В правительстве и IT-отрасли активно обсуждается введение в России механизма обязательного страхования компаний от кибератак, число которых продолжает расти, сообщает «Коммерсант».
Публично обсуждать инициативу о создании механизма страхования компаний от кибератак в правительстве начали летом. Член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин 30 июня сообщил СМИ, что создание рынка страхования от киберугроз в России — «важная инициатива, которая может существенно улучшить кибербезопасность в стране». «Подобно тому как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных»,— говорил господин Шейкин «РИА Новости». Подробно разрабатывать механизм киберстрахования в парламенте планировали начать осенью нынешнего года.
На данный момент сенаторы получают обратную связь по вопросу создания обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта.
«Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования была направлена как раз на борьбу с утечками персональной информации»,— напоминает Артем Шейкин.
Внести законопроект в Госдуму планируется после создания необходимой нормативной базы.
IT-отрасль встречает инициативу сенаторов с интересом, так как ранее подобного механизма на законодательном уровне не было, и компании по-прежнему рискуют пострадать от кибератак, при этом не получая никакой компенсации. «Когда летом Совет федерации предложил идею киберстрахования, это вызвало активные дискуссии среди экспертов и представителей бизнеса»,— рассказывает гендиректор IT-компании ONLY Кирилл Владимиров. Бизнес уже активно пользуется различными страховыми продуктами, такими как имущественное страхование или страхование ответственности, объясняет он. Но именно киберугрозы, такие как взломы, шифровальщики, фишинг или DDoS-атаки, становятся все более актуальными, рассуждает он.
«Главное преимущество киберстрахования заключается в том, что оно предоставляет финансовую защиту в случае успешной кибератаки. Это особенно важно, если учесть масштабы возможных убытков от таких атак — например, когда из-за действий злоумышленников компания может потерять доступ к критическим данным или, что еще хуже, допустить утечку персональных данных клиентов»,— отмечает Кирилл Владимиров.
Интерес к страхованию компаний от угрозы и последствия кибератак бизнес начал проявлять с 2022 года, когда число атак на российскую IT-инфраструктуру резко возросло, а также участились случаи утечек персональных данных. Угроза остается ощутимой: общее число кибератак на российские компании в апреле—июне выросло почти в два раза, до 12,7 тыс. инцидентов, сообщали в МТС RED. Особенно активизировались хакеры в отношении IT-компаний: количество таких атак увеличилось вчетверо, до 4 тыс. По данным Positive Technologies, доля IT-компаний в общем числе атакованных почти утроилась и достигла 17% от всех жертв хакеров. В «Газинформсервисе» отмечали рост атак на IT-компании на 20–25%. При этом именно IT-организации реализуют в России программы импортозамещения и занимаются хранением и обработкой данных своих клиентов.
Обсуждение механизма страховых выплат компаниям из-за утечек данных и других инцидентов появилось в контексте законопроекта об оборотных штрафах, который разрабатывается Минцифры, чтобы ужесточить работу с персональными данными любых компаний в России. Однако он пока так и не был внесен в Госдуму. В прошлом году в Минцифры сообщали, что рассматривают варианты механизма возмещения вреда субъектам персональных данных вследствие утечек, к которым «относится страхование операторов данных от указанных рисков». Как сообщал РБК, к июлю в правительстве закончили рассмотрение законопроекта, его финальная версия предусматривает максимальный штраф за утечку данных до 3% выручки компании.
По данным «Союз Страхования», спрос на покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд руб. В «АльфаСтраховании» отмечали, что из-за роста киберрисков спрос на такое страхование со стороны бизнеса стал «более предметным и осознанным».
Рынок страховых услуг в целом в первую очередь регулирует Банк России. Там отметили, что создание нового института страхования киберрисков является одной из задач, определенных стратегическим документом Банка России «Основные направления развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы».
Однако, по мнению Банка России, для установления единых требований к такому страховому продукту страховщиками должен быть наработан достаточный опыт в этой сфере. Кроме того, до введения обязательного страхования киберрисков следует определить объект страхования, провести всестороннюю экономическую оценку целесообразности этого инструмента защиты интересов потребителей, а также проанализировать предполагаемый объем требований по возмещению вреда и расходов участников страхового рынка.
Артем Шейкин со своей стороны отмечает, что формирование правовых основ для создания ОКРУГа потребует изменений в налоговом законодательстве. Сейчас закон не разделяет ответственность за утечки персональных данных, содержащие, к примеру, ФИО и номер телефона, и утечки биометрических данных. Кроме того, говорит сенатор, предстоит создать институт оценки киберзащищенности с методикой проведения оценки, который позволит привлекать широкую экспертизу для оценки защищенности, но не отдельных уязвимостей, а возможности критических потерь путем кибератак.
Также, предупреждает он, обязательное страхование, не подкрепленное бизнес-смыслом, станет просто очередным налогом. По мнению ГК «Гарда», полезно будет начинать с малого, например страховать только ущерб от простоев или страховать компанию от штрафов, наложенных государственными органами: «Это позволит накопить статистику и наладить независимую оценку ущерба и методики выявления виновников инцидента».
С заботой о вашей безопасности, команда Origin Security
