Статьи

Страхование информационных рисков

15.01.2021
страхование информационных рисков

Понятие информационного риска применяют в случае события, создающего угрозу безопасности информации, способного повлечь за собой значительный материальный ущерб. Широкое внедрение IT-технологий повысило опасность преступлений в интернет-пространстве. Конвенцией по борьбе с киберпреступностью (принята Советом Европы 23.11.01г.) определено, что киберпреступлением является любое правонарушение, направленное против целостности, конфиденциальности и доступности компьютерных систем, сетей и данных. Мошенничество, атаки, угрозы и другие несанкционированные действия с приставкой «кибер» наносят серьезный ущерб экономике государства, частным лицам, которые терпят убытки в результате киберпреступлений. По данным аналитиков, среди всех рисков по вероятности возникновения киберугрозы занимают пятое место, по размеру ущерба — седьмое (потери выражаются в миллиардах). Страховка — один из способов минимизации убытков от преступлений в сфере информационной безопасности.

На кого рассчитана услуга киберстрахования?

В понятие «страхование информационных рисков» специалисты вкладывают разный смысл, от узкого — страховка риска утраты/искажения информации, до широкого — продукт, ориентированный на IT сферу.

Такими видами страховок целесообразно пользоваться:

  • государственным органам;
  • организациям финансового сектора экономики;
  • предприятиям с опасным производством;
  • крупным онлайн магазинам;
  • удостоверяющим и расчетным центрам;
  • предприятиям всех видов деятельности, использующим в своей работе комплексные автоматизированные системы контроля управления технологическим циклом производства, финансами, сбытом.

Можно застраховать в комплексе или отдельно гражданскую ответственность за ущерб, который может причинить страхователь потребителям своих услуг (перерыв в обслуживании, технические сбои и другие причины). В этом случае страхуют ответственность операторов связи, консультантов и программистов, регистраторов доменных имен и других участников рынка информационных технологий.

В зоне риска также аккаунты в соцсетях, электронные кошельки, банковские карты и счета граждан.

По оценке специалистов, самые распространенные угрозы — фишинговые письма с вредоносными файлами, которые открывают доступ к конфиденциальной информации. Фактически это — подготовка почвы для более серьезной атаки на предприятие или обычного гражданина (например, кража денег с карт и счетов, мошенничество, вымогательство).

Страховой случай

При страховке киберрисков страховщики применяют такие же подходы, как и при обычном страховании. Полис может покрывать риски:

  • взлома информационных систем — внешнее и внутреннее хакерство;
  • действий компьютерных вирусов разного типа;
  • мошенничества с электронными платежными документами, модификации ПО с целью хищения денежных средств;
  • сбоя в результате ошибок проектирования, разработки, установки, настройки или эксплуатации информационных систем;
  • временное прекращение деятельности субъекта из-за всех перечисленных событий.

При выборе программы страхования, как метода защиты информации, страхователю нужно реально оценить риски и размеры возможных потерь.

Факт страхового случая устанавливает специализированная IT-компания по информационной защите и безопасности, сотрудничающая со страховщиком.

Сколько стоит страховка?

Страховые суммы рассчитывают конкретно для каждого страхователя. Например, при потерях от компьютерных и электронных преступлений в 1 млн. долларов СК готовы компенсировать среднему и мелкому бизнесу 2-3 тыс. долл., крупным финансовым компаниям — до 100 тыс. В расчете учитывают:

  • стоимость информационных ресурсов;
  • надежность средств защиты информации;
  • статистику атак по отрасли;
  • предполагаемые убытков от остановки деятельности в результате преступления.

Возмещению подлежат:

  1. Расходы на экспертизу по страховому случаю.
  2. Потерянная прибыль страхователя или третьего лица (при страховании профессиональной ответственности).
  3. Похищенные деньги.
  4. Расходы на восстановление информации и всей системы.
  5. Убытки от приостановления деятельности.
  6. Затраты на уведомление клиентов и партнеров об инциденте.
  7. Расходы на восстановление репутации.

Как застраховать информационные риски

страхование киберрисков

Этим видом страхования занимаются крупные игроки страхового рынка, которые самостоятельно разрабатывают и утверждают программы страхования.

Перед подписанием договора, страховщики и потенциальные страхователи проводят переговоры, в ходе которых обговаривают условия страхования информации и киберрисков. Страховщик приглашает независимого эксперта в области информационной безопасности, который проводит экспертизу (survey) степени защищенности технологических систем страхователя.

По результатам предстраховой экспертизы СК может потребовать принять ряд мер, снижающих риск возникновения ущерба. Без этого договор не будет подписан.

В случае обнаружения утечки/утраты информации и угрозы кибератаки застрахованное лицо заявляет об этом СК.

Проблемы российского страхового рынка в сегменте IT

В Европе первая страховка была разработана английской ассоциацией Ллойдс в 1981 году. Полис защищал банки от компьютерных преступлений и был принят в качестве типового. В России только через 10 лет страховщики начали получать лицензию на страхование от электронных и компьютерных преступлений. При этом они не спешат выходить со своими продуктами на рынок по нескольким причинам:

  • нечеткое законодательство в этом вопросе;
  • проблемы с построением и оценкой модели риска;
  • дефицит компетенций в IT страховании;
  • недостаток специалистов по определению и урегулированию страховых случаев;
  • дорогостоящий андеррайтинг (оценка рисков).

Отечественными программами страхования сейчас пользуются, в основном, компании с высокой маржинальностью, где важна работа IT систем. Для большинства потребителей страхование информационных и киберрисков остается непонятной услугой или они боятся огласки, которая повлияет на их репутацию.

Для физлиц СК предлагают защиту от угрозы списания средств с банковских счетов. Страховка компенсирует гражданам ущерб от потери денег при совершении интернет-покупок, на фишинговых сайтах и при кибератаках на смартфон/компьютер. В полис можно включить годовую лицензию на антивирус от партнеров страховщика. В отдельных продуктах обязательное условие возмещения ущерба — наличие антивируса.

В рамках правительственной программы «Цифровая экономика» в России создают масштабный рынок страхования от киберрисков с соответствующим правовым обеспечением. Работу по этому направлению возглавляет Сбербанк. Идут споры о необходимости сделать страховку обязательной для предприятий всех стратегических отраслей. Но страховщики не хотят, чтобы тарифы устанавливало государство, хотя саму тему считают своевременной из-за растущего спроса у бизнеса.

Вопросы по страхованию

Кто оплачивает услуги экспертной IT-компании, приглашенной для оценки информационных рисков?

Половину стоимости услуг сюрвея компенсирует СК (при заключении договора страхования).

Не всегда можно сразу определить, что система подвергалась кибератаке. Событие может быть растянуто по времени, как в случае фишингового письма. Не будет ли СК считать, что страхователь нарушил сроки уведомления о страховом случае?

Обычно в страховке устанавливают период обнаружения до 180 дней.

Как застраховать средства на банковской карте от мошенников?

Страховые продукты защищают от:

  • убытков, возникших в результате сбоя работы техники в банке;
  • повреждения/потери карты;
  • ограбления возле банкомата в момент получения денег;
  • дистанционной кражи денежных средств.

Полис можно оформить онлайн на сайте СК или в банке. Для этого нужно указать свои данные, дать согласие на обработку персональных сведений, выбрать сумму страховки и сроки.

Продолжая использовать сайт ООО «ПСБ-Страхование» Вы выражаете своё согласие на обработку Ваших персональных данных, ознакомьтесь с условиями и принципами их обработки.
Политика обработки персональных данных.
Согласие обработки Персональных данных.

OK