Страхование является одним из возможных способов снижения собственных ИБ-рисков за счет их переноса на сторонний субъект — страховщика.
В своем выступлении на круглом столе “Страхование рисков ИБ — иллюзия или реальный способ защиты?”, состоявшемся в рамках международной выставки-конференции INFOBEZ-EXPO-2012, руководитель департамента имущественных видов страхования компании “ОТКРЫТИЕ Страхование” Владимир Кожаткин отметил, что в нашей стране страхование ИБ-рисков является направлением относительно новым и в значительной степени маловостребованным.
По словам г-на Кожаткина в России и за рубежом наиболее распространенной программой страхования, в которую как один из компонентов входит страхование от электронных и компьютерных преступлений, в настоящее время является программа комплексного имущественного страхования банков (Bankers Blanket Bond, BBB). При этом 80% убытков по данному виду страхования банки несут из-за нелояльности персонала, выражающейся в краже денежных средств с банковских счетов с использованием компьютерных систем. Поскольку в этом случае часто бывает сложно оперативно определить, был атакован банк злоумышленниками изнутри своей ИТ-инфраструктуры или снаружи, то банки нередко практикуют наряду с полисом BBB приобретать еще и полисы Computer Crime, страхующие от внешних кибератак.
Есть и уникальные проекты страховых программ, разработанные именно в нашей стране. Авторство одной из них принадлежит компании Allianz. Она предлагает страхование дистанционного банковского обслуживания от ущербов при атаках не только на информационные системы ДБО банков, но и на клиентские. Как проинформировал участников круглого стола заместитель директора центра продаж через посредников, начальник управления по корпоративному банковскому страхованию компании Allianz Давид Чахалян, в практике представляемой им компании уже есть прецеденты страховых выплат по таким страховым случаям.
Представители компании Allianz ожидают, что с начала 2013 г. интерес к перекладыванию рисков ДБО на страховщиков возрастет в связи с наступлением с 1 января нового года обязательных для банков по закону “О национальной платежной системе” возмещений клиентам ДБО ущербов от похищения денежных средств, находящихся на банковских счетах.
Стоимость страхования, как в рамках программ BBB и Computer Crime, так и в целом, определяется условиями страхования и результатами предстраховой экспертизы страхователя. Экспертизу проводят либо независимые эксперты, либо эксперты страховой компании. В ходе аудита эксперты выявляют такие показатели, как численность персонала страхователя, статистика убытков, организация доступа к тем или иным информационным блокам, используемые средства защиты, сертификаты соответствия действующим нормативным требованиям и пр. На основании результатов аудита определяется стоимость страхования и страховая сумма.
Результирующим документом, регулирующим отношения страхователя и страховщика, является договор страхования — страховой полис. Чем более высокую защищенность своих ИТ-ресурсов продемонстрирует страхователь (в том числе используя документы, подтверждающие соответствие действующим стандартам и законам), тем дешевле ему обходится страхование (включая затраты на сам аудит). В настоящее время у каждого российского страховщика свои критерии, которыми он пользуется при назначении страховой суммы и страховой премии.
Сегодня страхованием ИБ-рисков в нашей стране занимаются в основном банки и представительства зарубежных компаний, выполняющие требования корпоративных стандартов. Вместе с тем спектр ИБ-рисков (даже в одной только банковской сфере) и убытки от них значительно шире, чем те, что покрываются полисами BBB и Computer Crime.
Как отметил г-н Кожаткин, закрытость деятельности российских финансовых институтов мешает страхователю проводить обязательное и достаточно подробное анкетирование потенциальных страхователей для выяснения, каким и в какой степени ИБ-рискам они подвержены. Практика показывает, что как только такая анкета попадает на утверждение в ИБ-службу банка, она ложится под сукно и сделка по страхованию нередко “умирает”. Эксперты утверждают, что только предоставление страховщикам необходимой информации сможет переломить ситуацию к лучшему в области страхования банковских ИБ-рисков.
Согласно наблюдениям советника генерального директора финансовой корпорации “ОТКРЫТИЕ” Михаила Левашова основная часть действующих в России страховых компаний не занимается страхованием рисков, связанных с использованием ИТ, а сосредоточена на тех сегментах, где страховые суммы и суммы покрытия рисков просчитывать гораздо проще. Это наблюдение косвенно можно подтвердить немногочисленным количеством представителей компаний-страховщиков на упомянутом круглом столе, среди которых, кстати, не оказалось и специалистов из наиболее продвинутого и активного российского страхователя в области ИБ-рисков — компании “Ингосстрах”, которая предлагает юридическим лицам страхование рисков информационных систем и ответственности в сфере ИТ.
Те немногочисленные страховщики, которые работают в России в области страхования ИБ-рисков, пользуются для определения условий страхования в основном зарубежным опытом. Так, в международной практике страхования аудит оплачивает тот, кто выступает инициатором договора о страховании. Нередки случаи, когда страховщик выделяет около 2,5% страховой премии на проведение аудита страхователя.
В 2011 г. в нашей стране было сформировано некоммерческое партнерство “Сообщество пользователей стандартов по информационной безопасности АБИСС”. Одна из задач созданного в рамках АБИСС комитета по страхованию информационных рисков — проведение анализа законодательства, стандартов и практики их применения с целью разработки предложений по совершенствованию нормативно-правовой базы в сфере страхования ИБ-рисков. Среди других функций комитета г-н Левашов выделил разъяснительную работу в профессиональной среде по практическому применению рекомендаций и правил страхования ИБ-рисков, инициирование проведения независимых экспертиз страховых случаев, выработку общих рекомендаций по составлению правил, регулирующих взаимоотношения страхователя и страховщика в области страхования ИБ-рисков, начиная с содержимого анкеты, с заполнения которой начинается аудит. Как сообщил г-н Левашов, для организаций наиболее простым вариантом присоединиться к деятельности комитета является участие в его работе качестве приглашенного члена.
Стандарт Банка России по обеспечению информационной безопасности организаций банковской системы Российской Федерации (СТО БР ИББС) рекомендует страховать часть ИБ-рисков. Поскольку в российских судах множится число дел, связанных с ложными платежными документами, оформленными через системы электронных платежей, растут размеры украденных с использованием ИТ сумм, а рассмотрение таких дел тянется от полугода и более, можно ожидать, что рекомендациям СТО БР ИББС в части использования страхования ИБ-рисков как механизма компенсации, перекладывающего на плечи страховщика в том числе и тяжесть судебных разбирательств, будет следовать все большее число российских банков. Эксперты также ожидают, что будет расширяться спектр возможных страховых случаев в области ИБ, распространяясь на поддержку доступности ИТ-сервисов, обеспечение требований регуляторов и др.