ОБЗОР: Страховщики тестируют отраслевой инструментарий в надежде создать новый стандарт выплат по рискам утечки персданных
Участники страхового рынка, регуляторы и законодатели пока не смогли определить будущий контур нового для РФ вида бизнеса — вмененного страхования ответственности операторов, работающих с персональными данными граждан, за их утечку. Однако, эта тема стала одной из заметных в обсуждениях на уральском форуме "Кибербезопасность в финансах". В то же время, благодаря форуму в ходе дискуссии обозначился целый ряд проблемных моментов и развилок в подходах к решениям. Быть ли вообще такому виду страхования в России — пока не решено, но интерес к теме очевиден.
Возможность введения в стране такого вида страхования была заявлена в законопроекте, разработанном зампредом совета по развитию цифровой экономики при Совете федерации Артемом Шейкиным, документ проходит первый этап обсуждения. В части страхования он носит рамочный характер и декларирует саму возможность подобной защиты.
Законопроект предполагает создание механизма финансовых гарантий для возмещения ущерба, нанесенного гражданам в результате утечек персональных данных. В числе инструментов, которые могут обеспечить защиту граждан, упомянута возможность заключения договора страхования ответственности, альтернативой могут стать особые депозиты операторов или гарантии банков. Но сами фингарантии должны формироваться в обязательном порядке. Законопроект разослан для ознакомления регуляторам, в том числе в Банк России, Минфин, Роскомнадзор и Минцифры.
Обсуждение законопроекта в рамках уральского форума показало, что вопросов при разработке такого сценария, разного рода "развилок" — множество. Заинтересованные в решениях стороны сошлись на том, что тема социально-значимая и крайне актуальная, привычные в практике страхования подходы в оценке рисков, определении факта страхового события, порядка возмещения ущерба невозможно применить к киберрискам: либо они работают плохо, либо не работают совсем. Линия добровольного страхования ответственности в связи с реализацией киберинцидентов в РФ отсутствует. Тем не менее законодатели, страховое сообщество и Банк России пока отступать не намерены, они рассчитывают через год получить промежуточный результат первого "подхода к снаряду" и понимание возможностей практической реализации идеи.
Отвечая на вопросы журналистов в кулуарах форума, зампред Банка России Филипп Габуния, сообщил, что регулятор "готовит отзыв на этот законопроект. Закон гораздо шире тех, что мы сейчас обсуждаем, он затрагивает много вопросов".
Анализируя вопрос о формировании финансовых гарантий для участников рынка, а не только для финансовых организаций, ЦБ обращает внимание на необходимость альтернативных вариантов с тем, чтобы участники рынка "смогли продолжить свою работу".
"Нельзя будет заставить ни страховую компанию, ни банк предоставить финансовое обеспечение, если гарант считает, что в компании все плохо (с кибербезопасностью — ред.). Мы говорим, что здесь начинает работать экспертиза. Если финорганизация боится рискнуть деньгами, там все плохо. Такая предварительная экспертиза "заменяет контролера государственного". Но здесь "надо быть очень аккуратным с учетом того, что у нас нет широкой практики добровольного страхования киберрисков. В начале 2000-х годов, когда внедрялась практика ОСАГО, была "обкатка" на добровольных договорах страхования ответственности автовладельцев, было от чего оттолкнуться. Здесь мы видим огромное количество нюансов. Если и начинать страхование ответственности операторов за утечку данных, то с каких-то лимитированных историй".
ЛИМИТИРОВАННАЯ ИСТОРИЯ
Именно такой вариант предложил разработать Всероссийский союз страховщиков (ВСС). При этом, как пояснил журналистам президент ВСС Евгений Уфимцев, страховщики видят данный вид бизнеса как вмененное страхование. Глава ВСС полагает, что по аналогии с обязательным видом страхования ответственности владельцев опасных объектов (ОСОПО) выплаты могут производиться по таким киберполисам по специальной утвержденной правительством таблице в зависимости от тяжести ущерба.
"Одно дело, когда просто утекли данные о телефонах, другое — когда произошла утечка чувствительных медицинских данных", — сказал Уфимцев. Третье - когда мошенники, воспользовавшись данными, списали средства со счетов граждан, то есть нанесли реальный финансовый ущерб. "Люди, которые хотели бы сами расширить такую защиту, могли бы добровольно приобретать дополнительно полисы страхования от ущерба в результате кибератак".
При этом, подчеркнул Уфимцев, "страхование ответственности — только часть комплекса мер по обеспечению киберзащиты организаций и предприятий. Сначала страхователи должны обеспечить контур кибербезопасности внутри компании. "В настоящее время экспертами как раз обсуждаются подходы к повышению уровня защиты от кибератак, создаются стандарты и методики обеспечения такой защиты. Страхование может дополнить, но не заменить все эти меры", — подчеркнул Уфимцев.
По его данным, объемы сборов по страхованию киберрисков в РФ увеличились более, чем на 16% в 2023 году по сравнению с 2022 годом и достигли 900 млн рублей против 750 млн рублей.
ТРЕНД НА ЗАЩИТУ АКТИВОВ
Глава рабочей группы ВСС по киберрискам, директор по рискам компании "Сбербанк Страхование" Владимир Новиков в ходе выступления на форуме и в рамках общения с журналистами в его кулуарах отметил, что в эту группу входят представители 15 страховщиков, но только 6 компаний имеют практику добровольного страхования киберрисков. При этом 95% запросов на добровольное страхование киберрисков связано с желанием юрлиц защитить собственные активы или риски перерыва в производстве вследствие кибератак. Запроса на страхование ответственности за ущерб третьим лицам практически нет. "Сбербанк Страхование" разработала и продвигает программу комплексной защиты, которая включает страхование ответственности.
Новиков добавил, что самый высокий интерес к киберстрахованию проявляют компании — "отличники", у которых информбезопасность на высоте. Без надлежащей защиты остаются малые и средние предприятия, стесненные в финансах на обеспечение киберзащиты, специальная программа разработана страховщиком специально для них.
В защите активов от кибератак заинтересованы представители самых разных отраслей. Например, производители мясных продуктов или пива, поскольку кибератаки могут привести к остановке производства, порче сырья, на птицефабриках перебои с электричеством могут привести к гибели поголовья, сообщил на форуме президент ВСС.
"Промышленные предприятия страдают от различных кибератак. Атаки бывают разные. Это могут быть специальные программные средства, которые шифруют либо данные, либо информационные системы, а потом требуют выкуп за то, чтобы восстановить работоспособность того или иного предприятия", — привел примеры Новиков.
По его словам, "страхование киберрисков считается самым молодым видом страхования в мире, его история насчитывает 20-25 лет с момента выписки первых осознанных полисов на эту тему. В России мы последние 5-6 лет активно занимаемся этим видом страхования".
ВСС с момента создания рабочей группы занимался разработкой документов и методик, которые "любой российский страховщик, если он хочет, может использовать для формирования своего портфеля киберстрахования."Правда, дальше останется сложная задача, как найти специалиста, который может им следовать. Тех, кто разбирается в этом виде страхования, крайне мало".
Таким образом, по словам Новикова, в основном российское добровольное киберстрахование разбирается с реальным имущественным ущербом от кибератак. За утечку персональных данных перед потребителями никто ответственности не несет. Те операторы, которые допустили такие утечки, могут подвергаться штрафам, но они идут в пользу государства.
Конструкция законопроекта сенатора Шейкина, как показал опрос "Интерфакса" участников страхового рынка, в целом соответствует российской практике вмененного страхования. Здесь для страхователя заключение договора происходит в силу обязанности формировать фингарантии, но страховщик может отказаться от заключения такого договора, если считает риски слишком большими, а главное — непрозрачными. Ценообразование во вмененных видах страхования устанавливается рынком (при обязательном страховании — регулятором). Таким образом, характер договора фингарантий для широкого круга страхователей оказывается обязательным, а практика заключения договоров страхования — массовой, поскольку банковские инструменты обходятся страхователю гораздо дороже или требуют отвлечения средств. Полисы страхования ответственности оказываются как правило выгоднее.
ОТ ЧЕГО СТРАХУЕМ ГРАЖДАН?
Генеральный директор АО "Национальная страховая информационная система" Николай Галушин в ходе дискуссии на круглом столе уральского форума сообщил, что IT-дочка ЦБ становится полноправным оператором общероссийской базы данных по страхованию, в том числе по договорам ОСАГО в этом году. Он отметил, что в тех странах, где страхование киберрисков успешно развивается, действует принципиально иная модель построения ответственности операторов.
"Там нет ни обязательного, ни вмененного страхования. Но есть такие нормы ответственности, такие жесткие решения судов по компенсациям по допущенным утечкам, что руководители добровольно стремятся обезопасить себя и свои компании от финансовых санкций по решениям судов. Они заключают договоры страховой защиты в добровольном порядке", — уточнил Галушин "Интерфаксу".
Между тем, обсуждение вариантов организации страхования ответственности за утечку данных в РФ показывает чрезвычайную сложность в решении предложенной задачи. И пока не определен даже круг операторов, которые должны были бы страховать свою ответственность за утечки. Это банки, страховщики, медучреждения, предприятия интернет торговли, маркетплейсы?
Кроме того, как определить сам факт ущерба или его размер, если в значительной степени речь идет о моральном вреде, как установить градацию? Утекла база телефонов граждан — неприятно, медицинские данные — крайне неприятно, мошенники списали средства с банковской карты — это уже вообще другое дело, не моральный, а реальный ущерб. В каком объеме полис защиты ответственности может покрывать такой ущерб?
В ходе обсуждения на уральском форуме Шейкин высказал предположение — лимит страхования ответственности по каждому киберинциденту в будущем договоре может составлять порядка 50 млн рублей, также может применяться шкала лимитов в зависимости от того, какому числу граждан может быть нанесен ущерб.
"Проблема не в 50 или 100 млн рублей покрытия, а в необходимости определиться: что вообще мы страхуем", — сказал Габуния журналистам, комментируя тему. При этом вариант "факт утечки — факт выплаты" не работает как, к примеру, с выплатами при задержке авиарейсов, считает он.
"Опоздал самолет с вылетом — факт задержки рейса фиксируется автоматически, он бесспорен. А здесь надо МВД привлекать для установления факта страхового события, очень много тонких моментов, вся сложность в деталях. Нельзя допустить создания практики, при которой все застрахуются по 1 тыс. рублей, чтобы полис повесить на стенку. К сожалению, такие практики на рынке есть", — сказал Габуния.
Вместе с тем он добавил, что "ЦБ признает пользу вмененного страхования, если оно внятно прописано. Такой вид защиты может существовать". Но решение о введении нового вида страхования должно пройти через широкую дискуссию и быть коллективным, полагает зампред Банка России.
ПОИСК ИСТОЧНИКА ЗЛА
Эксперт в области киберрисков в беседе с агентством выразил сомнение в возможности определить четко границы конкретной утечки персональных данных. "Дело в том, что в базах персональных данных, собранных с учетом таких утечек, они смешиваются, к старым добавляются новые, одни данные наслаиваются на другие, создаются коктейли, в которых уже вообще сложно понять, откуда что взялось", — сказал он.
Проблема в том, что "огромный массив наших персональных данных давно в интернете, и мы сами этому способствовали, предоставляя их разным операторам", — развил тему Галушин. Как определить, "был ли нанесен ущерб в результате последней утечки или потому, что человек сам эти данные внес ранее", задался он вопросом в беседе с агентством.
Говоря о принципиальном аспекте осуществления страховых выплат за моральный вред гражданам, он сообщил, что "в практике страховщиков есть примеры выплат за моральный вред по договорам страхования ответственности врачей. Но такие выплаты осуществляются только по решению судов".
Допустим, если подобная выплата невелика, составляет 5-10 тыс. рублей, страховщики ответственности смогут платить просто по закону, продолжил он. Однако, если пострадавших много, а лимита ответственности по страховому договору финобеспечения не хватает для удовлетворения всех требований пострадавших граждан, то даже такие небольшие выплаты будут пропорционально уменьшены. Возникает вопрос, какова реальная ценность такого способа финансовой защиты. (Практика пропорционального уменьшения выплат потребителям по договору вмененного страхования ответственности туроператоров показывает, что потребитель может получить 5-10% стоимости тура в случае банкротства туроператора, если лимит выплат по договору защиты ответственности небольшой, а пострадавших от действий туроператора слишком много — ред.).
ПУТЬ К СЕБЕ
Отдельная тема — определение ответственности оператора-страхователя за утечку данных. Допустим, выплаты гражданам следуют по закону, без определения вины компании. Однако затем встанет вопрос о праве страховщика на предъявление регрессных требований в объеме выплаченных средств, если окажется, что страхователь допустил грубые просчеты в организации киберзащиты персональных данных, или у него внутри работал пособник воров.
В этой связи особый интерес на форуме вызвал рассказ Новикова о том, что по итогам анализа уже реализовавшихся киберинцидентов, которые уже разбирала компания, "90% случаев не дошли до выплат". Во всех этих случаях лица, имевшие отношение к самой компании, умышленно вредили ей, а такие случаи стандартно не покрываются страхованием, в отличие от непреднамеренных ошибок персонала.
До выплат не дошло, так как, по словам Новикова, страхователи сами отказывались от страховых выплат и направляли в "Сбербанк Страхование" "благодарственные письма за то, что им помогли выявить причинно-следственные связи, и тех, кто имеет к инцидентам отношение".
По данным, приведенным Новиковым на форуме, в 2023 году количество кибератак увеличилось в РФ на 76% по сравнению с 2022 годом, а в 2022 году к 2021 году рост показателя составлял 56%. "Это взрывной рост потенциальных угроз", — сделал он вывод.
Подытоживая дискуссию по теме страхования рисков утечки персональных данных на форуме, сенатор Шейкин заявил, "что с дороги не свернет". Совет Федерации, по его словам, готовится вынести на широкое обсуждение разработанный им законопроекта 22 февраля этого года. Там уже могут обсуждаться конкретные контуры создания системы финансовых гарантий гражданам за ущерб от утечек персональных данных.