Недавно одна из крупнейших компьютерных компаний мира понесла убытки в $6 млн: деньги украли два ее бухгалтера, имевшие доступ к информационной системе компании. Масштабы электронных преступлений увеличиваются, и компании все чаще задумываются о таком способе защиты от них, как страховка. В России еще пару лет назад о страховании электронных рисков вообще никто не говорил. Но сейчас страховщики все активнее предлагают клиентам подобные полисы, которые, помимо компьютерного мошенничества, включают также защиту от вирусных атак, сбоев компьютерных систем и утраты электронных архивов.
От порчи, обвала и нелояльного персонала
Популярность страховой защиты от электронных рисков резко выросла в мае прошлого года, когда мировые компьютерные сети подверглись нашествию вируса Love Letters. Общий ущерб от него оценивался в $10 млрд. Западные страховщики начали срочно разрабатывать антивирусные полисы, а российские — получать лицензии на страхование электронных рисков. Сегодня такие полисы продают "Ингосстрах", Военно-страховая компания, "Интеррос-Согласие", в начале апреля лицензию на страхование рисков computers crime получила страховая компания РОСНО.
В принципе застраховать электронные риски может любая организация, в офисах которой стоят компьютеры. Но особое значение такое страхование имеет для электронного бизнеса. Когда за каждой трансакцией стоит не просто запрос на поиск какой-либо информации и не покупка пары книжек, а фура с товаром, цена сбоя в информационной системе для ее владельца становится совершенно иной. Однако наиболее активными покупателями таких страховок сегодня являются банки, биржи, депозитарии и прочие финансовые институты.
Для них, пожалуй, главную опасность представляют не вторжения в компьютерную систему извне (вирусные и хакерские атаки), а ущерб от преступлений собственных сотрудников. Единственное существующее статистическое исследование по электронным рискам — ежегодный совместный отчет ФБР и Computers Security Institute — называет внутренние риски организации главной угрозой для баланса финансовой структуры.
Действия работников, причинившие ущерб организации, как правило, являются умышленными, однако страховщики советуют страховаться и от непреднамеренных ошибок. "Сотрудник может не выспаться, кто-то отвлечет его анекдотом,— говорят они.— В результате он нажмет не ту клавишу, и деньги отправятся не по назначению". Если непреднамеренные ошибки — редкость, то под риском нелояльности персонала ходят все крупные банки. В российском законодательстве понятие "нелояльность" отсутствует, поэтому судебные тяжбы с бывшими сотрудниками без участия страховщиков перспективы не имеют. Страховщик же может гоняться за виновником в течение 25 лет, чтобы взыскать с него всю уплаченную в качестве страхового возмещения сумму.
В категории электронных рисков, связанных с вторжениями в корпоративные компьютерные системы, одним из самых распространенных считается несанкционированный ввод данных в электронную систему платежей. В результате деньги переводятся не по назначению или просто зависают. Второй по значимости — риск утраты электронных архивов из-за сбоя компьютерной системы. Загодя застраховав эти риски, можно получить со страховщика возмещение затрат на восстановление данных и сумму, пропавшую при ошибочном переводе.
Можно купить также полис на случай хакерского взлома или проникновения вируса. Этот вид страхования называется защитой от электронных и компьютерных преступлений и продается, как правило, в пакете Bankers Blanket Bond (BBB) — комплексного страхования финансовых институтов, который покрывает и ряд сопутствующих рисков: преступления с пластиковыми картами, нелояльность персонала и другие. Однако лицензию по BBB в России в настоящее время имеют единичные страховые компании.
За что ответит страховщик
Возмещение по электронным страховым случаям имеет свою особенность: страховая компания оплатит только прямой ущерб — списанные деньги или затраты на реанимацию архива. А вот за упущенную выгоду или утраченную репутацию организации из-за повреждения компьютерной системы страховщик платить не станет. Причина в том, что до сих пор нет единой методики расчета стоимости информации. А не разработана она потому, что трудно собрать полноценную статистику: компании, терпящие убытки по информационным рискам, как правило, не афишируют свои потери. И страховщикам при оценке риска приходится опираться на собственный опыт и опыт западных коллег. Ну а западные коллеги, к примеру, не стали возмещать упущенную выгоду eBay и Amazon.com, когда из-за нападения хакеров на их сайты не смогли зайти потенциальные покупатели.
Напротив, типичный пример страхового случая, по которому страховая компания возместит убыток,— утрата бухгалтерской базы компании. Ее стоимость страховщики приравнивают к затратам на восстановление, связанным с наймом аудиторов, которые будут звонить клиентам и восстанавливать базу. По такому же принципу, по принципу оценки стоимости восстановления, страхуется и другая электронная информация.
Лимит ответственности страховщика определяется на стадии заключения договора страхования. Как правило, его рекомендует сам страховщик, после того как ознакомится с системой защиты информации на предприятии. Однако лучше проводить независимую предварительную оценку риска. На Западе, кстати, это железное правило. Услуги западных оценщиков обходятся в несколько десятков тысяч долларов, отечественные берут гораздо меньше.
В страховых компаниях умалчивают об истории выплат по электронным рискам. Молчание объясняется тем, что такой истории просто нет, до сих пор не зафиксировано ни одного страхового случая, наступившего после взлома компьютерных систем или проникновения вирусов. Однозначно описать тарифы, как, скажем, в автостраховании, тоже нельзя. Практически каждому клиенту устанавливается свой тариф в зависимости, как уже говорилось, от степени защищенности компьютерной системы. В любом случае позволить себе такую страховку может далеко не каждая организация: она считается одной из самых дорогих. В среднем 3% от лимита ответственности страховщика. В России лимит исчисляется несколькими миллионами долларов. На Западе масштабы на порядок выше. Например, в марте прошлого года после хакерских атак на Yahoo!, eBay, Amazon.com страховщик Marsh Inc. продал полисы со страховым покрытием до $200 млн.
Как свидетельствуют эксперты страхового рынка, бума на рынке страхования электронных рисков ожидать пока не приходится. Достаточного спроса на такие страховые услуги нет: большинство потенциальных клиентов не устраивает набор предлагаемых страховых продуктов и их цена. Некоторые страховщики считают, что повальный спрос на "электронные" полисы появится лишь после того, как по российским сетям прогуляется какой-нибудь свирепый вирус. Остается надеяться, что страховщики не вступят в тайный союз с хакерами.
ТАТЬЯНА Ъ-ГРИШИНА