02.10.2023 10:45
Для страхования киберрисков может быть создан отдельный фонд
В России в 2025 г. может быть создан единый страховой фонд киберрисков с целью реализации механизмов возмещения потерь при киберинцидентах. Такое предложение обсуждалось в начале сентября на площадке АНО «Цифровая экономика», рассказал «Ведомостям» источник, знакомый с итогами заседания. Обсуждение идеи подтвердил и собеседник в одной из крупных компаний по кибербезопасности.
По словам одного из собеседников, на совещании в АНО участники рынка формировали предложения по основным направлениям нового нацпроекта «Экономика данных», который должен быть запущен в 2025 г. Основные параметры и целевые показатели нацпроекта должны быть утверждены до 1 июня 2024 г. правительством, соответствующее поручение президент Владимир Путин дал 4 сентября.
Представитель АНО «Цифровая экономика» подтвердил, что на площадке организации обсуждались предложения для нацпроекта «Экономика данных», но предложение о создании фонда пока не включалось в итоговый свод инициатив от АНО.
Одна из проблем, обсуждавшихся на совещании, – отсутствие стороннего аудита и механизма нивелирования рисков и снижения штрафов для компаний в результате киберинцидентов, рассказывает источник в АНО, присутствовавший на мероприятии. По его словам, для решения этой проблемы подгруппа, возглавляемая GR-директором ГК «Солар» (до сентября 2023 г. «Ростелеком Solar») Михаилом Адоньевым, и предложила создать единый страховой фонд.
Также авторы предложения предлагают сформировать основные методики по расчету киберрисков и определение перечня организаций и действий, «которые должны быть застрахованы в обязательном порядке», продолжает собеседник. Создание фонда предлагалось инициировать поручением правительства, а ответственными за его реализацию назначить Минцифры, Минфин и ЦБ.
Представитель «Солара» отказался отвечать на вопросы по предложению, Адоньев не ответил на звонки и сообщения «Ведомостей». В пресс-службе Минцифры не ответили на запрос «Ведомостей» по предложению о создании страхового фонда киберрисков. Представитель правительства заявил, что на данный момент предложений «по данной теме от АНО «Цифровая экономика» не поступало».
Сейчас более 70% российских компаний не страхуют киберриски, сообщали в начале сентября «Ведомости» со ссылкой на данные InfoWatch. В 14% случаев ущерб от потери данных превышает 1 млн руб., подсчитали аналитики. Застрахованными оказались организации только из образования, банков и ТЭКа.
Средний ущерб компаний от действий хакеров за период с июля 2022 г. по июнь 2023 г. составил не менее 20 млн руб. (без учета репутационных потерь), говорится в июльском исследовании ГК «Солар».
При обсуждении подобных фондов возникают вопросы, в чьих интересах они создаются и для решения каких задач, обращает внимание гендиректор компании SafeTech Lab Александр Санин: «Не хотелось бы, чтобы наполнение фонда стало еще одним бременем для бизнеса».
Цель страхового бизнеса – это получение прибыли, основанное на моделях оценки рисков, статистике и т. п., продолжает Санин. Страховщики сами, без госучастия, способны разработать необходимые методики для оценки, взяв, например, мировой опыт за образец, говорит эксперт. Но выплаты в случае инцидентов будут ощутимо меньше суммы полученных взносов, резюмировал топ-менеджер.
Государство может ввести обязательное страхование, чтобы избежать возможных киберрисков, например утечки данных, рассуждает директор по маркетингу и коммуникациям страхового брокера Remind (ранее – Marsh) Армен Гюлумян. Такая схема уже работает с ОСАГО: государство гарантирует, что если вы купили страховой продукт, то он будет работать, даже если страховая компания обанкротится.
Механизм с госфондом по страхованию киберрисков мог бы работать следующим образом: компания, предоставляющая цифровые услуги, приобретает полис, а уже страховые компании платят отчисления в фонд для дополнительной гарантии устойчивости рынка, предполагает Гюлумян. Полис покрывает понесенные расходы либо недополученные доходы (за исключением всех видов страхования жизни), перечисляет он. Когда речь идет о порче или утрате имущества, к чему и относятся данные, обоснование идет через компенсацию потерь за понесенные расходы либо недополученные доходы, говорит эксперт. Сложность в получении компенсаций за «утекшие» данные будет заключаться в сложности доказывания ущерба, указывает Гюлумян.
«Создание единого фонда, с одной стороны, полезный инструмент, который потенциально позволит возместить расходы на восстановление ущерба и устранение последствий инцидентов, – рассуждает руководитель отдела консалтинга и аудита Angara Security Александр Хонин. – С другой стороны, есть риск, что фонд будет восприниматься как некая индульгенция, способ сократить инвестиции в усиление ИБ-инфраструктуры». Поэтому важно не только создание фонда, но и формирование единых правил на рынке страхования, мотивации для бизнеса и госорганизаций вкладываться в новые технологии защиты, персонал и киберграмотность, резюмировал эксперт.
