Привет, друзья! Хакерская атака, утрата конфиденциальных сведений, масштабная утечка данных – эти понятия неразрывно ассоциируются со стремительным развитием информационных технологий. Сегодня большинство представителей бизнеса перешли на дистанционные форматы ведения предпринимательской деятельности, что спровоцировало всплеск активности злоумышленников, специализирующихся на преступлениях в сфере информационной безопасности. Хакеры постоянно совершенствуют способы «выуживания» персональных данных у интернет-пользователей. Все более востребованной становится такая услуга, как киберстрахование. Что она собой представляет и от каких рисков может защитить?

Но пока киберстрахование в России развивается умеренными темпами. Спрос на программу активизировался в 2016 году, когда были зафиксированы случаи проникновения вирусов-вымогателей Petya и WannaCry в программное обеспечение банковского сектора. Одной из первых компаний, предложивших страхование кибер- и фишинг рисков на отечественном рынке, стала AIG. Сегодня полисы в сегменте информационной безопасности можно приобрести у российских компаний, работающих в формате экосистемы («Сбер Страхование», «АльфаСтрахование», «Тинькофф Страхование»).

Какие риски покрывает программа

Список рисков, которые можно предусмотреть в договоре, страхователь выбирает самостоятельно. Расширенные программы рассчитаны не только на возмещение ущерба, связанного с утечками данных, но и на компенсацию расходов по проведению внутреннего расследования. Например, компаниям, которые пострадали от хакерских атак, для установления причинно-следственных связей приходится нанимать сторонних экспертов в области IT-индустрии, а их услуги обходятся недешево. Страховая фирма также берет на себя обязательства по возмещению ущерба третьим лицам (например, тем, кто совершает покупки на интернет-портале компании, но по вине злоумышленников лишился денег и не получил товар).
В перечень востребованных рисков входят:

• хакерские атаки, кибератаки;
• кража или уничтожение сведений, предназначенных для личного пользования (в том числе информации, составляющей коммерческую тайну);
• упущенная выгода, возникшая по причине простоя или прерывания коммерческой деятельности;
• затраты на проведение экспертизы (технической, юридической, судебной – по установлению причин и оценке ущерба, связанного с утечкой данных);
• репутационные потери;
• расходы, понесенные в связи с расследованием кибератаки;
• утрата и восстановление баз данных, хранящихся в системе программного обеспечения;
• санкции и штрафы за утечку сведений, предусмотренные коммерческими соглашениями;
• затраты на PR-кампании, цель которых – восстановление деловой репутации страхователя;
• расходы на переговоры, которые организуются в случае, когда злоумышленники требуют выкуп.

Нюансы выбора рисков в киберстраховании

Планируя страхование кибер-рисков, компания должна учитывать специфику отрасли, в которой она ведет деятельность. Если, например, страхователь – производственное предприятие, то ему как минимум необходимо предусмотреть вероятность простоя, который может возникнуть в процессе изготовления продукции. В ситуации, когда компания задействована в клиентском бизнесе, не лишним будет выбрать компенсацию ущерба, который может последовать в результате судебных исков от потребителей услуг. В банковском секторе в приоритете получение денежного возмещения за прямые убытки, которые хакеры причинили финансово-кредитной структуре.

Не подлежит возмещению ущерб от хакерских атак, совершенных в условиях военного положения, мародерства, гражданских волнений, международных войн. Теоретически страховщик вправе отказать в выплатах, если киберугроза была инициирована за границей, а правоохранительные органы установят, что планируемое хакерами преступление было направлено не на конкретную компанию, а на государственную безопасность. Обратите на это внимание!

Обычно не компенсируются убытки, возникшие по причине отключения электричества или ограничения доступа к сети. Страховые фирмы отказывают в возмещении ущерба, если он возник из-за сбоев кабельного, телекоммуникационного или спутникового оборудования. Не стоит рассчитывать на денежное возмещение и компаниям, которые пользуются нелицензионным ПО.

Оценивая вероятность получения выплаты по страховым случаям, клиенты не должны забывать, что страховщики используют все доступные методы для увеличения собственной прибыли. По этой причине они предусматривают в договоре множество условий, несоблюдение которых влечет за собой отказ в денежном возмещении. Но и пренебрегать страховкой от киберугроз не стоит: даже закупка самых современных средств защиты информационной безопасности сегодня не может кардинально повлиять на решение проблемы.

Барьеры и новые горизонты

Страхование рисков информационной безопасности в РФ пока нельзя отнести к категории востребованных услуг по причине отсутствия общих стандартов и недостаточности достоверной информации для того, чтобы произвести расчеты. Сегодня на отечественном рынке предлагается ограниченный набор программ, защищающих от киберугроз. Страховщики вынуждены вырабатывать индивидуальные подходы к системе страхования в указанном сегменте, руководствуясь исключительно мнением собственных экспертов, и, опасаясь допустить ошибки в оценке угрозы, предпочитают «перезакладывать» собственные риски. В таких условиях они вынуждены повышать стоимость страховки.

Пока не все представители бизнес-сообщества осознают те преимущества, которые предоставляет страхование информационных рисков, позиционируя такие программы как второстепенные. В условиях увеличения количества хакерских атак коммерческие структуры предпочитают не тратиться на страховку, а инвестировать средства в IT-инфраструктуру. Но, несмотря на такие тенденции, эксперты ожидают постепенного развития рынка страхования в сегменте информационной безопасности. Согласно их прогнозам, к 2025 году размер вложений в программы по защите от киберугроз увеличится на 8–10 млрд рублей.