Заплатить за утечку: защитит ли обязательная страховка от киберрисков
Киберстрахование существует на российском рынке уже несколько лет. За последние два года услуга стала заметно популярнее. Например, в 2023 году премии за покрытие ущерба от последствий кибератак выросли на 80% — до 1,3 млрд рублей. Всероссийский союз страховщиков оценивает этот рынок примерно в 900 млн рублей в год.
На сегодняшний день российские страховщики предлагают защиту от нескольких видов киберугроз:
- непосредственно кибератаки — целенаправленного и несанкционированного воздействия на компьютеры и системы;
- ошибки и умышленное бездействие сотрудников, приводящее к кибератаке;
- технические сбои.
Киберстраховой полис может покрывать ущерб от перерывов в деятельности в результате атаки, расходы на восстановление системы, восстановление и дешифровку данных, минимизацию последствий и расследование причин киберпреступления.
Страхование рисков могло бы стать полезным инструментом, если понять в первую очередь, кого и от чего именно страховать. Конкретного пользователя от мошеннических действий? Например, стоматологическая клиника потеряла мои карты, в этот момент меня опознал «Яндекс». Он продал мои данные официально куда-то, их неофициально совместили с моими стоматологическими картами, и браузеры начинают показывать мне рекламу протезирования, пломбы, брекеты — все, что только можно. Мне звонят и предлагают пройти бесплатное обследование, зная, что мне нужно протезирование. Меня отвлекают от дел и причиняют моральный ущерб. Допустим, я заявляю страховой случай и претендую на возмещение. Но как его оценивать?
Сливают все
По данным сервиса DLBI, в 2023 году произошло более 290 утечек, в результате которых злоумышленники получили доступ к 240 млн телефонных номеров и 123 млн имейл-адресов россиян. Статистика Роскомнадзора немного отличается, но оптимизма тоже не внушает: 168 утечек и более 300 млн слитых записей за прошлый год.
Самая «дырявая» защита у e-commerce — 40% инцидентов. На втором месте здравоохранение — 9%. Замыкает тройку лидеров сфера развлечений — 8,5%. По объемам утечек первое место у банков. На них приходится около 50% слитых телефонных номеров. Далее следует электронная коммерция с ее адресами электронной почты.
Власти предлагают действовать жестко, а именно: ввести оборотные штрафы для компаний — до 3% выручки, исходя из объема попавших в чужие руки сведений, но не более 500 млн рублей. Законопроект принят в первом чтении. Ко второму обещают учесть мнение бизнеса. А параллельно обсуждают обязательное страхование киберрисков.
Защита или новый налог
Как могло бы работать обязательное страхование, пока не знает никто. Даже эксперты во Всероссийском союзе страховщиков. Там указывают на ряд спорных моментов. Например, должен ли покрываться выплатой фактически причиненный ущерб или нужны таблицы выплат по каждому страховому случаю? И какими будут лимиты? Непонятно, и чья ответственность страхуется — оператора персональных данных или организации, которая их обрабатывает. Стоит ли классифицировать организации по категориям данных (медицинские, финансовые и т. д.), поскольку ущерб от их утечки может быть принципиально разным.
Участники IT-рынка говорят о необходимости учитывать и добросовестность компаний. В противном случае может получиться так, что тем, кто максимально ответственно подходит к вопросам защиты, придется платить за тех, кто регулярно «течет».
Если обязательная страховка должна будет покрывать огромные суммы оборотных штрафов, то главными выгодоприобретателями станут сами страховщики и те, кто ею воспользуется, особенно крупные компании, регулярно допускающие утечки, что явно не будет стимулировать их к повышению уровня информационной защиты своих систем. Все остальные, те, кто уделяет большое внимание кибербезопасности, получат, по сути, дополнительный вмененный налог.
Методика расчета
Следующий вопрос: как такой налог считать? Как оценить, сколько стоит риск утечки для конкретного оператора персональных данных? Исходя из выручки? Или по какой-то специальной формуле, например в зависимости от степени защищенности? А если так, то нужна методика.
Например, сенатор Артем Шейкин считает возможной схему выплат через Госуслуги компенсаций гражданам, чьи данные утекли, — в том числе из бюджета, если вина лежит на госорганизациях.
Но вопроса оценки ущерба это не снимает. И если доказать, что ваши данные оказались в открытом доступе именно вследствие утечки, сложно, то понять, откуда именно они утекли, — практически невозможно. Либо должен быть какой-то условный реестр утечек, где человек может себя найти и подать заявление на компенсацию, либо все это похоже на далекие от реальности фантазии. Например, сегодня на обращения о мошенничестве с использованием персональных данных полиция честно отвечает — дело безнадежное, ни сил, ни средств, ни законодательной базы воздействовать на тех, кто или пытается, или уже обманул человека, у них нет.
Станет ли Рунет безопаснее?
Мы имеем дело с традиционной войной щита и меча: чем дороже данные, тем дороже должна быть защита. Сейф из подвалов ЦБ несоизмеримо дороже моей квартиры. Зато стоимость моей входной двери сильно превышает цену двери моего дачного сарая, на которую я даже замок не вешаю, потому что красть там нечего. А теперь сравните данные, которые могут быть украдены у меня как у обычного человека, и данные какого-нибудь лидера мнений с многомиллионными контрактами. Например, компрометирующая его информация, которая, в случае попадания в паблик, полностью разрушит его карьеру и принесет убытки спонсорам. Насколько разумно тратить на защиту и страховку в первом и во втором случаях? Как это рассчитать? Все это очень тонкие моменты.
Но главное — сделают ли новые правила Рунет безопаснее? Или, наоборот, у компаний появится соблазн халатно относиться к защите данных, особенно если это требует значительных затрат? Ведь страховка все покроет.
Ответов нет. И как я понимаю, не только у меня, но у всех заинтересованных сторон. Инициатива, очевидно, требует серьезной проработки. Высоки риски того, что неплохая в основе своей идея превратится просто в оброк, который не будет стимулировать ни отрасль к развитию и усилению кибербезопасности, ни правоохранительные органы к поимке преступников, ни государство к регулированию использования персональных данных и устранению «кормушек» для мошенников, имеющих возможности эту информацию монетизировать.
Мнение редакции может не совпадать с точкой зрения автора