В распоряжении “Ъ” оказался план мероприятий программы «Цифровая экономика» по созданию обязательного киберстрахования в стране. Рабочую группу по этому направлению программы возглавляет Сбербанк. План предполагает к 2020 году введение индустриального стандарта по обязательному аудиту информационной безопасности (будет описывать условия страхования и сбора статистики, модели актуарных расчетов тарифов и т. д.) — и требование обязательного страхования таких рисков предприятиями отдельных отраслей экономики (включая банковскую сферу, аэропорты, вокзалы и стратегические отрасли промышленности — металлургию, машиностроение, судостроение, авиапром и др.). «В таком объеме перемены в управлении киберрисками и страховании не организованы ни в одной стране, то есть РФ становится мировым лидером в этой области»,— говорится в документе. Для реализации проекта предлагается внести поправки в закон об организации страхового дела (добавляется новый вид страхования). Расходы на него должны будут снижать налоговую базу — для этого предлагается внести поправки в НК.
Текущее положение дел в этой сфере документ описывает так: «Страхование информационных рисков является неизвестным и непонятным для большинства потребителей этой услуги». За всю историю страхования киберрисков в РФ заключено менее 20 договоров страхования, большинство из которых оформлено предприятиями с иностранным участием у иностранных страховщиков.
Напомним, программа «Цифровая экономика» — инициатива правительства по развитию «умного» госрегулирования, ориентированного на удовлетворение запросов бизнеса.
В рамках программы определены пять перспективных направлений, в работе над которыми участвуют российские компании цифровой сферы. Страхование от киберугроз — одно из них, рабочую группу в этой области возглавляет Сбербанк. В практической реализации проекта предлагается задействовать ЦБ, Минфин, Минкомсвязь, ФСТЭК, ФСБ, Всероссийский союз страховщиков (ВСС), перестраховочную «дочку» ЦБ — РНПК.
Отметим, что проблема потерь от кибератак бизнесу знакома. По оценке директора по развитию решений промышленной кибербезопасности «Лаборатории Касперского» Андрея Суворова, средняя сумма убытка среди корпоративных заказчиков компании от кибератак составляет $497 тыс. По данным Group-IB для России и СНГ, в интернет-банкинге у юридических лиц с использованием вредоносных программ в день совершают две успешные атаки со средней суммой хищения 1,25 млн руб. За год с июля 2016 по июль 2017 года у юрлиц украли 622,5 млн руб. (на 35% меньше, чем годом ранее). Рынок страхования от хакерских атак в РФ только формируется, говорит Алексей Новиков, руководитель экспертного центра безопасности PT Expert Security Center. По его словам, страховщики не готовы брать на себя такую ответственность из-за сложной оценки потерь.
В первую очередь услуга киберстрахования востребована банками и финансовыми организациями, во вторую — провайдерами, в третью — компаниями, занимающимися обработкой персональных данных, говорит руководитель лаборатории компьютерной криминалистики компании Group-IB Валерий Баулин. При этом у компаний, в первую очередь технологичных, постепенно нарастает понимание того, что проблема есть и что можно страховаться от таких рисков. В страховой компании «Альянс», страхующей клиентов от киберрисков, отметили, что после распространения вирусов WannaCry и Petya зафиксировали рост спроса на услуги страхования от киберугроз — по оценке компании, мировой оборот этого рынка составляет $2,5 млрд.
Бизнес к идее страховой защиты киберрисков отнесся по-разному. В Абсолют-банке “Ъ” заявили, что сейчас банки такие риски не страхуют, но идею назвали своевременной. По мнению же зампреда правления банка «Хоум Кредит» Сергея Щербакова, обязательное страхование киберрисков нецелесообразно. «Каждая организация должна самостоятельно управлять своими рисками. Если организация посчитает, что риски повышаются, то она может их застраховать»,— говорит он, настаивая на том, что «это должно быть самостоятельное решение менеджмента». Глава департамента нефинансовых рисков и финансового мониторинга Росевробанка Марина Бурдонова относится к идее обязательного кибераудита банков положительно, а обязательное страхование также считает избыточным. Собеседник из правоохранительных органов, знакомый с позицией Банка России по этой теме, назвал аудит информационной безопасности «здравой идеей» — он «выявит проблемы в банках, которые необходимо закрывать». Страховку он также считает «лишней тратой денег».
По оценкам президента ВСС Игоря Юргенса, отечественный рынок страхования киберрисков находится в «нулевой точке». Обязательность такому виду страхования не подходит, уверен он. «Как показал опыт ОСАГО, должна присутствовать некоторая гибкость в подходах,— говорит господин Юргенс.— Разумнее говорить о введении стимулов для бизнеса, которые бы побуждали страховаться, некоторая вмененность, как в США, на которые приходится практически 100% киберстрахования в мире». По предварительным оценкам ВСС, объем этого рынка составит порядка 10–50 млрд руб. в год. Защите от киберрисков не подходит форма обязательного вида страхования, заявил “Ъ” и вице-президент страхового брокера «Марш» в России Армен Гюлумян. Кроме того, по его словам, только промышленный сектор может потерять от хакерских атак сотни миллионов долларов — «а такой страховой емкости в РФ нет».
По словам главы РНПК Николая Галушина, «сейчас киберстрахование — это скорее игрушка или красивый маркетинговый ход. В РФ может получить развитие страхование имущества, затрат на восстановление поврежденных баз данных, информационных ресурсов, а также потерь от перерывов в деятельности компаний». Однако, как только начнется обсуждение обязательного страхования, возникнут вопросы тарифов и нагрузки на бизнес — «и идея благополучно умрет». Господин Галушин также поддерживает идею вмененного, а не обязательного страхования — когда государство требует наличия полиса, но объем покрытия и тарифы страховщики и бизнес определяют самостоятельно.
Татьяна Гришина, Кристина Жукова, Юлия Тишина, Елена Черненко, Вероника Горячева, Елизавета Кузнецова