К 2025 году рынок киберстрахования России вырастет до 10 млрд рублей

Ударим киберстрахованием по киберпреступности!

Вместо предисловия

Екатеринбург. Лихие 90-е. Иногда постреливают, но до киберпреступности еще, как до луны, разве что вирусы порой слегка пакостят, да техника пошаливает, да квалификация персонала оставляет желать большего.

В такой обстановке одна молодая, небольшая, но очень гордая уральская страховая компания «Белая Башня» решает, что ей пора замахнуться на крупные риски. Ну, какой же страховщик не мечтает застраховать завод, парк самолетов или запуск спутника? Но уставной фонд не позволяет, а перестраховщики вокруг такие же… И приглашает директор ни много, ни мало, представителей английского Ллойда  (Lloyd’s of London), и , как ни странно, они приезжают. Со своим переводчиком. И мы делаем вид, что без него ничего не понимаем.

Через пару дней подписываем договор о сотрудничестве. Под занавес англичане спрашивают, что у нас новенького, интересненького.

– Недавно мы разработали новый вид – страхование баз данных.

Немая сцена. Потом англичане между собой, не для перевода:

– Они сумасшедшие?

И мы, со смехом, на чистом английском:

– Мы достаточно безумны, чтобы быть первыми.

После этого пошел заинтересованный разговор: как? от чего? как подсчитать убыток… Напоследок подарили им правила страхования.

Прошло четверть века, сейчас это называется киберстрахованием, которое охватывает только в США 36% всех юридических лиц. А из всех киберпреступлений самым распространенным является фишинг – кража персональных и идентификационных данных (пинкодов, логинов и паролей).

Зачем это надо

В мире идет настоящая кибервойна. А на войне все средства хороши: атаки, взломы, кражи, фейки, вирусы, фишинг, клоны сайтов, промышленный и  военный шпионаж и многое другое.

ФРС (Федеральная Резервная система) Чикаго приводит подтвержденные факты кибератак:

• 2013 – нарушение целевых данных;
• 2016 – утечка электронных писем Национального комитета Демократической партии во время выборов;
• 2017 – нарушение данных Equifax.

ФРС называет цели основных инцидентов:

• получение политических дивидендов;
• кража интеллектуальной собственности;
• мошенничество;
• вымогательство.

Киберстрахование (в некоторых написаниях «кибер страхование») покрывает риски бизнеса, политики, экономики. Особенно важным стало обеспечение кибербезопасности после повсеместного использования интернета. Первая политика ответственности за безопасность пользования интернетом была прописана Стивеном Хаасе для компании AIG в 1997 году. Компания Lloyd’s of London разработала похожий документ в 2000.

Страхование существует в двух формах:

• прямое страхование страхователем собственных рисков;
• страхование ответственности на случай, если страхователь непреднамеренно окажется виновным в нанесении вреда другим участникам сетевого общения или партнерам по бизнесу.

Кроме перечисленных форм существует скрытое страхование киберриска в составе имущественного страхования. Например, во время пожара сгорела серверная, и кроме прямого имущественного ущерба возникли убытки, связанные с восстановлением утраченной информации. Такой ущерб тоже может быть возмещен, если был оговорен на этапе заключения договора.

В нашем интервью с Робом Гэлбрейтом, автором  бестселлера «Конец страхования в том виде, в каком мы его знаем: как миллениалы, Insurtech и венчурный капитал разрушат экосистему», Роб рассказал, с какими проблемами сталкивается иншуртех и какое будущее ожидает это направление страхования. Мы настоятельно рекомендуем ознакомиться с интервью, автор поделился с нами обширными знаниями отрасли и прогнозами на ближайшие 10 лет.

Рынок киберстрахования

Надежда на «авось» мешает широкому охвату киберстрахованием российских предприятий и физических лиц, но в США такой вид страхования охватывает:

• 66% образовательных организаций;
• 62% учреждений здравоохранения;
• 58% крупных компаний;
• 51% предприятий связи;
• 41% организаций в сфере коммунальных услуг;
• 39% предприятий торговли;
• 27% финансовых учреждений.

Средняя величина ущерба от кибератак в США на 2018 год составила более 27 миллионов долларов, в Великобритании – более 11 миллионов, в Японии и Германии – более 13. По прогнозам к 2025 году мировой рынок киберстрахования достигнет более чем 21 миллиарда долларов. Его ежегодный прирост составит около 27%.

К ведущим зарубежным компаниям, активно работающим на рынке киберстрахования относятся:

• международная группа американских компаний AIG;
• Berkshire Hathaway;
• Allianz Group;
• Lockton Companies;
• Munich Re Group;
• Chubb Limited;
• Lloyd’s Group of London;
• Zurich Insurance Group;
• AXA XL SA.

Часть этих компаний представлена и на российском рынке. С 2013 года у нас в стране занимается киберстрахованием дочерняя компания американской AIG. В 2017 и 2018 году страховые продукты разработали отечественные страховщики:

• «Ингосстрах»;
• «Альянс»;
• «АльфаСтрахование»;
• «СОГАЗ»;
• «Сбербанк страхование».

Полисы киберстрахования активно оформляют страховые брокеры.

Данный вид страхования в России имеет значительные перспективы, так как киберпреступность стремительно растет. За 2018 год количество таких преступлений увеличилось на 92% по сравнению с предыдущим годом.

Страховые риски

В каждой компании правила оговаривают свой набор покрываемых рисков. В общем случае защита осуществляется на случай:

• хакерских атак;
• кибератак;
• кражи или уничтожения данных в результате определенных событий в сфере IT;
• расходов на экспертизы для оценки события и понесенных убытков;
• затрат на расследование вымогательства (угрозы атакой);
• понесенных расходов из-за перерывов в ведении бизнеса;
• утраты части прибыли;
• убытков из-за репутационных рисков;
• восстановления утраченных данных;
• ответственности, связанной с нарушением конфиденциальности.

«АльфаСтрахование»

Компания предлагает продукт «АльфаCyber», по которому можно получить защиту от отдельных рисков или от всех в комплексе. Страхователь может выбрать один из предлагаемых пакетов или составить свой собственный. Базовый пакет включает риски:

• искажения и утраты данных (в том числе, от вирусов-шифровальщиков);
• диагностики и расследования кибератак;
• утраты или искажения программного обеспечения;
• разглашения персональных данных.

Кроме этих можно застраховать риски хищения интеллектуальной собственности и денежных средств и еще почти десяток непредвиденных событий в сфере IT. От выбранного набора рисков зависит страховой тариф.

«Альянс»

Страховщик  предлагает страховой продукт Allianz Cyber Protect, в рамках которого можно застраховать:

• гражданскую ответственность за утечку финансовых и персональных данных;
• убытки из-за кибервымогательства или из-за простоев по причинам нарушения или утраты данных или ПО;
• расходы на форензику (компьютерную криминалистику).

AIG

Компания вышла на российский рынок киберстрахования с программой CyberEdge, которая не только предлагает защиту от кибератак, но и предоставляет помощь в области безопасности, в расследовании преступлений в сфере IT, консультативную и юридическую помощь. Эти услуги оказывают ее компании-партнеры.

AIG предлагает обязательный минимум рисков, при реализации которых возмещаются:

• убытки, вызванные нарушением данных;
• расходы на их восстановление;
• затраты на административное расследование;
• расходы в связи с виртуальным вымогательством;
• убытки, вызванные перерывом в работе сети;
• расходы, понесенные из-за ответственности за содержание информации.

Дополнительно можно застраховать компенсацию недополученной прибыли и еще ряд рисков.

Физические лица могут предотвратить или смягчить свои киберриски с помощью мобильного приложения, разработанного AIG для смартфонов и айфонов. Скачать его можно с AppleStore.

Проблемы киберстрахования

Этот вид страхования является одним из самых сложных. Не только потому, что он требует наличия большого объема знаний от страховщика, но и из-за ряда проблем, которые пока не решены в методологическом плане.

Среди непреодоленных пока трудностей можно выделить:

• отсутствие достаточной базы заключенных договоров и оплаченных страховых событий, что не позволяет провести в полном объеме актуарные расчеты, то есть боле ли менее точно определить тариф;
• постоянно меняющиеся методы проникновения и хакерских атак мешают точно определить вероятность взлома базы данных или ПО страхователя;
• одновременное нанесение ущерба тысячам компаний в результате кибератаки в сети, что может вызывать шквал взаимосвязанных убытков страховщиков;
• каскадные сбои, которые могут вызвать киберактаки (например, атака на энергосистему с разрушением части инфраструктуры ведет к дополнительным сбоям остальной сети);
• вредоносные программы, которые могут распространяться по сети, охватывая одновременно большое количество страхователей;
• сложности в определении суммы страхового покрытия;
• правовую неопределенность в сфере IT.

Сложности, связанные с расчетом тарифа, привели к неплатежеспособности компании Penn Treaty, которая отнеслась к прогнозу слишком оптимистично, основывая свои предположения на опыте работы по другим видам страхования.

Одновременный ущерб множеству страхователей может нанести атака на крупный облачный сервис, которым пользуется значительная часть клиентов. В таком случае количество выплат и их величина могут оказаться неподъемными для страховой компании.

Массовая атака вредоносным вирусным кодом произошла в 2017 году. Вирус NotPetya, приписываемый российским хакерам, используя уязвимость системы Windows, получил доступ к незащищенным компьютерам, через них –  к другим компьютерам и далее по всему миру. Предполагаемый ущерб составил около 10 миллиардов долларов.

Неизвестность в отношении новых факторов и угроз не позволяет страховщиками точно прогнозировать величину убытков, поэтому страховая сумма определяется «на глаз», то есть страхователь и страховщик просто договариваются о максимально покрываемом ущербе.

При заключении договора страхователю важно разобраться в покрываемых рисках и в причинах их возникновения. Многие руководители, заключившие договоры киберстрахования, полагают, что им возместят убытки из-за снижения цены акций на рынке или из-за обесценивания бренда, в то время как таких рисков в большинстве программ страхования нет.

Отсутствие во всем мире четкого законодательства в сфере IT привело к росту судебных исков к страховщикам. До сих пор не ясно, оплачивать ли фактические убытки или те, которые могут возникнуть в будущем. Ответственность за кражу персональных данных наступает после того, как вскрыт этот факт, или после того, как такая утечка нанесет реальный вред клиенту?

Американская судебная практика, основанная на прецедентном праве, пробуксовывает. В 2019 году Верховный суд отказал в апелляции, в которой страхователь пытался оспорить решение суда по иску к компании Zappos.com. Страховщик отказал в выплате Страхователю, который рассчитывал получить компенсацию на основании того, что «потери неизбежны».

Страховщики с нетерпением ждут, чем окончатся судебные разборки между продовольственной компанией Mondelēz International и страховой компанией Zurich Insurance Group из-за ущерба в 100 миллионов долларов, якобы возникшего в результате атаки вирусом NotPetya. Риск физической потери или порчи данных был застрахован, но имел исключение – «кроме акта войны». Основанием для отказа послужило высказывание Белого дома о том, что вирус попал в результате кибератаки со стороны кремля и российских военных. Этого было достаточно, чтобы классифицировать атаку как «акт войны».

К счастью, российские суды не пользуются прецедентным правом, а разбираются с каждым конкретным случаем и обычно встают на сторону страхователя. К тому же у нас судебной практики по киберстрахованию пока нет.

Сложности широкому распространению этого вида страхования добавляет необходимость заключения договоров с компаниями в сфере информационной безопасности и с экспертными организациями, способными определить величину ущерба.

Перспективы российского рынка киберстрахования

По мнению экспертов рынка, бизнес пока не понимает важности затрат на страхование киберрисков, На начало  2020 года начисленные премии по киберстрахованию в России не превышал нескольких миллионов долларов, однако по прогнозам экспертов, может на порядки увеличится в ближиайшие годы. Такое мнение высказали опрошенные ТАСС эксперты. Ожидается что к кратному увеличению рынка приведут диджитализация экономики, автоматизация бизнеса и производственных процессов. По оценке эксперта, по сравнению с несколькими миллионами долларов в России, в мире этот вид страхования превышает $5 млрд.

Ситуация с отсутствием стандартов, методологии и правового регулирования вскоре должна разрешиться. В национальном проекте по цифровой экономике оговаривается:

• необходимость повышения киберкультуры;
• популяризации страхования рисков, связанных с информационной безопасностью;
• даже предусматривается возможность использования налоговых льгот для страховщиков;
• для отраслей, важных в стратегическом плане, предполагалось сделать этот вид страхования обязательным.

Прогнозируется, что рынок киберстрахования в России к 2025 году может составить до 10 миллиардов рублей. Рабочая группа при Всероссийском Союзе Страховщиков (ВСС) в сотрудничестве с Торгово-промышленной палатой России (ТПП) занимается проработкой методологических вопросов.

Предполагается, что скоро облачные провайдеры начнут страховать свою ответственность. Уже сейчас фирма Cloud4Y готова оказать клиентам услуги по страхованию рисков размещения в облаке сервисов и информации.

Проблемы рынка

Глава Всероссийского союза страховщиков (ВСС) Игорь Юргенс также отметил перспективность рынка и заявил о необходимости проведения работы по формированию законодательного регулирования и правоприменительной практики.

Calmins.com ©

Источники: ru.wikipedia.org, habr.com, business.ru, cyberleninka.ru, ru.qaz.wiki, aig.ru, chicagofed.org, statista.com