Цена информационной безопасности и страховая защита от кибер — рисков

Страхование киберрисков в России

Киберпреступность в последние годы становится практически обыденным явлением. В новостях то и дело мы слышим о пропаже крупных сумм со счетов крупнейших мировых банков или о поимке очередного хакера.

Как явление, значимое в мировом масштабе, факт киберпреступности отмечают и крупнейшие бизнесмены и экономисты мира в на форумах, например, в Давосе в 2012 году и крупнейшие консалтинговые компании.

Так, PricewaterhouseCoopers выпустили Всемирный обзор экономических преступлений, где отметили взрывной рост кибератак в последние годы.

Что такое киберпреступность и страховая защита от нее

Под киберпреступностью подразумевается хищение денег и ценных бумаг со счетов при помощи взлома системы безопасности. С тех пор как деньги приобрели безналичную форму, возможность их хищения существенно увеличилась, так как взломать пароль чаще намного проще, чем каменные стены подземных хранилищ.

Сейчас в мировой статистике преступлений киберпреступность по частоте совершения преступлений уступает только незаконному присвоению активов. 38% преступлений, совершаемых в секторе финансовых услуг, сегодня приходятся на киберпреступность.

Европейская комиссия с горечью констатирует, что жертвами киберпреступлений становятся более 1 миллиона человек ежедневно. Свежей статистики пока нет, но можно отметить, что убытки от киберпреступности в 2012 году превысили 2 миллиарда долларов, и более четверти этой суммы приходилось на российские компании. В 2013 году от хакерских атак серьезно пострадало более 3 000 американских компаний.

Конечно, далеко не все преступления в этой сфере связаны с причинением финансового ущерба, так, взлом личной страницы в социальной сети и размещение там порочащей информации, очень сложно выразить в материальной форме и стоимости морального ущерба.

Страхуют только риски, связанные с хищением реальных ценностей. Несмотря на то, что в нашем информационном мире информация часто является не менее реальной ценностью, чем наличные деньги, сделать ее достоверную оценку не всегда возможно.

Кто находится в зоне риска?

Не надо думать, что жертвами кибермошенников могут стать только компании финансового сектора.

Да, прежде всего, страдают:

    Страхование от кибератак

  • Банки;
  • Инвестиционные компании;
  • Сами страховые компании;
  • Участник рынка ценных бумаг;
  • Электронные платежные системы.

Но этим перечнем список организаций, которым могут причинить ущерб кибермошенники, не исчерпывается. Многие компании могут подвергнуться риску хищения ценной производственной информации, например, ноу-хау, коммерческой информации, выход которой на рынок может повлиять на котировки акций компании, персональных данных сотрудников. Все эти хищения могут причинить ущерб, сравнимый с прямым хищением денежных средств.

Кроме хищения информации хакерские атаки могут привести к прекращению работы сайта, а ущерб здесь может быть незначительным, например, падение сайта регионального СМИ, до колоссального.

Глава известной фирмы, занимающейся разработкой антивирусных программ, рассказал о том, что система электронного контроля за голосованием на выборах президента подвергалась сильнейшим хакерским атакам и только экстраординарные меры защиты предотвратили ее падение. Вероятно, ни одна страховая компания не смогла бы полностью возместить возможный причиненный вред.

Защита данных на фондовом рынкеЧитайте подробнее о страховании ответственности на фондовом рынке.

Узнайте с какой целью организации вкладывают деньги в страхование ключевых работников из материалов ЭТОЙ статьи.

Европейская и американская практика

Практика страхования кибер-рисков нарабатывается постепенно, страховые компании, как и их клиенты, учатся выявлять и страховать риски методом проб и ошибок.

Сегодня можно упомянуть несколько частных случаев, которые стали или в дальнейшем станут основой для разработки системных способов страховой защиты от киберпреступности.

Инцидент с нелояльным сотрудником.
Один их клерков компании присвоил конфиденциальную информацию, касающуюся конкурентов компании. Страховщик возместил ее убытки, сумма страхового покрытия составила около 200 000 долларов.

Около 1 000 000 долларов составила сумма страхового покрытия по инциденту, связанному с хакерским взломом электронной базы данных американской сети отелей (22 отеля). Были похищены данные около 480 000 кредитных карт клиентов отелей. Любопытно, что стоимость данных по одной карте была оценена всего в 2 доллара.

Инцидент «Халатность».
Одна из американских организаций из-за ошибки сотрудника выложила на своем сайте персональные данные 42 000 студентов. Компанию начали преследовать исками о защите пава на частную жизнь. В итоге, страховое покрытие возместило судебные издержки и составило около 250 000 долларов.

Инцидент «Утрата оборудования».
Застрахованное лицо потеряло носитель с данными, связанными с медицинской страховкой. Размер страхового покрытия было связан со стоимостью услуг колл-центра и мониторинга вопросов, связанных с деловой репутацией застрахованного.

Очевидно, что каждый случай индивидуален и не носит системного характера, а размер страхового возмещения, как правило, складывается из расходов, понесенных на возмещение вреда, а не из стоимости утраченной информации.

Виды страховых рисков

На сегодняшний день в мировой практике выработано несколько рисков, которые частичностью или полностью могут получить страховую защиту:

    Страхование киберрисков

  • Риск присвоения и использования конфиденциальной информации сотрудниками компании и ее использования;
  • Риск получения хакером информации о номерах кредитных карт или счетов клиентов компании;
  • Риск хищения денежных средств со счетов в банке или ценных бумаг со счета в депозитарии;
  • Риск хищения данных кредитных карт и средств с них;
  • Риск утраты или разглашения информации из-за ошибки сотрудника;
  • Перерыв в работе предприятия, его компьютерной сети, его сайта;
  • Убытки, связанные с размещением на сайте страхователя ложной информации или информации, имеющей характер диффамации;
  • Риск утери материального носителя, содержащего конфиденциальную информацию.

Некоторые страховые компании, работающие и на зарубежном, и на российском рынке, уже предлагают комплексные программы страхования от кибер рисков, в которые входят несколько из названных видов страховых случаев.

Так, одна известная страховая компания уже сегодня предлагает страховой пакет, направленный на защиту от утраты персональной информации.

Страхование данныхЧитайте как зарегистрироваться в личном кабинете плательщика (ЛКП) пенсионных страховых взносов ПФР.

Узнайте ЗДЕСЬ как бесплатно сделать ЭКО по ОМС.
Как стать страховым агентом: http://strahovkunado.ru/insur/kak-stat-strakhovym-agentom.html

Формулируется предложение следующим образом: страхуются убытки, понесенные компанией, включая расходы на защиту, возникающие в результате заявленного или фактического нарушения защиты персональных данных или же страхование значимой корпоративной информации.

Страховое покрытие

Практически во всех случаях наиболее сложным вопросом является вопрос достоверной оценки стоимости утраченной информации.

Если на Западе оценочные компании имеют большую практику достоверной оценки активов, выраженных в виде информации, то российские оценщики, имея только усеченную методику оценки нематериальных активов, оценить стоимость информации так, чтобы это устроило и клиента, и страховую компанию, смогут не всегда.

Кроме того, при оценке информации как нематериального актива и получения страхового возмещения не исключены проблемы с нашим налоговым законодательством, которое не преминет обозначить всю сумму страхового возмещения как прибыль и обложить ее налогом. Этот вопрос на уровне разъяснений Минфина еще не отрегулирован.

Также не все ясно с выплатой страхового покрытия, рассчитываемого как размер расходов, понесенных на восстановление нарушенного права. Доказать необходимость совершения того или иного расхода или его размер будет достаточно сложно, поэтому примерный перечень таких расходов и пределы их стоимости желательно оговаривать в договорах страхования, еще на берегу.

Не смотря на то, что страховые компании предлагают, как им кажется, исчерпывающий перечень расходов, который может понести компания в результате действия киберпреступников, практика всегда покидывает нам новые ситуации.

Тем не менее, среди таких расходов указываются:

    Страхование потери данных

  • Расходы, понесенные в связи с расследованиями регулирующих органов;
  • Антикризисный пиар;
  • Расходы, понесенные на восстановление данных.

Нелишним будет оговорить и судебные расходы, и расходы, связанные с неполученной прибылью из-за срыва контрактов, расходы, связанные с падением курса акций и так далее.

В любом случае, каждый договор будет являться плодом индивидуальной договоренности участников рынка.

Подытожим сказанное

Немногие страховые компании готовы сегодня предложить качественный, системный продукт, направленный на защиту клиентов от киберпреступности.

Инструментарий еще не отработан, а почти полное отсутствие практики выплат не дает возможности проверить все страховые случаи и виды покрытий на системные ошибки.

На сегодняшний день для широкого внедрения этого вида страхования отсутствует и законодательная база, и судебная практика.

Недостаточно пока в наших страховых компаний и специалистов, имеющих представление о структуре рисков.
Но, начало положено и, скорее всего, в течение ближайших трех лет мы столкнемся со взрывным ростом этого вида страхования.

Видеосюжет об информационной безопасности и киберпреступлениях

Следите за обновлениями вконтакте, одноклассниках, facebook, google plus или twitter.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *