Прежде чем вводить киберстрахование, чиновникам необходимо установить жесткие требования к компаниям, обрабатывающим персональные данные. Такое мнение LS высказали профучастники.
В СК "Евразия" считают, что сам по себе данный продукт весьма перспективен. Он может защитить предприятия и их клиентов от ущерба, вызванного несанкционированным доступом к базам данных, техническим сбоем или ошибками сотрудников.
"Нужно ли страховать киберриски – безусловно. Необходимо ли внедрять новый обязательный вид – сомнительно. Главное, чтобы мы не застали ситуацию, когда компании пытаются залатать дыры в системах безопасности за счет страховщиков", – отметили в финорганизации.
По их словам, в последние годы было немало инцидентов, связанных с масштабной утечкой персональной информации, как в частных компаниях, так и в квазигоссекторе. Причем подавляющее большинство приходилось на государственные базы данных.
С учетом этого госорганам рекомендуют выставить жесткие условия ко всем предприятиям, работающим в данной сфере.
"Для начала необходимо создать спецкомитет при профильном министерстве, который будет устанавливать соответствующие правила и требования. Также может быть реализовано право цифрового забвения, когда по просьбе человека сведения о нем будут удалены из всех коммерческих баз данных", – подчеркнули в страховой компании.
Также профучастники обратили внимание на недостаточную информированность населения в части соблюдения цифровой гигиены и базовых правил по безопасности. В связи с этим они посоветовали чиновникам сперва проработать эту проблему с гражданами, а уже потом привлекать их.
В СК "Евразия" отметили, что даже на глобальном рынке киберстрахование является относительно новым и еще слаборазвитым классом.
"Появляются специализированные андеррайтинговые компании, в которых работают профессиональные агенты вместе со специалистами по кибербезопасности и дата-аналитиками: они оказывают консалтинговые услуги и предлагают программные решения для оценки рисков, как правило, крупным страховым предприятиям", – дополнили в финорганизации.
В качестве примера профучастники привели США, где защищено 60-70% всего имущества. Однако доля киберстрахования в стране остается крайне низкой.
"Говорить о многочисленных опытах и возможностях их заимствования пока еще рано. Есть какие-то отдельные кейсы на рынке, но масштабных исторических данных для построения работающих моделей пока еще недостаточно", – уточнили в СК "Евразия".
Между тем заместитель председателя правления Jusan Garant Чингис Амиржанов высказался в пользу вмененного страхования, когда компании будут обязаны иметь полис на конкретных условиях или с определенным покрытием.
"В таком случае рынок сам отрегулирует справедливую стоимость продукта и будет подталкивать юрлица проводить меры по обеспечению сохранности персональных данных, чтобы снизить цену договора страхования", – отметил спикер.
В беседе с LS Амиржанов подчеркнул, что данный продукт действует как финансовая защита от киберинцидентов и может косвенно стимулировать улучшение мер безопасности.
Стоимость премии должна зависеть от множества факторов, считает замглавы Jusan Garant. Это размер и тип бизнеса, вид и объем данных, текущие меры безопасности, история инцидентов, связанных с персональными данными, покрываемые риски, объем покрытия, технологическая инфраструктура и пр.
"Любое страхование основывается на статистике и актуарных расчетах. В случае с киберсферой такие подсчеты сделать сложно, поскольку статистических данных по страховым случаям крайне мало. Нет общих для профучастников стандартов по формированию продукта", – отметил Амиржанов.
Что касается ситуации в других странах, то он привел в пример американский опыт, где существует множество законодательных актов, направленных на защиту данных, таких как GDPR (General Data Protection Regulation), что способствует развитию киберстрахования.
Жесткие требования есть и в Великобритании. Здесь действует строгий регламент по защите данных (Data Protection Act 2018), соответствующий требованиям GDPR. По словам Амиржанова, британские страховые компании активно развивают модели оценки киберрисков и внедряют инновационные методы для их управления.
"В Германии действуют строгие законы в данной сфере, что стимулирует компании внедрять такой продукт. Немецкий рынок активно работает с МСБ, предлагая адаптированные фининструменты. А Израиль известен как центр кибербезопасности с множеством инновационных компаний в этой области. Правительство активно поддерживает развитие технологий в этом направлении и внедрение киберстрахования. Сингапур является важным финансовым и технологическим центром Азии. Его власти внедрили комплексные меры по защите данных и активно стимулируют развитие данного продукта. В Сингапуре разработаны программы обучения и сертификации специалистов в этих областях", – добавил представитель Jusan Garant.
Инициативу МЦРИАП прокомментировал и председатель правления Freedom Insurance Азамат Керимбаев. По его словам, киберстрахование является инструментом для борьбы с последствиями от киберугроз.
"В данном случае страховая компания должна будет выступать фининститутом, который покрывает расходы при реализации риска. Их расследованием занимается уже партнер страховщика, например, компания Kaspersky и другие. Киберстрахование – очень сложный продукт, и он реализуется только с помощью партнерских программ с IT-компаниями, которые занимаются именно защитой данных. Что касается обязательности данного класса, то считаю, что это преждевременная инициатива, так как вряд ли кто-то сможет написать проект закона, чтобы этот продукт активно заработал", – резюмировал он.
Ранее в комитете по информационной безопасности МЦРИАП предложили внедрить обязательное страхование для операторов персональных данных по принципу ОГПО авто. Ведомство считает, что таким образом население сможет урегулировать проблему с утечкой личной информации.
