По мере того как юридические последствия пандемии COVID-19 сходят на нет, страховой рынок всё чаще обращает внимание на другой, не менее системный и потенциально разрушительный риск — киберриски.
Согласно оценке Аарона Ле Маркера, партнера юридической фирмы Stewarts и одного из ведущих специалистов по спорам между страхователями и страховщиками, именно массовый киберинцидент может стать следующим кризисом, аналогичным пандемии, с масштабными убытками, волной страховых исков и затяжными судебными разбирательствами.
Ле Маркер был юридическим представителем в нескольких резонансных делах по спорам, связанным с выплатами по страхованию прерывания бизнеса во время COVID-19, включая иски Stonegate против MS Amlin и ExCeL London против RSA. Он считает, что уроки пандемии должны быть извлечены и применены к киберстрахованию — особенно в условиях, когда формулировки полисов ещё не были проверены крупным системным событием.
Эксперт объясняет, что масштабная кибератака может затронуть одновременно целые отрасли, страны и даже глобальные цепочки поставок. Подобные события уже происходили: в прошлом году из-за сбоя в CrowdStrike пострадали тысячи компаний, а в этом — британские розничные сети. Эти прецеденты показывают, как быстро и синхронно может парализоваться бизнес на национальном или международном уровне. В случае, если последствия отразятся на десятках или сотнях страхователей, каждый с идентичной формулировкой полиса, масштаб споров о страховом покрытии будет сопоставим с ситуацией 2020–2021 годов.
Одной из особенностей киберстрахования Ле Маркер называет его отличия от классических имущественных полисов. Киберполисы, как правило, не содержат традиционных подлимитов и чаще всего ориентируются на чистую прибыль, а не валовую. Это меняет не только финансовые ориентиры при урегулировании убытков, но и создает новые юридические вызовы. Если для имущественных полисов характерна сложная формула расчета убытков, то в киберстраховании подход зачастую более прямолинейный — но от этого не менее спорный. Формулировки вроде «чистый убыток, вызванный киберсобытием» допускают широкую интерпретацию, что влечет за собой неопределенность и риск противоречивой судебной практики.
Кроме того, правовая неопределенность усиливается из-за различных подходов к исключениям. Речь идет прежде всего об исключениях, связанных с кибервойнами и атаками, якобы спонсируемыми государствами. По словам Ле Маркера, с момента, когда Lloyd’s of London обязал включать такие исключения в киберполисы, рынок наполнился формулировками, различающимися по смыслу, объему и применимости. В случае крупной атаки установить, имело ли она государственную поддержку, крайне трудно — события подобного рода по определению скрыты от глаз общественности. Тем не менее, если атака будет квалифицирована как «государственная», покрытие может быть полностью или частично аннулировано.
Юрист также обращает внимание на слабые места в полисах, связанных с незлонамеренными сбоями — такими, как технический инцидент CrowdStrike. Хотя такие события не попадают под исключения кибервойн, они всё же не всегда покрываются стандартными полисами, особенно если сбой произошел не в инфраструктуре самого страхователя, а у поставщика или клиента. Это поднимает важный вопрос об объеме покрытия в рамках цифровых цепочек поставок. Сегодня ни один бизнес не функционирует в изоляции: сбой у одного контрагента способен вызвать каскадный эффект на всю систему.
Особую сложность представляют ситуации, где имеет место сложная цепочка причин, ведущих к убыткам. Именно так было в делах о страховании убытков из-за COVID-19, где суды годами спорили о том, что следует считать «непосредственной причиной» убытков. В случае с киберрисками, где технические детали, цепочки передачи данных и ответственность сторон часто переплетены, такие споры, по словам Ле Маркера, неизбежны.
Юрист подчеркивает, что рынок киберстрахования, несмотря на свою бурную экспансию, остаётся юридически не протестированным. Хотя число полисов и заявленных претензий растёт, крупные системные события пока урегулировались в индивидуальном порядке — по договоренности сторон, а не в суде. Но как только на рынок обрушится десятки тысяч претензий из-за одного киберинцидента, такие подходы перестанут быть возможными, а разногласия по трактовке страхового покрытия перейдут в публичную плоскость.
По мнению Ле Маркера, судебные решения по делам, связанным с COVID-19, могут служить отправной точкой, но не универсальным решением. Киберполисы существенно отличаются по структуре и целям, поэтому новый виток споров потребует иного правового подхода.
Таким образом, киберриски — это не только технологический вызов, но и юридическое испытание для всей индустрии страхования. Бизнесу стоит не просто страховать цифровые риски, но и внимательно изучать содержание полисов, добиваться ясности в формулировках и готовиться к тому, что именно киберстрахование станет новой ареной конфликтов между страхователями и страховщиками в ближайшие годы.
Подготовлено порталом Allinsurance.kz