Когда пандемия закрыла офисы, многие оказались не готовы к переходу на удаленку. Переключиться нужно было мгновенно, а проработка вопросов безопасности требует времени. Именно поэтому появились уязвимости, которыми смогли воспользоваться киберпреступники.
О громких случаях со взломами в этом году еще не сообщалось, но стоит учитывать, что многие киберинциденты остаются за кулисами – никто из пострадавших не хочет сознаваться в подобном. Однако, как напомнил руководитель департамента страхования финансовых линий и ответственности страхового брокера «ГрЕКо интернешнл» Дмитрий Грузинцев, в марте прошлого года произошла кибератака на крупного поставщика программного обеспечения SolarWinds, а после – на государственные ведомства США. Злоумышленники получили доступ к управлению сетью компании и установили вредоносное программное обеспечение в пакет обновлений ее популярного продукта Orion. Он включает в себя миллионы строчек компьютерного кода, из которых хакеры тайно переделали чуть более четырех тысяч. В итоге «вредонос» разошелся по 18 тысячам клиентов SolarWinds по всему миру. По оценкам экспертов, этот инцидент обойдется киберстраховщикам примерно в $90 млн.
Сейчас можно сказать, что основной пик проблем с переходом на удаленку пройден. И все-таки из-за пандемии расширился масштаб рисков в киберпространстве, указывает руководитель отдела страхования рисков компании AIG в России Игорь Чичкан. Однако и во время пандемии, и после нее о резком росте спроса на этот вид страховых продуктов говорить не приходится.
Добровольное и принудительное
Многие компании, особенно крупные, могут похвастаться собственными системами защиты информации. Но в сфере кибербезопасности на 100% быть уверенным в своей защищенности нельзя, и IT-специалисты отлично понимают, где у них есть «дыры» и как ими можно воспользоваться. В этот момент и встает вопрос о дополнительной защите – о киберстраховании.
Разные страховщики и страховые брокеры вкладывают разное наполнение в этот термин, но в общем и целом в таком продукте речь идет о защите интересов компании на случай киберинцидента. Инцидент в киберпространстве – понятие широкое, куда могут входить и взломы извне, и утечки от сотрудников изнутри, которые происходят из-за подкупа, манипулирования, собственного злого умысла или простой неосторожности. Все эти ситуации могут покрываться полисом страхования киберрисков.
В России рынок киберстрахования развит слабо, речь идет о штучных покупках, и говорить о каком-то росте в пандемию сложно, отмечает вице-президент «Марш – страховые брокеры» Армен Гюлумян. Кейсов с выплатами немного, поэтому некоторые компании заведомо относятся к киберстрахованию с опаской.
«Пока весь рынок состоит из двух видов покупателей. Первые – это покупатели, которых кто-то каким-то образом обязал купить полис. Например, банк может потребовать у компании-заемщика оформить страховку. Там невысокая цена, но это предложение, от которого нельзя отказаться. Здесь чаще всего речь идет о малом бизнесе. Вторые – это иностранные компании, которые здесь покупают локальный полис в рамках своей глобальной программы», - пояснил он.
По словам Гюлумяна, осознанно в России киберстрахование пока приобретают нечасто. С ним согласился Чичкан: во многих случаях страхование от киберрисков действительно покупают те компании, которые просто обязаны это сделать по условиям того или иного контракта. Например, если российская компания становится подрядчиком у международной, зачастую в договоре указано требование о наличии киберстрахования.
Как отметил, в свою очередь, Грузинцев, количество договоров все-таки растет, но большинство из них имеют небольшие лимиты – в диапазоне $1-3 млн. На рынке присутствуют также и крупные договора, но их единицы.
Грузинцев обращает внимание: в большей степени угрозам подвергаются компании тех отраслей, где хранятся активы, представляющие наибольший интерес для злоумышленников – информация и денежные средства. Таким образом, о дополнительной защите надо задуматься также финансовым институтам, компаниям из сферы IT и крупным предприятиям, чья деятельность имеет широкий общественный резонанс.
Чичкан также говорит о том, что в этом виде страхования заинтересованы отели, авиакомпании, промышленные предприятия, государственные учреждения, учебные заведения и инфраструктурные компании. Однако начеку нужно быть любому бизнесу: риски в киберпространстве легко аккумулируются – например, через популярное программное обеспечение, в котором может появиться уязвимость.
Кибератака в «облаках» и на земле
Понимание киберрисков в России есть, отметил Гюлумян, – например, у российских промышленных компаний, и однозначно можно говорить о росте интереса к киберстрахованию за последние 3-4 года. Однако этот интерес пока не приводит к росту продаж. Кроме того, есть расхождения между тем, что хочет видеть покупатель и что хочет дать страховщик. В классическом международном понимании киберстрахование состоит из двух частей. Первая покрывает потери компании от простоя бизнеса, вторая – ответственность, если, например, кто-то придет к страхователю с иском за утечку данных.
«В каком состоянии сейчас находится рынок в России: все интересуются. Все читают отчеты и аналитику и охотно соглашаются на встречу с экспертами. Тема супергорячая. Но она не коммерционализирована и немного испорчена не всегда качественными предложениями страховщиков», - говорит Гюлумян.
Страховщики стремятся загнать клиента в свои рамки, под свои условия. И здесь во главе угла вопрос: а что же является страховым случаем в киберстраховании? Проблема в том, что кибератаку можно не заметить – она необязательно сразу останавливает работу всей компании, и для мониторинга зачастую требуются специальные инструменты, которые есть не у всех.
«Встает вопрос, как доказать, что атака была. Со стороны пользователя это может выглядеть как компьютерный «глюк». Мы в компании Marsh рекомендуем использовать слово «инцидент». Под ним подразумевается как атака, так и непосредственно IT-инцидент – например, нештатные ситуации в работе ПО», - добавил Гюлумян.
Следующий вопрос клиента: покрываются ли полисом инциденты с системами, которые находятся в облачном хранилище, или речь идет только о собственных системах на серверах компании? Гюлумян не видит причин, по которым «облака» стоило бы исключать из покрытия, и предлагает классификацию рисков, состоящую из трех компонентов: оборудование, программное обеспечение и данные. Причем речь идет не только о краже – те же данные злоумышленники могут компрометировать, чтобы нарушить производственные процессы. Такой случай называют операционным эффектом от киберинцидента, а материальные потери – финансовым эффектом.
Наконец, спорный вопрос что подразумевать под умыслом страхователя, который исключен из страхового покрытия. Могут ли рассматриваться как умысел действия любого сотрудника компании? Здесь проблема в том, что компания не может в каждую секунду следить за каждым сотрудником, объясняет Гюлумян. Так, например, один увольняющийся сотрудник решил в последний момент «насолить» и, условно, просто выключил какой-то рубильник, а другой просто неосторожно бросил сигарету. И когда страховщик хочет исключить такие ситуации из покрытия, это негативно срабатывает на развитии этого вида. Поэтому своим клиентам Marsh рекомендует считать «действиями страхователя» только то, что делают официальные должностные лица компании, уполномоченные на определенные действия или решения. Такая позиция тоже находит понимание не у всех страховщиков.
Дорого, убыточно
Премии по киберстрахованию в Европе повышаются, что связано с рядом моментов. Согласно данным Грузинцева, в нынешнем году в страховании киберрисков на международном рынке наблюдается рост премий на уровне порядка 30% по сравнению с прошлым годом. С одной стороны, в Европе за последнее время несколько страховщиков перестали предлагать этот вид полисов. Оставшиеся компании ужесточили условия страхования, и уже не так охотно готовы их менять под клиента. С другой стороны в Европе действительно растет спрос, что не может не влиять на цены.
Кроме того, по словам Гюлумяна, есть данные, что растут убытки, однако эту информацию подтвердить сложно, потому что многие киберинциденты не выходят в публичное поле. Рост убыточности сказывается на доступном объеме страхового покрытия и стоимости страхования.
«Некоторые международные страховщики исключают из покрытия или ограничивают меньшим лимитом убытки, связанные с вредоносным программным обеспечением, а именно с вирусами-вымогателями и шифровальщиками», – поясняет, в свою очередь, Грузинцев, согласившись с мнением Гюлумяна.
В России сложно оценить, есть ли рост цен. «Так как продажи штучные, не получается разделить – в данном конкретном случае произошло удорожание полиса или стоимость сложилась из-за индивидуальных особенностей компании. Невозможно сделать статистически значимую выборку похожих компаний в одной сфере», – объяснил эксперт. В любом случае, проблема с киберстрахованием в России вовсе не в ценообразовании. Низкий спрос параллельно с невысокими аппетитами самих страховщиков, а также ограниченные лимиты у «дочек» иностранных страховщиков сдерживают развитие этого вида в нашей стране.
В России имели место масштабные киберинциденты, однако они не привели к всплеску спроса, отмечает Гюлумян. Даже видя конкретные кейсы, многие компании уверены: у нас все по-другому и такого не случится. Самые передовые банки полагаются на свои меры безопасности. Однако, граничений в законодательстве, которые мешали бы киберстрахованию, тоже нет поэтому страхование в этой сфере будет развиваться поступательно, не скачком, считает эксперт.
Другие эксперты также не ожидают серьезных изменений на российском рынке киберстрахования в ближайшем будущем. «Киберстрахование продолжает оставаться в стадии жесткого рынка. Снижаются аппетиты страховщиков и емкости, растут тарифы, а клиентам все сложнее и сложнее найти качественное возмещение для своих рисков», - резюмировал Чичкан.
Кстати
По данным Zecurion Analytics, число утечек данных компаний за 2020-й выросло в 2-3 раза по сравнению с годом ранее. В исследовании организации по кибербезопасности DeviceLock говорит о росте на 30%.
Автор: Рита РОЙЗЕН
Источник: Финансовая газета