Многообразие определяется множественностью процессов цифровизации, и это нормально. Но, на наш взгляд, оно должно подчиняться единым системным принципам и иметь определенный вектор развития.
- Вы говорили о том, что для исправления ситуации необходимы усилия и самих страховщиков. Что делает в этом направлении группа "СОГАЗ"?
Ирина Теряева:
"СОГАЗ" активно участвует в популяризации данного продукта. Мы проводим презентации по страхованию киберрисков для клиентов совместно с партнерами, участвуем в панельных дискуссиях на конференциях, что позволяет клиентам задать интересующие вопросы, а нам – получить отклик от рынка.
Государство, безусловно, должно стимулировать бизнес к покупке полисов киберстрахования. В рамках федерального проекта "Информационная безопасность" обсуждается возможность предоставления налоговых льгот страхователям, заключающим добровольные договоры страхования киберрисков.
Говоря об объединении усилий, хотелось бы отметить, что страховщикам, ключевым участникам отрасли и государству необходимо совместно и по отдельности предпринять ряд практических шагов, чтобы раскрыть потенциальные преимущества киберстрахования. В противном случае разрозненные попытки подтолкнуть бизнес к данному виду страхования могут оказаться непродуктивными.
- Составной частью заключения договора страхования проектных и киберрисков является ИТ- и ИБ-аудит. Всегда ли это целесообразно? Кто должен проводить такой аудит – сотрудники страховой компании или независимые специалисты?
Ирина Теряева:
ИТ- и ИБ-аудит все чаще становится камнем преткновения между страховщиком и страхователем. Государственные компании ревностно относятся к защите своих информационных систем и не готовы "обнажаться", особенно в случаях, когда требуется размещение на международных рынках. В таких случаях мы предлагаем клиентам провести предстраховой аудит при поддержке компаний из "большой четверки". По результатам очных встреч с представителями ИТ-департаментов и риск-менеджерами, а также анализа ограниченного перечня документов специалисты составляют отчет. В будущем мы также не исключаем появления собственных служб ИТ-аудита у страховщиков.
Павел Фомин:
На двигателестроительных и машиностроительных предприятиях ограничения в доступе к информационным системам при ИТ- и ИБ-аудите еще более строгие, поскольку эти предприятия производят продукцию военного или двойного назначения, выполняют гособоронзаказ. Это налагает на них повышенные требования к защите информации. С подобными ограничениями мы также сталкиваемся при организации страхования имущества. Эта проблема решается путем лицензирования. "СОГАЗ" имеет разрешение на работу с информацией ограниченного доступа в соответствии с законодательством РФ. По мере развития рынка услуг информационной безопасности мы ожидаем, что эта проблема будет решена и в организациях, предоставляющих услуги в сфере ИТ- и ИБ-аудита.
- Какие еще вызовы цифровизация бросает страховой индустрии? Появления каких принципиально новых страховых продуктов можно ожидать в будущем?
Павел Фомин:
Цифровизация требует от любой компании, предоставляющей клиентский сервис, глубокой перестройки и оптимизации процессов, ускорения во взаимодействии с клиентами, повышения качества клиентского опыта. Клиенты – как частные, так и корпоративные – хотят получать сервис по нажатию кнопки здесь и сейчас. Для страховых компаний первый шаг на пути цифровизации – онлайн-продажи полисов через сайты и мобильные приложения: все значимые игроки на рынке его уже сделали. Следующий шаг – развитие цифровых сервисов, которые облегчают взаимодействие страховщика и клиента: личные кабинеты застрахованных, которые дают доступ ко всей информации обо всех продуктах онлайн 24/7, онлайн-запись к врачу по ДМС, телемедицина, видеоосмотры имущества при страховании имущества и урегулировании убытков, электронный документооборот и многое другое. Этот шаг требует от страховщиков большой гибкости во внутренних процессах. Мы прогнозируем формирование из этих элементов единой цифровой экосистемы вокруг клиента, которая будет ему позволять получать страховые продукты и сопутствующие сервисы, в точности соответствующие его потребностям и возможностям. На уровне клиентов цифровизация – это широкое применение технологий, таких как искусственный интеллект, новые производственные технологии, промышленный Интернет вещей, робототехника, развитие беспилотного транспорта, высокотехнологичной медицины, появление "умных" городов и "умных" предприятий. Все это в свою очередь требует новых страховых продуктов. Но и традиционные продукты претерпят изменения, поскольку существующие объекты страхования подлежат цифровой трансформации. "СОГАЗ" следит за интересами клиентов и готов предложить им актуальные и технологичные продукты.
Ирина Теряева:
Современное общество движется в сторону тотальной цифровизации; подверженность компаний и физических лиц киберугрозам очевидна, а вопрос страхования информационных рисков становится все более актуальным.
В частности, будет развиваться покрытие ущерба репутации как часть пакета киберстрахования. Сейчас большинство таких продуктов связано с предоставлением консультационных услуг в области PR. Новые продукты смогут предложить компенсацию за потерю бизнеса в результате неблагоприятной "рекламы" после киберинцидента.
Покрытие киберрисков в основном сфокусировано на коммерческом бизнесе, однако в связи с развитием технологий (в частности, Интернета вещей) и появлением новых гаджетов мы также ожидаем рост спроса со стороны физических лиц и начинаем активную работу по созданию "коробочного продукта".
Журнал «Стандарт», ComNews.ru
8 июля 2019 г.