Журнал Forbes от 22.03.2018
За последние годы от хакерских атак пострадали сотни компаний, поэтому бурное развитие киберстрахования в России – это перспектива недалекого будущего. О последних трендах в этой сфере – в материале директора по страхованию ответственности директоров, должностных лиц и компаний страховой компании «Альянс» Вадима Михневича для сайта Forbes.
Перерыв в производстве и кибер-инциденты занимают первые строчки в списке десяти самых главных угроз, которые видит для себя бизнес в 2018 году. Далее следуют стихийные бедствия, изменение рыночной ситуации, поправки в законодательных и нормативных актах и так далее. К такому выводу пришла страховая компания Allianz, опросив 1 900 экспертов по риск-менеджменту из 80 стран мира.
За последние пять лет кибер-инциденты поднялись с 15-й на 2-ю строчку рейтинга. Подобно стихийному бедствию кибер-атаки могут навредить сотням компаний. Так называемые «кибер-ураганы», когда хакеры вмешиваются в деятельность большого количества предприятий, используя их зависимость от общей интернет-инфраструктуры, происходят все чаще.
Риски цифрового будущего
Недавно специалисты университета Иннополис провели опрос, в ходе которого предложили руководителям и ведущим специалистам по информационной безопасности крупнейших компаний России и местных филиалов международных корпораций оценить степень защищенности своего бизнеса, а также назвать несколько ключевых источников киберугроз.
60% опрошенных сочли уровень безопасности своих компаний недостаточным. 3% респондентов отметили, что столкнулись с сотнями инцидентов в сфере информационной безопасности. 24% опрошенных перенесли до 100 кибератак, 48% компаний столкнулись с единичными попытками нарушить информационную безопасность.
Источниками киберугроз в 66% случаев оказались действующие сотрудники компаний, в 42% — хакеры, в 27% — бывшие сотрудники. Самым распространенным киберпреступлением оказалась кража и порча внутренней информации, на втором месте — утрата персональных данных сотрудников и клиентов, на третьем — их компрометация.
По количеству кибератак Россия сегодня находится на четвертом месте — об этом свидетельствуют данные Kaspersky Security Bulletin. На нее приходится 8,98% всех инцидентов информационной безопасности, зафиксированных в мире.
«Лаборатория Касперского» утверждает, что средний ущерб от одного инцидента кибербезопасности для крупных российских компаний составляет 11 млн рублей, а для малого и среднего бизнеса — 1,6 млн рублей.
Центр стратегических и международных исследований совместно с McAfee в 2014 году оценил убыток глобальной экономики от кибер-преступности в $445 млрд. К 2020 году этот показатель может достигнуть $3 трлн.
Кибер-атаки становятся все более изощренными. В 2010 году появилось первое сообщение об успешном взломе хакерами системы безопасности промышленного предприятия. Появление программ-вымогателей WannaCry, Petya и Mirai и масштабная распределенная атака типа «отказ в обслуживании» (DDoS) на интернет-провайдера Dyn, которая в октябре 2016 года привела к сбою в работе Twitter, CNN и Netflix, вписываются в набирающую силу тенденцию к появлению «кибер-ураганов».
Новая страница
В мае 2018 года по всей Европе вступает в силу общий регламент по защите данных (GDPR), направленный на повышение защиты персональных данных. GDPR обещает стать самым значимым событием в области управления кибер-рисками в этом году.
Российские дочерние структуры европейских компаний уже ведут работу по снижению возможных рисков, связанных с нарушением порядка обработки и трансграничной передачи персональных данных. Ожидается, что проблема в первую очередь затронет онлайн-ретейлеров.
GDPR предусматривает серьезные требования к лицам, осуществляющим обработку персональных данных. Для российского юрлица, действующего на территории Евросоюза, этот регламент означает двойное обременение.
GDPR пересекается по предмету регулирования и может распространяться на персональные данные одних и тех же лиц, что и небезызвестный пакет «антитеррористических» законопроектов, обязывающий операторов связи, работающих на территории России, хранить данные обо всех разговорах и переписке россиян.
Хотя GDPR относится к нормам иностранного права, полностью исключить принудительное взыскание налагаемых в соответствии с ним штрафных санкций с российского лица, в особенности, если у него есть активы на территории ЕС, нельзя. Максимальный штраф может достигать $20 млн, или 4% от оборота нарушителя.
В этой связи до принятия разъяснительных и директивных документов к GDPR оптимальным инструментом защиты бизнеса от возможных убытков будет страхование от кибер-рисков.
Защита от киберугроз
Сегодня рынок предлагает большой выбор страховых покрытий для разных рисков. Можно застраховать ущерб третьих лиц или собственный ущерб из-за перерыва в производстве или деятельности, вызванный недоступностью IT-систем из-за DDoS атаки. Страхуются также сопутствующие расходы — привлечение форензик-консультантов для расследования кибер-инцидентов, расходы на проведение внутреннего расследования, организация услуг колл-центра.
Страховщики также предоставляют доступ к услугам, смягчающим негативные последствия инцидента по мере его развития, например, за счет привлечения специалистов по кризисному управлению, специализированных юристов, специалистов IT.
Несмотря на информацию о растущем количестве угроз и кибер-рисков, в подавляющем большинстве российский бизнес пока неохотно передает свои риски страховщикам, ссылаясь на собственную «надежную систему IT-безопасности». И это не удивительно. Последствия для российских компаний пока не очень внушительны.
Вместе с тем, очевидно, что рост автоматизации бизнеса и ужесточение законодательных нормативов ставят бизнес перед необходимостью расширения системы риск-менеджмента, в том числе аудитов кибер-безопасности и привлечения страхования кибер-рисков. Учитывая начавшиеся перемены, речь скорее всего идет о сравнительно недалекой перспективе двух-трех лет.
