Две основные проблемы
Заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов убежден, что киберстрахование — полезный инструмент, позволяющий диверсифицировать риски цифровизации и облегчающий внедрение инноваций. Но начинать надо с малого, например страховать компанию от штрафов, наложенных государственными органами, что даст возможность накопить статистику и наладить независимую оценку ущерба и методики выявления виновников инцидента.
Заместитель генерального директора ГК «Гарда» Рустэм Хайретдинов
Фото: Предоставлено ГК InfoWatch
Расследования десятков инцидентов, которые привели к реальному ущербу, показывают две основные проблемы оценки ущерба. Первая: при желании можно обосновать любую наперед заданную сумму, особенно если дело касается утечек клиентской информации. Например, посчитать, что все клиенты, чьи данные утекли, не купили что-то из-за утечки. Вторая причина — почти всегда в инциденте есть доля вины и самого пострадавшего: его сотрудники могли нарушить какие-то правила — пользователи попались на фишинг, ИТ-служба не обновила ПО, программисты разработали ПО с «дырой», ИБ-служба неправильно настроила средства защиты и т. п. И если в отношениях между заказчиком и подрядчиком такая ситуация лишь повод к переговорам о дисконте штрафных выплат, то в случае участия страховой компании по инциденту, в котором вы виноваты сами, вы просто не получите никаких выплат.
Именно такое разночтение в оценке ущерба и определении виновного тормозит накопление статистики, без которой страховщики не могут точно определить взносы и выплаты. Страхование — это точная наука, опирающаяся на понятные математические модели, которые бессильны без накопленных данных.
Сегодня компании страхуют скорее невыполнение контрактных обязательств по защите от киберугроз. Скажем, компания заказывает сервис по защите от какого-то вида атак, если атака пройдет, то считается, что сервис выполнен не был, и оплата за заранее оговоренный период (обычно месяц, но бывает и квартал) не взимается. Риск невыполнения контрактных условий иногда перестраховывается исполнителем, а иногда весь риск берется исполнителем на себя. Средняя цена такой страховки — 10% от суммы контракта. Что касается усилий игроков рынка по страхованию не от невыполнения обязательств, а от понесенного ущерба или — идеально — упущенной выгоды, то они пока плодов не принесли — слишком по-разному оценивают свои потери и упущенную выгоду жертвы атак и страховые компании.
Обязательное страхование, не подкрепленное бизнес-смыслом, станет просто очередной обязательной статьей расходов, а бизнес любит расходы минимизировать, поэтому могут появиться полисы страхования «для галочки», которые можно предъявить проверяющим, но по которым выплаты получить нереально. То есть внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных в этом ущербе натолкнется на всплеск страхового мошенничества или заградительных ставок.