Цифровые технологии проникают во все сферы деятельности, поэтому риск хакерских атак и утечек данных стал нормой для любого бизнеса. Маленькая фирма или крупная компания — все они подвержены опасности со стороны хакеров, которые хотят получить доступ к информации или нанести компании ущерб.
Плюс к этому государство ужесточает требования к сохранности персональных данных. С 30 мая 2025 вступают в силу поправки в КоАП РФ увеличивающие размер штрафов за действия (бездействие), из-за которых произошла незаконная передача персональных данных. За повторную утечку данных вводится оборотный штраф в размере до 3% от дохода компании, но не менее 20 млн рублей и не более 500 млн рублей.
Защититься от ущерба, причиненного незаконным проникновением в электронные системы, компаниям может помочь - киберстрахование. Оформление полиса позволяет компенсировать убытки, связанные с киберугрозами, такими как хакерские атаки, в результате которых пострадали данные компании, оборудование, произошла утечка конфиденциальной информации или/и компенсировать расходы от вынужденного перерыва в деятельности предприятия. Постараемся рассказать в той статье, от чего может защитить страховой полис и как может стать инструментом минимизации негативных последствий для бизнеса.
В настоящее время, страховые компании активно осваивают данный сегмент страхования. Условия страхования у всех примерно одинаковые
По полису киберстрахования можно быть застраховать следующие активы, включая: Оргтехнику, Мобильные устройства, Компьютеры, Оборудование (Станки, Агрегаты), Серверы, ПО, Цифровой контент, Базы данных, Почту, Цифровые библиотеки, Web-ресурсы, Облачные сервисы (если они принадлежат клиенту), Персональные данные, Убытки от перерыва в производстве, Ответственность перед 3-ми лицами, Вред окружающей среде, Денежные средства (средства на счетах и картах клиента).
Полис киберстрахования покрывает большой объем рисков. Для более простого понимания рассмотрим возможности киберстрахования на маленьком примере. Допустим, компания N подверглось хакерской атаке, часть оборудования было выведено из строя, часть данных потеряно, украдены средства со счетов, а также в результате данных действий все предприятие было остановлено. Плюс ко всем выше оговорённым проблемам предприятия, добавим иски третьих лиц, связанные с утечкой персональные и конфиденциальных данных. В первую очередь можно застраховать само оборудование, и страховая компания предлагает застраховать убытки, связанные с физической гибелью имущества (повреждение ПО, повреждение оборудования, ущерб имуществу). Если были застрахованные риски, связанные с ущербом от кражи денежных средств со счетов компании (списание средств) и ущербом от частично утраченных данных (повреждения данных), страховая компания возместит данные потери. После восстановления оборудования, компании необходимо разобраться, возможно с привлечением сторонних специалистов и/или других компаний, кто и каким образом проник в её информационные ресурсы и для этого нужны дополнительные расходы, которые тоже можно страховать (расходы на диагностику, расходы на расследование). При этом, хакерская атака привела к остановке работы всего предприятия. Руководство вынуждено оплачивать заработную плату работникам, аренду помещений, оборудования, налоговые платежи, платежи по кредитам и т.д. В ходе расследования выясняется, что во всемирную сеть утекла конфиденциальная информация, которая привела к убыткам третьей стороны. Пострадавшая сторона требует компенсации ущерба, а это дополнительные расходы на услуги юристов, расходы на урегулирование и т.д. Многодневный простой и судебные иски от третьих лиц нанесли сильный удар по деловой репутации предприятия, а в восстановление которого тоже нужно вкладывать средства. Наверно – это не все непредвиденные расходы, которые могут возникнуть из-за хакерской атаки, но в любом случае все эти убытки могут быть застрахованы по полису киберстрахования.
Многие руководители предприятий, особенно крупных, предпочитают страховать риски ущерба от хакерских атак. Объем страхования данных рисков практически ежегодно удваивается. С учетом роста финансовых потерь от несанкционированного проникновения в информационные ресурсы, а также эффекта «низкой базы» темпы прироста объемов страхования данного вида в ближайшие годы сохранятся.
Мы определились с вопросом, что можно застраховать в рамках киберстрахования. Теперь немного поговорим о том, на что нужно обратить внимание при заключении договора киберстрахования:
1. «Проблема доверия» между партнерами.
При оценке рисков и определении страхового тарифа страховая компания запрашивает информацию о способах защиты информации и методах противодействия хакерским атакам. Данная информация является чувствительной для бизнеса и предоставление её третьим лицам для службы безопасности любой компании является чем-то запредельным. Без данной информации страховщик не может оценить риск, поэтому сторонам приходиться искать компромиссные решения. Первый вариант решения – создание многими страховщиками коробочных продуктов с достаточно небольшой страховой суммой (до 20 млн. рублей) и высокой страховой премией. Данное решение оптимально для небольших компаний или небольших интернет-магазинов, т.к. не требуется долгих процедур по оценке бизнеса и согласования условий стрхования. Набор рисков стандартный, а условия страхования не подразумевают включения каких-либо дополнительных условий. Из-за стандартных условий и малого набора страхуемых рисков данные продукты страхования не интересны для средних и крупных предприятий. Поэтому с такими страхователями страховая компания обычно работает по индивидуальной программе. Подписывает соглашений о конфиденциальности и получает доступ к структуре информационной безопасно компании и бухгалтерским документам. Подход интересен тем, что страховщики, как сторонний наблюдатель, при проведении аудита информационной безопасности видит бреши в системе безопасности, на которые сотрудники компании могли и не обратить внимания. На стадии оценки риска и принятия его на страхования, страховщики могут рекомендовать клиенту внести определенные изменения в систему безопасности для её улучшения. Более того, некоторые страховщики получают специальные сертификаты Минцифры, как уполномоченные структуры, по оценке информационной безопасности. Данный подход интересен обеим сторонам, т.к. клиенты получают возможность фактически бесплатно провести аудит безопасности своих информационных систем, уполномоченной компанией. Страховая компания, получает возможность грамотно оценить риски клиента и заключить договор страхования на выгодных условиях. Это не совсем профильная деятельность для страховых компаний, но что не сделаешь, чтобы занять большую часть данного огромного рынка киберстрахования.
2. Вторая сложность – это вопрос оценки стоимости информационных данных.
Как можно оценить стоимость утраченной клиентской базы компании? С одной точки зрения, база клиентов – это две третьих стоимости любой компании, а с другой стороны, стоимость любой информации (клиентские базы в данном случае не исключения) – это стоимость носителя, вместе с которым данная информация погибла. Можно попытаться сделать независимую оценку стоимости утраченной информации. К сожалению, оценка базы будет носить субъективный характер и опираться на стоимость затрат по её восстановлению. Обычно за физической утратой информационной базы идут и репутационные потери, связанные с остановкой предприятия и/или невозможностью продолжать деятельность из-за отсутствия информации о заказах в работе.
3. Огромные штрафы за действия (бездействие), из-за которых произошла незаконная передача персональных данных внесены изменения утечку.
Насколько виновата компания или отдельный сотрудник в незаконной передаче (утечке) персональных данных должны разбираться компетентные органы. Если риски утечки персональных данных застрахованы, то страховая компания возместит ущерб от предъявленных судебных исков третьих лиц, по фактам незаконной передачи персональных, в случае признании компании виновной в незаконных действиях (бездействии). Также будут возмещаться расходы на юристов и юридическое сопровождение. Наложенные государственными органами штрафные санкции на компанию по полису киберстрахования не возмещаются, но наличие полиса страхования поможет снизить размер возможного штрафа, т.к. расходы на страхование можно считать средствами, инвестированными в информационную безопасность.
Итог
Новые требования начнут действовать с 30 мая. Несообщение о факте утечки может привести к миллионным штрафам. За повторные нарушения предусмотрены оборотные взыскания — до 3% выручки компании. Чтобы этого избежать необходимо подумать не только о технической защищенности своей информационной системы, но и о киберстраховании, как о инструменте финансовой защиты от последний хакерских атак.
