Понятие информационного риска применяют в случае события, создающего угрозу безопасности информации, способного повлечь за собой значительный материальный ущерб. Широкое внедрение IT-технологий повысило опасность преступлений в интернет-пространстве. Конвенцией по борьбе с киберпреступностью (принята Советом Европы 23.11.01г.) определено, что киберпреступлением является любое правонарушение, направленное против целостности, конфиденциальности и доступности компьютерных систем, сетей и данных. Мошенничество, атаки, угрозы и другие несанкционированные действия с приставкой «кибер» наносят серьезный ущерб экономике государства, частным лицам, которые терпят убытки в результате киберпреступлений. По данным аналитиков, среди всех рисков по вероятности возникновения киберугрозы занимают пятое место, по размеру ущерба — седьмое (потери выражаются в миллиардах). Страховка — один из способов минимизации убытков от преступлений в сфере информационной безопасности.
В понятие «страхование информационных рисков» специалисты вкладывают разный смысл, от узкого — страховка риска утраты/искажения информации, до широкого — продукт, ориентированный на IT сферу.
Такими видами страховок целесообразно пользоваться:
Можно застраховать в комплексе или отдельно гражданскую ответственность за ущерб, который может причинить страхователь потребителям своих услуг (перерыв в обслуживании, технические сбои и другие причины). В этом случае страхуют ответственность операторов связи, консультантов и программистов, регистраторов доменных имен и других участников рынка информационных технологий.
В зоне риска также аккаунты в соцсетях, электронные кошельки, банковские карты и счета граждан.
По оценке специалистов, самые распространенные угрозы — фишинговые письма с вредоносными файлами, которые открывают доступ к конфиденциальной информации. Фактически это — подготовка почвы для более серьезной атаки на предприятие или обычного гражданина (например, кража денег с карт и счетов, мошенничество, вымогательство).
При страховке киберрисков страховщики применяют такие же подходы, как и при обычном страховании. Полис может покрывать риски:
При выборе программы страхования, как метода защиты информации, страхователю нужно реально оценить риски и размеры возможных потерь.
Факт страхового случая устанавливает специализированная IT-компания по информационной защите и безопасности, сотрудничающая со страховщиком.
Страховые суммы рассчитывают конкретно для каждого страхователя. Например, при потерях от компьютерных и электронных преступлений в 1 млн. долларов СК готовы компенсировать среднему и мелкому бизнесу 2-3 тыс. долл., крупным финансовым компаниям — до 100 тыс. В расчете учитывают:
Возмещению подлежат:
Этим видом страхования занимаются крупные игроки страхового рынка, которые самостоятельно разрабатывают и утверждают программы страхования.
Перед подписанием договора, страховщики и потенциальные страхователи проводят переговоры, в ходе которых обговаривают условия страхования информации и киберрисков. Страховщик приглашает независимого эксперта в области информационной безопасности, который проводит экспертизу (survey) степени защищенности технологических систем страхователя.
По результатам предстраховой экспертизы СК может потребовать принять ряд мер, снижающих риск возникновения ущерба. Без этого договор не будет подписан.
В случае обнаружения утечки/утраты информации и угрозы кибератаки застрахованное лицо заявляет об этом СК.
В Европе первая страховка была разработана английской ассоциацией Ллойдс в 1981 году. Полис защищал банки от компьютерных преступлений и был принят в качестве типового. В России только через 10 лет страховщики начали получать лицензию на страхование от электронных и компьютерных преступлений. При этом они не спешат выходить со своими продуктами на рынок по нескольким причинам:
Отечественными программами страхования сейчас пользуются, в основном, компании с высокой маржинальностью, где важна работа IT систем. Для большинства потребителей страхование информационных и киберрисков остается непонятной услугой или они боятся огласки, которая повлияет на их репутацию.
Для физлиц СК предлагают защиту от угрозы списания средств с банковских счетов. Страховка компенсирует гражданам ущерб от потери денег при совершении интернет-покупок, на фишинговых сайтах и при кибератаках на смартфон/компьютер. В полис можно включить годовую лицензию на антивирус от партнеров страховщика. В отдельных продуктах обязательное условие возмещения ущерба — наличие антивируса.
В рамках правительственной программы «Цифровая экономика» в России создают масштабный рынок страхования от киберрисков с соответствующим правовым обеспечением. Работу по этому направлению возглавляет Сбербанк. Идут споры о необходимости сделать страховку обязательной для предприятий всех стратегических отраслей. Но страховщики не хотят, чтобы тарифы устанавливало государство, хотя саму тему считают своевременной из-за растущего спроса у бизнеса.
Кто оплачивает услуги экспертной IT-компании, приглашенной для оценки информационных рисков?
Половину стоимости услуг сюрвея компенсирует СК (при заключении договора страхования).
Не всегда можно сразу определить, что система подвергалась кибератаке. Событие может быть растянуто по времени, как в случае фишингового письма. Не будет ли СК считать, что страхователь нарушил сроки уведомления о страховом случае?
Обычно в страховке устанавливают период обнаружения до 180 дней.
Как застраховать средства на банковской карте от мошенников?
Страховые продукты защищают от:
Полис можно оформить онлайн на сайте СК или в банке. Для этого нужно указать свои данные, дать согласие на обработку персональных сведений, выбрать сумму страховки и сроки.