Российские компании и организации в скором времени могут получить возможность страховать свои IT-риски. Но для этого им придется рассказать страховщикам о своей системе IT-безопасности. Сегодня под информационными рисками подразумевается вероятность наступления убытков или возникновения ущерба в результате применения компанией информационных технологий. Применение информационных технологий, в свою очередь, связано как с созданием и передачей информации, так и ее хранением и использованием при помощи так называемых электронных активов.

Стоит отметить, что попытки

материалы в тему: 15.04.22 Нацбанки України та Польщі домовилися співпрацювати в умовах війни 10.02.22 Беспрецедентное в РФ решение: страховщик добился отмены банкротства 15.04.22 МТСБУ: Як в Латвії врегулювати ДТП з авто на українських номерах 15.04.22 Банк SEB припинить обслуговувати платежі з РФ та Білорусі в країнах Балтії 15.04.22 В Україні заблокували виведення активів майже 7 тис. проросійських компаній

организовать страхование IT-рисков в России предпринимались еще в 90-х годах прошлого века. Дело дошло даже до появления соответствующих страховых продуктов для банков в 2000-х. Однако реально страхование информационных рисков так и не было налажено, хотя спрос на такие сервисы только возрастал – особенно на фоне развития ситуации с киберпреступностью на Западе. Не секрет, что, например, ущерб банковского сообщества США от компьютерных преступлений измеряется в 100 млрд долларов ежегодно. В Европе аналогичный показатель составляет около 30 млрд долларов.

В результате в США и Европе страхование информационных рисков является необходимым дополнением к генеральному полису страхования банков – BBB (Bankers Blanket Bond). Существуют два вида специализированных полисов – Computer Crime, страхующий от преступлений в компьютерной сфере, и Haker Insurance – от хакеров.

Стоит отметить, что и российские страховщики, а именно те немногие из них, кто пробовал себя в страховании IT-рисков, выделяли, по сути, те же два направления. Однако ни страховые компании, ни банки не проявляли особой активности в предоставлении или потреблении этих услуг. В том числе потому, что страховым компаниям требовались специалисты, способные провести качественный аудит информационных систем банков и вынести экспертное заключение о состоянии их информационной безопасности. Кстати, на Западе одним из требований страховщиков к банкам-клиентам при заключении договоров является согласование с ними выбора разработчика систем защиты информации. Банки, в свою очередь, должны были обеспечить максимальную прозрачность своего бизнеса, без которой ни для каких рисков нельзя сформулировать эффективные, приемлемые и привлекательные условия страхования.

Теперь ситуация в этом сегменте российского рынка страхования может в какой-то степени измениться, благодаря страховой компании «РОСНО» и Group IB, занимающейся вопросами информационной безопасности и проведением расследований преступлений в сфере IT.

По словам генерального директора LETA Group Александра Чачавы, Group IB, входящая в LETA, и РОСНО разрабатывают совместный страховой продукт. При этом IT-компания возьмет на себя технические вопросы, включая проведение расследований IT-инцидентов в случае их возникновения.

Как уточнили BFM.ru в Group IB, пока «страховой проект» находится в стадии разработки – компании согласовывают условия сотрудничества, готовят договоры и т.п., поэтому детальной информации по своему предложению страхования IT-рисков они предоставить не могут.

О том, почему российским страховщикам пока не интересно работать с IT-рисками, BFM.ru рассказали руководитель департамента сетевой интеграции компании «Ланит» (сотрудничает с различными страховыми компаниями) Алексей Баданов и руководитель департамента андеррайтинга СК «МАКС» Алексей Володяев.

Так, Алексей Баданов отметил, что сложившаяся ситуация стала результатом незрелости самих компаний в отношении информационной безопасности. «Это выражается в том, что мало кто представляет ценность информационных активов и обеспечивающих их IT-сервисов для бизнеса. Как следствие – неготовность оценить страховую премию, – рассказал сотрудник «Ланита». – Кроме того, компании, которые хотели бы страховать риски, должны понимать, что им нужно вложиться в информационную безопасность, чтобы условия страховки оказались для них приемлемыми». Также к причинам нестрахования IT-рисков Александр Баданов отнес слабую заинтересованность страховых компаний в предоставлении рынку подобных инструментов, непроработанность правовых вопросов в области IT-рисков и неготовность компаний к сотрудничеству с государственными подразделениями, которые призваны пресекать и расследовать компьютерные преступления.

Алексей Володяев заметил, что сегодня в страховании ответственности управляющих компаний, работающих на финансовом рынке, есть покрытие несанкционированного доступа к сетям. Однако отдельного систематически применяемого продукта у страховщиков действительно нет. «Пока мы не видим у данного сегмента существенного рыночного потенциала. Объем российской IT-отрасли отстает от мирового уровня, и активного интереса к страхованию большинство отечественных IT-компаний не проявляет, – рассказал Володяев. – С другой стороны, риски достаточно технически сложны для того, чтобы заниматься ими мимоходом. Вот и получается, что, не имея в штате специалиста именно по страхованию информационных рисков, осмысленно заниматься таким бизнесом невозможно, а нанимать высококлассного специалиста ради нескольких договоров в год экономически нецелесообразно. Когда запросы на подобного рода страхование станут постоянными, появится и рынок, и специалисты».

Такую ситуацию, когда страхователи, в принципе, хотят, а страховщики не могут, Алексей Баданов объясняет в частности тем, что мало компаний владеет и систематически применяет в своей деятельности такой инструмент, как анализ информационных рисков. По его мнению, не владея и не используя этот инструмент, являющийся ядром системы управления информационными рисками, компании не готовы к решению вопроса страхования рисков информационной безопасности. При устранении этой проблемы, а также при разрешении правовых вопросов и активизации деятельности госорганов, направленной против угроз киберпреступности, спрос на услуги страхования IT-рисков возрастет. «Что же касается страховых компаний, то на данный момент сектор рынка, связанный со страхованием IT-рисков, ими просто недооценивается, – считает Баданов. – Отсюда их недостаточная, а скорее даже пассивная позиция. Она недальновидна, поскольку год от года киберпреступность прогрессирует, а наносимый ею ущерб исчисляется миллиардами долларов».

Алексей Володяев связал проблемы развития сегмента страхования IT-рисков с информационной закрытостью российских страхователей. «В ряду потенциальных страхователей, желающих получить страховой полис, по возможности не сообщая никакой информации о своем бизнесе, встречаются в том числе IT-компании. Кроме того, достаточно часто у потенциального клиента отсутствует понимание необходимости разделения ответственности со страховщиком, а вместо этого есть желание полностью переложить на страховщика свою ответственность, – рассказал Володяев. – Поэтому любые предложения франшиз, ограничения длительности периодов ответственности и т.п. совершенно не находят отклика у потенциальных клиентов. А поскольку страховщики являются организациями не благотворительными, а коммерческими, у нас, со своей стороны, тоже нет никакого желания брать на себя все предпринимательские риски IT-компаний за ничтожную часть прибыли, предлагаемую нам в виде страховой премии».