Страхование от электронных и компьютерных преступлений — особенности, покрываемые риски

Нет, речь пойдёт не о киберспортсменах, которые хотят застраховать себя от ушибов мышкой или испорченного плохим монитором зрения. Поговорим о страховании киберрисков при использовании IT-технологий.

На фоне стремительного развития цифровых технологий и усложнения IT-инфраструктуры компаний заметен и значительный рост числа киберпреступлений. По данным МВД, в 2018 году их стало на 92% больше, чем в 2017.

Неудивительно, что вопросы защиты от рисков потери данных, простоя, хакерских атак или утечки конфиденциальной информации становятся более актуальными, а страхование киберрисков выглядит разумным способом минимизации ущерба.

Компании захотели знать, какие гарантии защиты обрабатываемых данных предоставляет сервис-провайдер, и как предлагается минимизировать ущерб в том случае, если атаку остановить не удалось. Процедура страхования киберрисков выглядит громоздко и сложно, ведь кроме страховой организации в договоре должна фигурировать и некая компания-аудитор информационной безопасности (ИБ), которая будет оценивать риски и готовить заключения для страховой компании. Но на российском страховом рынке уже есть предложения по комплексному киберстрахованию. АльфаСтрахование

«Альфа» предлагает бизнесу продукт АльфаCyber. Договор может быть заключён от всех или от некоторых видов киберопасности.

При желании клиент может выбрать один из стандартных страховых пакетов или составить индивидуальный, учитывая особенности бизнеса и индивидуальные потребности.

Базовые пакеты полиса покрывают риски утраты и искажения данных (включая вирусы-шифровальщики), программного обеспечения, разглашения персональных данных и включает расследование и диагностику кибератак.

Также в полисе можно предусмотреть защиту от рисков: утраты информации; хищения интеллектуальной собственности; неправомерного использования вычислительных ресурсов; вымогательства; хищения денежных средств; нарушения конфиденциальности и разглашение персональных данных; причинения вреда имуществу, жизни и здоровью третьих лиц; ущерба деловой репутации; утрате, гибели или повреждению готовой продукции, сырья, материалов; перерыва в деятельности. Стоимость страхования зависит от набора рисков, страховой суммы и франшизы, а также рода деятельности страхователя и результатов оценки рискозащищенности.

AIG

Компания, которая одной из первых применила широкий и единый подход к киберугрозам, разработала программу страхования CyberEdge для защиты персональных данных на предприятии от последствий их утечки или незаконного использования.

Чтобы помочь компаниям защититься от хищения персональных данных, действий хакеров, ошибок персонала и многого другого, AIG предоставляет клиентам доступ к услугам компаний, специализирующихся на кибербезопасности и расследованиях киберпреступлений, юридической консультации и антикризисному PR.

Фактически, это удобный инструмент для предотвращения убытков и преодоления последствий утечки данных.

Страховка включает в себя обязательные и дополнительные покрытия. В обязательные входят:

• Убытки в связи с нарушениями данных
• Административное расследование в отношении данных
• Расходы на реагирование при нарушении данных.
• Ответственность за содержание информации.
• Виртуальное вымогательство.
• Перерыв в работе сети

Дополнительные покрытия включают ответственность за содержание информации, виртуальное вымогательство, убытки от сбоев в работе сети в результате нарушения функционирования системы безопасности, компенсацию недополученной прибыли.В российском отделении AIG не зафиксировали ни одного случая обращения от клиентов по причине заражения вирусами WannaCry или Petya, но эти случаи также вызвали рост интереса клиентов к услуге страхования рисков. «После инцидентов мы видим рост интереса к услугам страхования от кибер-рисков и сейчас ведем переговоры с рядом компаний. Однако чем крупнее бизнес, тем сложнее и дольше утверждается бюджет — поэтому на заключение соглашения может потребоваться достаточно много времени», — заявил руководитель отдела страхования финансовых рисков AIG в России Владимир Кремер.

Allianz

Allianz разработала свой продукт по страхованию кибер-рисков Allianz Cyber Protect. Полис предоставляет страховку от следующих категорий рисков:

• Гражданская ответственность за утрату персональных и финансовых данных клиентов;
• Убытков, которые несет сам застрахованный по причине простоя, кибервымогательства;
• Покрытие расходов на расследование инцидентов и помощь со стороны специалистов по форензику.

«Рост востребованности киберстрахования в США уже находится в активной стадии, так как законы о защите данных позволяют сориентировать компании, а регуляторные изменения и возрастающие уровни ответственности обеспечивают ускоренный рост в остальных странах, — комментирует Найджел Пирсон, ответственный за киберстрахование в Allianz Global Corporate & Specialty (AGCS). — Мы наблюдаем общую тенденцию установления более строгих режимов регулирования защиты данных, сопряженных с угрозой серьезных штрафов в случае утечки информации». Пока что каких-либо стандартов в области киберстрахования нет, а законодательство слабо развито в части определения ответственности за нарушения и преступления в сфере информационной безопасности.

Но в ближайшее время ситуация должна измениться. В национальном проекте «Цифровая экономика Российской Федерации» предусмотрен ряд мер, направленных на популяризацию добровольного страхования рисков информационной безопасности и повышение киберкультуры. Также в проект включено предложение о проработке возможности использования налоговых льгот при страховании киберрисков.

Как выглядит процедура киберстрахования? Чтобы ответить на этот вопрос, возьмём информационную систему с уже созданной системой защиты данных. Это может быть система хранения персональных данных, госсистема с аттестатом на соответствие требованиям информационной безопасности или другая информационная система со средствами защиты, выбранных по принципу разумности и соразмерности затрат. В этом случае компании нужно будет пройти следующие этапы:

• Выбор страховой компании, предлагающей комплексную услугу по страхованию киберрисков;
• Выбор экспертной организации для проведения аудита ИБ (из числа организаций, аккредитованных страховой компанией);
• Аудит и оценка рисков ИБ (проводится экспертной организацией);
• Определение страховых случаев;
• Определение размера страхового покрытия и страховых взносов;
• Формирование договора на комплексную услугу киберстрахования.

Если у компании система защиты ещё не создана или не соответствует требованиям законодательства РФ по защите, то предварительным этапом станет создание системы защиты либо размещение информационной системы у сервис-провайдера с заключением договора на хранение конфиденциальной информации. В мировой практике существует несколько рисков, которые частично или полностью могут получить страховую защиту:

• Риск присвоения и использования конфиденциальной информации сотрудниками компании и ее использования;
• Риск получения хакером информации о номерах кредитных карт или счетов клиентов компании;
• Риск хищения денежных средств со счетов в банке или ценных бумаг со счета в депозитарии;
• Риск хищения данных кредитных карт и средств с них;
• Риск утраты или разглашения информации из-за ошибки сотрудника;
• Перерыв в работе предприятия, его компьютерной сети, его сайта;
• Убытки, связанные с размещением на сайте страхователя ложной информации или информации, имеющей характер диффамации;
• Риск утери материального носителя, содержащего конфиденциальную информацию.

Практически во всех страховых случаях наиболее сложным вопросом является вопрос достоверной оценки стоимости утраченной информации. Кроме того, при оценке информации как нематериального актива и получения страхового возмещения не исключены проблемы с нашим налоговым законодательством, которое не преминет обозначить всю сумму страхового возмещения как прибыль и обложить ее налогом. Этот вопрос на уровне разъяснений Минфина ещё не отрегулирован. Также не всё ясно с выплатой страхового покрытия, рассчитываемого как размер расходов, понесенных на восстановление нарушенного права. Доказать необходимость совершения того или иного расхода или его размер будет достаточно сложно, поэтому примерный перечень таких расходов и пределы их стоимости желательно заранее прописывать в договорах страхования. Страховое покрытие может включать:

• Убытки в связи с нарушениями персональных данных или корпоративной информации;
• Убытки в результате длительного перерыва в функционировании сети ;
• Убытки и расходы в результате публичного раскрытия персональных данных или корпоративной информации;
• Денежные средства, выплаченные для ограничения или прекращения угрозы безопасности, которая иначе может вызвать убыток;
• Покрытие расходов, связанных с проведением расследований регулирующими органами;
• Услуги по реагированию в случае утечки данных, восстановление личной репутации, инструктаж на случай утечки персональных данных, а также расходы на уведомления и мониторинг, связанные с утечкой информации;
• Покрытие расходов, связанных с восстановлением, повторным сбором или воссозданием информации после утечки или несанкционированного использования данных;
• Расходы страхователя на защиту в суде;
• Расходы на управление кризисными ситуациями;
• Ущерб, причиненный третьим лицам.

Несмотря на достаточно молодой рынок страхования киберуслуг, уже имеются сложные комплексные решения. Ожидается, что и облачные провайдеры в скором времени будут предоставлять услуги по страхованию своей ответственности. Уже сейчас компания Cloud4Y помимо гарантий, предлагаемых соглашением об уровне обслуживания, готова предложить клиентам удобный способ страхования рисков размещения инфраструктуры и сервисов в облаке.

Источник: https://habr.com/post/454278/

Как страхуют киберриски в разных странах

Теперь в сети у любой компании может появиться троянский конь

По оценке Allied Market Research, к 2022 г. глобальный рынок страхования киберрисков достигнет $14 млрд, а по оценке Allianz, в 2025 г. он будет составлять $20 млрд. В 2016 г. рынок страхования киберрисков в США увеличился на 35%, говорится в исследовании Fitch, до $1,35 млрд, но там считают, что в реальности он больше.

Но премии за киберриски – это капля в море для общего рынка страхования. В 2015 г.

страховщики США собрали $1,5–3 млрд таких премий, говорится в февральском исследовании Deloitte (компания ссылается на оценки регуляторов и рейтинговых агентств).

А общий размер премий, собранных в США в 2015 г., составил $505,8 млрд. В октябре 2016 г. полис страхования киберрисков был лишь у 29% компаний США.

Всплеск спроса на страхование киберрисков отмечается каждый раз, когда происходит громкая хакерская атака, отмечают эксперты, опрошенные WSJ. Так было, например, после атаки на серверы Yahoo в 2014 г.

, когда хакеры взломали 500 млн паролей пользователей; кибератаки на Национальный комитет Демократической партии США в июне 2016 г.

и взлома IT-системы бюро кредитных историй Equifax, в результате которого в руки злоумышленников могли попасть личные данные 300 млн человек.

В 2017 г. от программ-вымогателей Wannacry и Petya пострадали сотни тысяч компьютеров по всему миру.

Одной из жертв стал датский промышленный конгломерат Moller-Maersk, владеющий крупнейшим в мире бизнесом контейнерных перевозок, его убытки составят $200–300 млн, пишет WSJ.

У страховой компании AIG после атак Wannacry спрос на страхование киберрисков вырос в Азии на 87%, а в глобальном масштабе – на 38%, сообщает FT.

Tryg, крупнейшая датская страховая компания, ожидает, что через пять лет страховать киберриски будет 90% ее клиентов. «Не бывает сейчас корпоративных клиентов, которые не страхуют здания и автомобили, – сказал Reuters гендиректор Tryg Мортен Хюббе. – Думаю, через несколько лет станет столь же очевидно, что нужно страховать киберриски».

Рынок страхования киберрисков мог бы расти и быстрее – потенциальный спрос достаточно велик, – если бы не его незрелость. Страховщики не понимают, что именно они продают, а их клиенты – что именно они покупают.

«Появилось так много новых страховых продуктов, которые еще не испытаны, – сказал WSJ вице-президент страховой компании Travelers Тим Фрэнсис, – что в один прекрасный день начнут поступать обращения о страховых случаях, и тогда мы узнаем, значат ли слова, которые мы использовали в полисах, именно то, что мы имели в виду». Но зачастую разбираться с этим приходится юристам, добавляет он.

«Что будет, если завтра некий веб-хостинг подвергнется DDoS-атаке или его взломают хакеры и компании, которые пользуются им, не смогут обслуживать своих клиентов? Откуда нам знать, что купившие у нас полис страхования киберрисков не хранят все в одной корзине – облачный сервис, веб-хостинг, почтовый сервер, SaaS (программное обеспечение как услуга)?» – отмечает один из страховщиков, участвовавший в исследовании Deloitte.

Несколько респондентов Deloitte сравнивали риски, связанные с кибератаками, с рисками терактов: в обоих случаях группа лиц намеренно пытается нанести ущерб, такие атаки могут произойти когда угодно, где угодно и пострадать от них может кто угодно.

Из-за страха получить огромные убытки многие страховые и перестраховочные компании после 11 сентября 2001 г. перестали страховать риски, связанные с терроризмом. «В конечном итоге все сводится к тому, что мы не понимаем, какие риски мы берем на себя, – сказал Deloitte еще один страховщик.

– У нас недостаточно информации о том, где источник риска, чтобы мы могли его сократить».

В мире происходит настоящая гонка вооружений в киберсекторе и возможность совершить масштабную кибератаку есть у несколько десятков стран, отмечает Брюс Боланд, IT-директор в странах Азии компании FireEye, занимающейся вопросами безопасности. «Страховые полисы обычно не покрывают военные действия. А это значит, что чрезвычайно важным становится определение кибератак: кто знает, кто за ними стоит?» – говорит он.

Но даже если страховой полис от киберрисков есть, не факт, что в случае взлома он покроет все убытки. Тем более что, например, репутационный ущерб сразу может и не проявиться. В июне 2014 г.

работающая в США сеть ресторанов China Bistro, платившая за такую услугу $134 000 в год, узнала, что хакеры украли у нее номера кредиток 60 000 клиентов.

Страховщик выплатил China Bistro $1,7 млн в качестве компенсации за расследование и судебные издержки, но самой сети пришлось заплатить $1,9 млн компании, которая занимается процессингом карт, пишет WSJ.

Страхование информационных рисков является неизвестным и непонятным для большинства потребителей этой услуги, говорится в материалах правительственной программы «Цифровая экономика» на 2017–2020 гг.» (с проектом документов ознакомились «Ведомости»).

В России заключено менее 20 договоров страхования, большинство оформлено предприятиями с иностранным участием в «дочках» иностранных страховщиков.

По словам зампреда ЦБ Владимира Чистюхина, проблема есть и на рынках других стран: страховые компании и регуляторы говорят, что этот вид развивается, но устойчивым тренд назвать нельзя.

Содержание страховой услуги по киберстрахованию не стандартизовано, в мировой практике варьируется от страны к стране и зависит от законодательной среды, говорится в материалах программы.

«Калька» с американского или западноевропейского продукта практически не отвечает потребностям предприятий в российской юрисдикции. В ней предлагается с участием государства формировать тарифы, стандарты и привлекать для работы Российскую национальную перестраховочную компанию.

А также введение обязательного страхования от киберугроз с 2020 г. для большинства стратегических отраслей. Однако с этим пока не согласен ЦБ (см. врез).

Есть проблемы и с выделением этого вида страхования в отдельный класс – в отличие от страхования для защиты «физических» активов предприятия расходы на страхование киберрисков не могут быть исключены из налоговой базы компаний, что снижает экономический интерес к такому страхованию. В программе предусмотрены изменения в страховом законодательстве, уравнивающие страхование информационных и «физических» активов.

Многие крупные и средние банки страхуют риски электронных и компьютерных преступлений в рамках договора комплексного банковского страхования от преступлений, говорит начальник управления страхования финансовых институтов и партнеров компании «Ингосстрах» Дмитрий Шапошников. В нефинансовом секторе, по его словам, активный интерес к страхованию киберрисков начал появляться только в последнее время. В «Ингосстрах» нередко обращаются крупные компании, опасающиеся приостановки основной деятельности, если выйдут из строя IT-системы.

Мое отношение к тому, чтобы придать страхованию киберрисков обязательный характер, отрицательное.

В настоящее время мы не разобрались с предметом – что такое киберриски, из чего они состоят, мы в принципе не знаем практику страховых компаний – готовы они страховать киберриски либо нет.

Для меня вопрос звучит не в том, чтобы придавать обязательность, а в том, чтобы начинать страховать киберриски

У компании «Альфастрахование» на начало сентября было несколько десятков корпоративных клиентов, страхующих киберриски с общей суммой покрытия 100 млн евро, рассказал руководитель управления страхования финансовых рисков компании Андрей Макаренцев.

Он также отмечает, что чаще всего киберстрахование как дополнительное покрытие к основному полису выбирают банки.

По словам Макаренцева, клиенты недооценивают многие киберриски, включая вывод из строя оборудования в результате хакерских атак, организацию взрывов, пожаров, ложного срабатывания сигнализаций в результате взлома и нарушения систем безопасности через внешний доступ. Но он также отмечает, что спрос на страхование киберрисков постепенно растет.

«РЕСО-гарантия» не страхует от киберугроз, говорит заместитель гендиректора компании Игорь Иванов. По его словам, у компании нет данных для корректного расчета такого риска.

«Видимо, таких данных пока недостаточно даже у крупнейших мировых страховщиков, хотя в последнее время запрос на такие или связанные частично с кибербезопасностью страховые услуги появляется», – добавляет он.

Но «РЕСО-гарантия» участвует в страховании рисков международных клиентов AXA, которая является одним из ее акционеров.

Рынок страхования киберрисков только начинает формироваться и не все хорошо представляют, как осуществлять расчет потенциального ущерба, согласен старший менеджер департамента по управлению рисками компании Deloitte Анатолий Остроглазов.

Однако «продукты по киберрискам уже у многих страховщиков готовы, поэтому новым игрокам будет несложно адаптироваться», отмечает он.

Хотя пока киберриски не реализуются, многие организации не готовы рассматривать их всерьез и надеются на собственную защиту, добавляет Остроглазов, в первую очередь страховые продукты по киберрискам будут рассматривать банки, поскольку там участились случаи вывода активов.

Источник: https://www.vedomosti.ru/finance/articles/2017/11/08/740869-strahuyut-kiberriski

Страхование банков от электронных и компьютерных преступлений

Полис комплексного банковского страхования от электронных и компьютерных преступлений (ECC) широко известен во всем мире и является основой страховой программы любого банка. Основная цель данного страхования — защитить банк от операционных рисков, связанных с экономическими преступлениями со стороны третьих лиц и сотрудников самого Банка.

Комплексное страхование профессиональных банковских рисков включает:

— Страхование от преступлений — Bankers Blanket Bond (BBB)/Fidelity Bond
— Страхование от электронных и компьютерных преступлений (ECC)
— Страхование ответственности финансовых институтов (FIPI)

Как правило, финансовый институт приобретает не один из этих видов страхования, а два или все три в составе одного комплексного полиса. Преимущество комплексного подхода заключается не только в снижении стоимости страхования.

Убытки по банковскому страхованию зачастую бывают сложными, не всегда просто определить, в результате чего банку был нанесен ущерб — в результате преступного действия или ошибки сотрудника. Указанные три вида страхования взаимодополняют друг друга и приобретение их в едином пакете  позволяет получить максимально широкое страховое покрытие.

• Полис страхования банков от преступлений — Bankers Blanket Bond (BBB)/Fidelity Bon — обеспечивает возмещение прямых убытков (реального ущерба), нанесенных финансовому институту противоправными действиями персонала или третьих лиц.
• По статистике, порядка 80-90% всех преступлений в банковской сфере связано с мошенническими действиями собственных сотрудников банка, преднамеренно совершенными ими самостоятельно или в сговоре с другими лицами с целью нанесения ущерба банку или извлечения для себя незаконной финансовой выгоды.
• Покрываемые риски:
• — ущерб от мошеннических действий персонала банка (мошеннический ввод данных или команд в компьютерные сети банка, сервисной компании, электронные системы перевода средств или связи с клиентами)
  — ответственность перед клиентами в связи с несанкционированным доступом третьих лиц в компьютерные сети банка, когда он действует в качестве сервисной (процессинговой) компании для клиентов
  — ущерб/утрата ценностей на хранении в банке, у его корреспондентов или во время перевозки
  — убытки, причиненные подделкой платежных документов
  — ущерб от компьютерных вирусов
  — убытки от работы с фальшивыми ценными бумагами
  — убытки в связи с принятием фальшивых денежных средств
  — убытки в связи с получением сфальсифицированных поручений клиентов, передаваемых по системам электронной связи
  — страхование помещений и внутреннего оборудования от убытков в результате кражи, вандализма, других умышленных противоправных действий
• — возмещение юридических расходов по искам, поданным в связи со страховым случаем

Стоимость страхования:

— определяется на базе фиксированной суммы по итогам проведения сюрвея и анализа предоставленной банком информации;
— зависит от многих факторов, в том числе от размера выбранного лимита ответственности.

Обязательным условием выдачи банку полиса комплексного банковского страхования является проведение независимой оценки рисков специализированной сюрвейерской компанией. В ходе сюрвейя производится оценка надежности систем физической безопасности и внутренней организации деятельности банка.

Сюрвейеры знакомятся с системой подбора персонала, организацией внутреннего контроля за действиями сотрудников, методиками проверки поступающих в банк платежных поручений, ценных бумаг, наличных денежных средств.

Главный метод работы — интервью с руководителями и сотрудниками соответствующих подразделений.

В своем заключении по итогам проверки компания-сюрвейер дает заключение о состоянии систем внешней физической и внутренней безопасности банка, а также дает рекомендации по их совершенствованию. Оплата услуг сюрвейерской компании производится банком, однако в случае заключения страхового полиса страховая компания оплачивает половину стоимости сюрвея.

Сюрвей проводится в интересах как страховой компании, позволяя достоверно оценить риск, так и самого Банка, позволяя выявить и своевременно устранить слабые места в системах безопасности.

Обычно сюрвей проводится до заключения договора страхования, однако допускается его проведение и сразу после согласования условий страхования и подписания договора страхования. В обоих случаях страхователь должен выполнить рекомендации, данные по результатам сюрвея, либо предложить альтернативные способы снижения рисков.

Источник: http://bancassurance.com.ua/review/573

Управление рисками электронной коммерции и их страхование

Электронная коммерция, как и любая другая сфера человеческой деятельности, связана с рисками, которые чреваты весьма ощутимыми убытками.

Как известно, компьютерный вирус I LoveYou прервал работу (в ряде случаев — неоднократно) или повредил около 70 млн компьютеров по всему миру, и нанесенный им ущерб составил более 10 млрд долл. В настоящее время насчитывается от 20 до 50 тыс.

всевозможных вирусов, и их количество постоянно растет. По данным компании Axent Technologies (axent.com), свыше 90% торговых Web-сайтов уже сталкивались с хакерскими атаками.

Управление рисками — это система организационно-экономических мероприятий, направленных на своевременное выявление и оценку потенциальных рисков, предупреждение или минимизацию последствий случайных и труднопредсказуемых событий, которые могут привести к нарушению нормального функционирования или даже ликвидации предприятий и организаций. Применительно к электронной коммерции это означает определение рисков, их ранжирование и принятие решения о распределении ответственности за контроль над рисками (см. рисунок).

Торгово-сервисная Интернет-компания, страхующая риски электронной коммерции, должна быть готова к тому, что при решении вопроса о предоставлении страховой защиты страховая фирма обязательно привлечет для проведения независимого инспекторского осмотра сюрвейера — стороннюю компанию, специализирующуюся на технологиях электронной коммерции и информационной безопасности. По результатам этого осмотра определяются превентивные мероприятия (например, необходимость резервного копирования наиболее важной информации, организации технического обслуживания, соответствующего современным требованиям безопасности и надежности, обеспечения противопожарной безопасности, приобретения системы кондиционирования и т. п.), с выполнением которых увязывается программа страхования. Рассмотрим подробнее основные типы рисков, возникающих на рынке электронной коммерции (табл. 1).

В настоящее время существуют различные технические способы предупреждения соответствующих типов рисков.

Однако полностью устранить риски такими способами удается далеко не всегда: степень информационной защищенности имеет свой верхний предел, обусловливаемый свойствами имеющегося оборудования и спецификой применяемых технологий.

Естественным дополнением к техническим способам защиты может стать страхование рисков электронной коммерции1, и ведущие мировые страховые компании (прежде всего американские) начали активно развивать это направление.

Одна из самых известных программ в данной области — Net Secure, предлагаемая страховым брокером Marsh Inc. (на начало 2000 г. было выдано около 100 полисов). Максимальное страховое покрытие по Net Secure составляет 200 млн долл., полис предусматривает возмещение потерь, вызванных сбоями в работе Сети и недоступностью сайта страхователя2.

Наиболее развитым сегментом рынка является страхование от электронных и компьютерных преступлений. В России оно начало развиваться пять лет назад, когда появился спрос на данные услуги со стороны банков и иных финансовых учреждений3. Обычно страхование финансовых институтов от электронных и компьютерных преступлений предусматривает возмещение убытков, понесенных вследствие

• несанкционированного ввода данных или их изменения;
• введения в компьютерную систему мошеннически подготовленных или модифицированных команд;
• повреждения, уничтожения или перехвата информации;
• блокирования доступа к данным и к Web-сайту;
• воздействия компьютерных вирусов и др.

Страховой договор может предусматривать обязательство страховой компании компенсировать судебные расходы и прочие подобные издержки, понесенные страхователем в результате возбужденного против него судебного процесса или иного юридического разбирательства (при условии, что страховщик предварительно одобрил действия страхователя в отношении событий, связанных с принятыми на страхование рисками).

Обязательным условием, предваряющим заключение договора страхования рисков е-коммерции и договора страхования от электронных и компьютерных преступлений, является проведение независимого инспекторского осмотра корпоративной информационной системы клиента.

По итогам осмотра составляется отчет, содержащий рекомендательный перечень превентивных мероприятий, направленных на совершенствование системы информационной безопасности потенциального страхователя. Страховая фирма вправе потребовать проведения этих мероприятий до заключения договора или в течение определенного срока, указанного в договоре.

Не исключено, что невыполнение каких-либо действий, внесенных в согласованный перечень, повлечет за собой досрочное прекращение договора страхования.

Кроме того, в страховой договор может быть включен перечень стандартных правил, обеспечивающих безопасность электронных бизнес-процессов. Упомянутый выше страховой брокер Marsh Inc. сотрудничает с компаниями Internet Security Systems и Protegrity, специализирующимися на разработке таких стандартов4.

Потенциальный страхователь, имеющий заключение о соответствии используемого им компьютерного оборудования и программного обеспечения необходимым требованиям, может претендовать на получение скидки до 15% от страхового взноса.

Это стимулирует внедрение передовых технологий информационной защиты в сфере е-коммерции.

Корпорация IBM и группа страховых и брокерских компаний Fidelity and Deposit разработали специальный программный комплекс для фирм, оказывающих финансовые Интернет-услуги.

Этот комплекс включает в себя ПО для электронного бизнеса и полис Fidelity and Deposit на страхование соответствующих рисков; его минимальная стоимость составляет около 4 тыс. долл5.

Кроме того, IBM выступает в качестве сюрвейера, осуществляющего предварительный осмотр систем компьютерной защиты и консультирование Интернет-фирм перед заключением ими договора со страховой компанией Sedgwick Group. Аналогичная программа (под названием E-commerce Remedies Policy) разработана Hewlett-Packard совместно с корпорацией J.S.

Wurzler, которая предоставляет страховую защиту от сбоев в онлайновой торговле, вызванных целенаправленными атаками извне. В рамках данной программы предусмотрено максимальное страховое покрытие в 2 млн долл., а специалистам HP отведена роль экспертов, проводящих доскональную проверку оборудования и ПО потенциального страхователя6.

В России страхованием от электронных и компьютерных преступлений занимаются несколько компаний. Наиболее известная из них — «Ингосстрах» — предлагает клиентам полисы страхования с лимитом ответственности около 1 млн долл7.

Следует отметить, что в нашей стране наиболее распространены имущественные виды страхования, непосредственно связанные с помещениями и оборудованием, посредством которых ведется электронный бизнес, и товарами, являющимися объектами Интернет-торговли.

Это классические виды страховых услуг, и практически у всех российских страховщиков есть соответствующие лицензии и опыт в данной области.

Менее распространено страхование ответственности за качество реализуемых в Сети товаров/услуг, тем не менее особых сложностей не возникает и в таком случае.

При страховании же электронного оборудования, которое используется в сфере е-коммерции, необходимо принимать во внимание специфические риски, связанные с эксплуатационными и иными особенностями данной техники (например, она весьма чувствительна к параметрам окружающей среды и может пострадать от пыли, повышенной влажности, вибрации, чрезмерно высокой или низкой температуры воздуха и т. п., тогда как на остальном оборудовании это не отразится). Поскольку обычное имущественное страхование не дает защиты от такого рода рисков, требуется особое страхование (у западных компаний оно обозначается аббревиатурой EEI — electronic equipment insurance8), и многие российские страховщики уже имеют подобные программы.

Главные особенности EEI состоят в следующем. Объектом страхования являются имущественные интересы, связанные с владением, распоряжением и пользованием техникой, которая используется при осуществлении е-коммерции:

• электронными вычислительными машинами, применяемыми для обработки данных, контроля и управления;
• устройствами передачи информации (модемами и т. д.);
• внешними носителями информации (дискетами, компакт-дисками, оптическими дисками и т. д.);
• иными электронными устройствами.

Страховым случаем признается гибель или повреждение электронного оборудования в результате:

• действия огня из-за пожара, взрыва, удара молнии;
• действия воды в связи с авариями водопроводной или канализационной сети либо проникшей из соседних помещений (чердак, лифтовая шахта, межэтажные перекрытия, жилые и нежилые помещения и т. д.);
• действия пара при авариях отопительных систем;
• аварии электросети;
• аварии телефонной сети;
• механических повреждений (неосторожные непреднамеренные действия третьих лиц);
• преднамеренных действий третьих лиц (похищение или физическая порча электронных устройств).

Страхуя риски, связанные с огнем, водой и паром, необходимо учитывать, что негативные последствия для объекта страхования могут наступить также в результате задымления, осаждения сажи, конденсации влаги на устройствах, проникновения паров внутрь аппаратуры и т. п.

Кроме того, следует предусмотреть возможность возникновения ущерба в связи с тем, что вследствие пожара, удара молнии и различных аварий внешне неповрежденное электронное оборудование не будет работать (или будет работать плохо) из-за различного рода электромагнитных наводок.

Для страхователя также очень важна защита от рисков, связанных с короткими замыканиями, отклонениями от стандартных уровней напряжения и частоты, магнитной индукцией. Рассматриваемый вид страхования, в отличие от обычного, все это учитывает.

Классическое же имущественное страхование покрывает только убытки, обусловленные «воздействием прямого грозового разряда, при котором ток молнии протекает через элементы застрахованного имущества и оказывает термическое, механическое или электрическое (атмосферное перенапряжение) воздействие, или вторичным воздействием грозового разряда, связанным с наведением высокого электрического потенциала с возникновением искрения»9.

Размер страхового возмещения определяется расходами, необходимыми на приобретение новых электронных устройств или их составных частей, включая затраты на доставку, монтаж и наладку. Страхование электронных устройств обходится обычно в 0,5-3% стоимости техники.

Следует подчеркнуть, что при страховании электронного оборудования потеря или искажение информации, хранящейся или передающейся посредством электронного устройства, страховым случаем не считается (для защиты от этого существуют специальные программы страхования информационных рисков). Могут быть возмещены расходы на восстановление информации, хранящейся на внешних носителях, но страхователь должен внимательно изучить договор и удостовериться, что этот вид риска действительно включен в программу страхования.

Перейдем к другим видам риска, возникающего в сфере электронной коммерции.

Одна из самых сложных процедур в отечественной страховой практике — страхование финансового риска, и связано это не с отсутствием качественных услуг, а с необходимостью проведения чрезвычайно серьезной проверки всего бизнеса потенциального страхователя в связи с высоким уровнем мошенничества именно по данному виду страхования.

Российские страховщики подходят к страхованию финансового риска очень избирательно.

Служба безопасности страховой компании постарается собрать максимум сведений о потенциальном страхователе, потребует предоставления всех ключевых документов — регистрационных свидетельств, лицензий или патентов на право осуществления тех или иных видов деятельности, заключений аудиторов и надзорных органов, внутрифирменных регламентов, постарается получить доступ и к материалам налоговых проверок. Особое внимание будет уделено кредитной истории, имевшимся в прошлом судебным разбирательствам, а также информации о реализации иных страховых программ. Не последнюю роль в принятии решения о предоставлении страховой защиты сыграют результаты предварительного размещения страхового риска в перестрахование.

Высокие шансы на заключение договора имеют те предприниматели, которые на протяжении ряда лет зарекомендовали себя в качестве страхователей с наилучшей стороны (надежность, стабильность, точное выполнение рекомендованных превентивных мер и т. д.

), а также те, чьи стратегические интересы совпадают с интересами страховой компании или ее учредителей.

Кроме того, страхователь вправе увязать страхование своего имущества и ответственности со страхованием финансового риска — в результате страховщик ставится перед необходимостью либо предоставить полную страховую защиту, либо отказаться от классических, выгодных видов страхования.

Государство может повысить заинтересованность российских страховых компаний в страховании финансового риска, сопутствующего отраслям высоких технологий, снизив ставки налога на прибыль по данному виду услуг.

Труднее всего заключить договор страхования риска, связанного с использованием объектов интеллектуальной собственности. Это объясняется многими причинами:

• сохраняется практика пренебрежительного отношения экономических агентов к авторским и патентным правам;
• у отечественных страховщиков отсутствует опыт в этой области;
• недостаточно разработаны методики оценки риска и понесенного ущерба;
• существует дефицит кадров, обладающих необходимой в данной сфере узкой специализацией;
• недоступна статистика, требующаяся для расчета страховых тарифов, и т. д.

Компенсация страхователю сумм, израсходованных им в связи со вступлением в силу судебного постановления о возмещении морального вреда, практикуется лишь немногими страховыми компаниями, и необходимость такой компенсации до сих пор является предметом дискуссии среди российских страховщиков.

И все же из реально имеющегося на нашем рынке предложения страховых услуг можно составить развернутую программу страхования рисков электронной коммерции (табл. 2).

* * *

Итак, сегодня перед страховщиками открываются новые горизонты.

Они могут развивать перспективное направление — обеспечение страховой защиты от рисков, которые сопутствуют электронной коммерции, а также использовать возможности, открывающиеся в связи с переводом страхового бизнеса в Сеть.

Уже сейчас российские Интернет-предприниматели имеют возможность реализовать комплексную программу страхования рисков е-коммерции. А тесное сотрудничество электронного и страхового бизнеса — важное слагаемое успеха новой экономики.

Александр Цыганов — кандидат эконономических наук, заместитель заведующего кафедрой страхования Высшей школы приватизации и предпринимательства, e-mail: tsyganov@ins-union.ru

1 Подробнее о направлениях развития страхования, связанных с Интернетом, и о введении единых стандартов в этой области см.: Цыганов А. Интернет-страхование в России: первые шаги к введению единых стандартов // Мир электронной коммерции. 2001. № 2. С. 52-54.

назад

2 Associated Press. 21.03.2000.

назад

Источник: https://www.osp.ru/ecom/2001/04/13031391

Зачем нужно страхование от киберрисков?

Киберинциденты входят в топ-10 рисков для компаний. Это угрозы кражи данных, хакерских атак с хищением средств и перерывов в производстве. Защитить себя от убытков можно, купив киберстраховку. Что это такое, где такие полисы продают в России и почему в нашей стране этот вид страхования не так развит, как за границей, расскажем в статье.

В 2018 году число киберпреступлений в России выросло в два раза. Только по официальным данным Генпрокуратуры произошло больше 150 тыс. инцидентов. В среднем ежемесячно регистрируют больше 13 тыс. атак. Доля таких преступлений выросла с 4,4% до 8,1%, при этом расследовано только 31,8 тыс. Если смотреть статистику за 10 лет, киберпреступность продемонстрировала рост в 10 раз.

Киберпреступления включают распространение вредоносных программ, взлом паролей, кражу номеров и паролей банковских карт, в том числе корпоративных, мошенничество с платёжными системами и другое.

Конечно, больше всего потерь несёт бизнес. В 2018 году сумма потерь превысила 1,4 млрд руб.

Поэтому важна защита от подобных угроз – не только за счёт оптимизации и улучшения ИТ-технологий, но и за счёт страхования от киберинцидентов.

Объект страхования – имущественные интересы клиента. Они могут быть связаны с рисками:

• наступления ответственности за причинение ущерба имуществу граждан и других юридических лиц;
• наступления непредвиденных расходов;
• получения убытков от перерывов в производстве.

Защитить компанию с помощью страхования можно одним из двух способов.

Некоторые страховщики предлагают расширить классический полис имущественного страхования или страхования от перерыва в производстве.

В него включают риск кибератаки. Также можно приобрести страховку от киберугроз отдельно. Но в нашей стране такие продукты – редкость. В частности, программы страхования от киберугроз предлагают «АльфаСтрахование», «Сбербанк Страхование», «Согаз», «Альянс» и ещё нескольких крупных игроков рынка.

Договор можно заключить как на все, так и на отдельные киберриски. Есть стандартные пакеты и индивидуальные. Вторые ещё называют конструкторами – клиент выбирает услуги под особенности бизнеса.

Что касается базовой программы, в неё входят риски утраты и искажения данных, программного обеспечения, разглашения персональных данных, расследование и диагностика кибератак.

В полис-конструктор можно включить риск хищения интеллектуальной собственности, вымогательство, ущерб деловой репутации и т.д.

Цена программы страхования зависит от количества и набора рисков, покрытия и франшизы, а также рода деятельности страхователя и результатов оценки рискозащищенности.

Рассмотрим распространённые элементы киберстраховок подробнее.

Не всегда мошенников интересуют деньги. Иногда цель атаки – хищение информации о сотрудниках компании, продукции и т.д.

Атака на сетевые ресурсы и серверы может вывести из строя целые подразделения. В результате перерыва в рабочем процессе компания теряет прибыль. Эти потери компенсируют по страховому полису.

В убытки входят не только непосредственные потери, но и траты на защиту своих прав, в том числе юридическую.

Страховая компания покроет убытки и расходы, связанные с публичным раскрытием похищенной конфиденциальной информации, ложными или вводящими в заблуждение заявлениями (например, в СМИ).

Если киберпреступники требуют деньги за прекращение угрозы безопасности, клиент с согласия страховой компании выплачивает их, после чего СК возвращает ему всю сумму.

Если украденные данные разместили в публичном доступе, исказили, использовали против компании-страхователя, СК оплатит услуги по восстановлению репутации.

Полис включает также покрытие:

• расходов, связанных с восстановлением, повторных сбором или воссозданием информации после утечки или несанкционированного использования данных;
• рисков «технических сбоев» и «умышленных действий сотрудников»;
• услуг юристов, которые проводят инструктаж по предотвращению утечки персональных данных и действиям, если такая утечка всё же произошла;
• убытков, связанных с хищением денег со счетов, корпоративных карт компании.

Кроме того, по полису можно возместить убытки, связанные с проведением расследований регулирующими органами. Кстати, некоторые СК компенсируют затраты на внутренние расследования внутри компании-страхователя. Например, расходы на экспертов в области информационных технологий (услуги форензик).

Страховщик также возмещает расходы клиента по требованиям третьих лиц (например, клиентов, которые совершают покупки на сайте компании) из-за утечки данных или нарушения конфиденциальности. В полис может входить и защита в связи с требованием регулирующих органов.

Могут быть возмещены расходы на уведомление третьих лиц о произошедшей атаке, сбое, утечке данных и т.д., расходы на мониторинг после наступления страхового события (чтобы предотвратить повторную кибератаку).

Страховая компания не покроет убытки от ущерба в результате утечек данных, хакерских атак, киберугроз, которые произошли до покупки полиса. Даже если последствия от них наступили в момент действия договора.

Не подпадает под страховой случай кибератака в результате военных действий, мародёрства, вторжений зарубежных врагов, революции и других народных волнений. Теоретически это значит, что СК не покроет расходы, если киберпреступление будет организовано за границей и будет признано атакой на страну, а не на конкретную компанию.

Если убытки от кибератаки связаны с операциями на рынке ценных бумаг, их также не покроют. Однако некоторые СК делают на этот счёт исключения.

Также в договорах страхования можно встретить любопытное исключение, касающееся того, что страхователь может лишиться выплаты из-за нечестности.

Под этим понимают ненадлежащее или неполное указание стоимости товара на сайте, подлинности товара, а также несоответствие товаров, продуктов или услуг заявленному качеству и рабочим характеристикам.

Также в числе исключений ошибки в обнародованных финансовых данных компании.

Не удастся покрыть убытки от сбоев в работе электричества, интернета. Сюда же относятся сбои в работе кабельного, спутникового, телекоммуникационного сетевого оборудования, включая проблемы в предоставлении услуг сторонним провайдером. Если в компании установлено нелицензионное ПО, это также станет препятствием для получения выплаты.

По данным страховщиков, интерес к киберстраховкам проявляют финансовые организации (особенно банки), предприятия энергетической и нефтяной отраслей, транспортные компании, телекоммуникационные компании. Также на подобные страховые продукты обращают внимание машиностроительные компании.

Комментирует Евгений Шешуков, заместитель генерального директора Legal-Soft: «Подобные полисы актуальны в большей степени, конечно, компаниям крупного бизнеса из-за возможности компенсации расходов на восстановление репутации страхователя и его работников, а также расходов на реагирование и упреждающую программно-техническую экспертизу, восстановление данных.

Однако сегмент малого и среднего бизнеса также может пользоваться страховыми программами для возврата части средств при заражении, а также компенсации убытков в результате нарушения безопасности компьютерных систем (заражения вредоносным ПО), уничтожения, модификации или удаления информации и др.».

Комментирует Артём Чернов, заместитель генерального директора сервиса по выбору и продаже страховых услуг онлайн Cherehapa Страхование: «Большая часть предложений страховых компаний связана с защитой от рисков фишинга (взлом персональных данных пользователя). Эти продукты активно приобретаются операторами сотовой связи и онлайн-магазинами. Также потребители таких страховых продуктов – криптобиржи. Одновременно уже создаются продукты и для предприятий реального сектора».

В США возраст рынка cyber-insurance превышает 10 лет. По данным PwC, такая страховка есть у трети американских компаний. По прогнозам к 2020 году объём киберстрахования достигнет $7,5 млрд.

В России же этот рынок узкий и нишевый. Причина в том, что компании не понимают, стоит ли тратиться на защиту от киберрисков. Страховки покупают российские подразделения международных компаний, которые такие риски, как правило, учитывают.

Одна из проблем, мешающая развитию рынка, связана с трудностью ценообразования.

Дело в том, что компании, которые подверглись хакерской атаке, редко афишируют потери. Статистических данных недостаточно для полноценного андеррайтинга. В результате страховщики боятся недооценить угрозу и заламывают цены на полисы.

Ещё одна трудность – неоднозначное толкование киберриска. Кстати, эта проблема видна и на Западе. Показательный пример – иск транснациональной компании Mondelez против страховщика Zurich.

На компанию обрушили хакерскую атаку, но СК отказалась платить на том основании, что использованный в атаке вирус по сути – кибероружие, а сама атака – акт военной агрессии другого государства, а значит, относится к категории обстоятельств непреодолимой силы.

Кроме того, в большинстве российских компаний нет комплексного подхода к кибербезопасности. Как правило, управлением рисками занимаются одни подразделения, а информационной безопасностью – другие.

Также в России пока не сформированы стандарты киберстрахования. Каждая компания предлагает свой подход.

Ещё одна проблема – отсутствие слаженного механизма взаимодействия государства со страховым рынком. Но над этим уже работают. К 2021 Министерство цифрового развития должно подготовить предложения по развитию добровольного страхования киберугроз.

Между тем бизнесу, как малому, так и крупному, не стоит ждать развития рынка киберстрахования, а принимать меры самим. В частности, защищаться существующими методами.

«Вместо того чтобы полагаться на других, пусть даже самых надежных страховщиков, лучше вложиться в собственную систему комплексной защиты и принять в штат специалистов по информационной безопасности.

Конечно, следует учесть, что рынок таких сотрудников в России развит слабо, спрос высок, эксперты по информационной безопасности стоят дорого (иногда даже завышено). Нанять профи может позволить себе только крупный бизнес федерального уровня.

Для малого и среднего бизнеса проще нанять человека, который будет работать на упреждение рисков, а не последствий атак», – рассказывает Артём Чернов.

Мошенничество в киберпространстве набирает обороты, опережая современные средства защиты. Опасность может поджидать где угодно. Хотя страхование – цивилизованный способ защиты от рисков, в России эффективным и распространённым этот инструмент станет ещё нескоро.

Источник: https://www.inguru.ru/kalkulyator_kasko/stat_zachem_nuzhno_strahovanie_ot_kiberriskov