Турецких менеджеров по рискам и страхованию призвали по-новому взглянуть на свое страховое покрытие кибербезопасности после роста удаленной работы и, в частности, способности или иного покрытия реагировать на штрафы, наложенные государственными органами.
Лале Дефне Мете, Коксал Каплан и Серра Кая из ведущей стамбульской юридической фирмы Cetinkaya объяснили, что обычно предполагается, что ущерб, понесенный третьими лицами, и платежи, произведенные государственным учреждениям в результате кибератаки, покрываются страхованием профессиональной ответственности.
Но команда Cetinkaya указала, что статья 1404 Коммерческого кодекса Турции № 6102 (TCC) предполагает, что рискованно покрывать административные штрафы и любые другие санкции, налагаемые турецкими государственными учреждениями, такими как Управление по защите персональных данных и Агентство по надзору и банковскому регулированию через страхование кибербезопасности.
«Согласно статье 1404, страхование, покрывающее убытки в результате нарушения страхователем или застрахованным императивных правил, моральных ценностей, общественного порядка или прав личности, будет недействительным», — заявили юристы.
Юристы утверждают, что наложение административных штрафов и любых других наказаний предназначено главным образом как средство сдерживания, чтобы заставить компании действовать в соответствии с законами и правилами.
«Поэтому можно утверждать, что страховые полисы, покрывающие такие штрафы и пени, следует рассматривать как нарушение цели закона и нарушение общественного порядка. В связи с этим страхование ответственности, покрывающее штрафы и пени, может быть расценено как нарушение общественного порядка, и суды могут принять решение о признании договора страхования недействительным с момента его заключения», — заявила команда Cetinkaya.
Юристы пояснили, что в соответствии со статьей 1444 после заключения договора страхователь не может без предварительного согласия страховщика совершать какие-либо действия или сделки, приводящие к увеличению суммы возмещения.
В таких случаях страховщик может запросить дополнительную премию или расторгнуть договор в течение одного месяца со дня, когда ему стало известно о действиях страхователя, указали юристы.
«Если страхователь по небрежности совершает такое действие или операцию, влияющую на размер страхового покрытия, страховщик может потребовать уменьшения страхового покрытия в зависимости от степени вины. Если страхователь действовал умышленно, страховщик будет освобожден от своих обязательств по выплате. В связи с этим держатели полисов страхования кибербезопасности должны принимать технические, системные и административные меры в соответствии с рыночными стандартами против кибератак. Кроме того, программное и аппаратное обеспечение компании должно быть достаточным для защиты от таких атак», — продолжили юристы.
«Если страховая компания определит, что риск возник из-за небрежности компании, она может потребовать уменьшения страхового покрытия в зависимости от степени вины», — добавили они.
Менеджеры по рискам и страхованию в Турции и по всей Европе должны предоставлять все больше и больше информации об имеющейся у них защите и системах управления рисками в отношении кибербезопасности. Они могут только ожидать, что со временем это усилится.
Команда Cetinkaya посоветовала страховщикам провести более подробный анализ систем страхователей, прежде чем предлагать покрытие, из-за повышенного риска в последнее время.
Перед подписанием договора страхования кибербезопасности страховщик должен проверить компьютерные системы страхователя, программно-аппаратные комплексы, приложения и облачные системы.
Менеджеры по рискам и страхованию также должны будут работать со сторонними ИТ-фирмами, которые помогают страховщикам понимать и оценивать риски.
«ИТ-компании, работающие в Турции, все больше внимания уделяют предоставлению подобных аналитических услуг страховщикам. С точки зрения киберстрахования, сотрудничество с ИТ-компаниями, которые детально изучают системы компаний, ставит страховщиков в более безопасное положение», — заявили юристы.
Команда Cetinkaya отметила, что недавний резкий рост числа киберинцидентов и уязвимостей в сочетании с отсутствием правовой и нормативной ясности в отношении того, действительно ли покрывается риск и каким образом, требует гораздо большей оценки риска и усилий по управлению риском как со стороны страхователей, так и со стороны страховщиков.
«В связи с последними технологическими разработками и увеличением удаленной работы в результате пандемии Covid-19 обеспечение надежной кибербезопасности стало необходимостью. Компании во всем мире владеют большим объемом персональных данных, что потенциально подвергает их кибератакам, штрафам со стороны соответствующих органов и судебным искам со стороны клиентов и их персонала», — заявили они.
«До сих пор нет правовых норм, касающихся страхования кибербезопасности; поэтому как страховщики, так и страхователи должны знать о рисках… и убедиться, что они провели тщательную оценку и/или приняли дополнительные меры для снижения этих рисков», — заключила группа экспертов-юристов из Стамбула.
Подготовлено порталом Allinsurance.kz