В начале ноября компания «Альянс» представила новый продукт по страхованию киберрисков – Allianz Cyber Protect.
СК «Альянс» — дочернее российское предприятие холдинга Allianz, основанного в Мюнхене и действующего на международном рынке страхования с 1890 года. На российский рынок Allianz вышел в 1990 году, основав компанию «Ост-Вест Альянс» (позднее ЗАО «САК «Альянс»). В 2001 году Allianz приобрел 45% акций компании РОСНО, а в 2007 году стал ее основным акционером. Сейчас в Allianz работает более 144 тыс. сотрудников по всему миру, которые обслуживают около 85 млн клиентов в 70 странах.
Результаты опроса
Недавно Allianz провел собственное исследование, в рамках которого ставилась задача выяснить степень защищенности российских компаний от киберугроз. Участие в исследовании приняли более 120 крупнейших компаний из различных секторов экономики, включая ИТ, промышленное производство, транспорт и др.
Результаты опроса показали, что 67% компаний не готовы к отражению потенциальных кибератак, а 53% не имеют антикризисного плана на случай взлома или утечки данных либо у них есть фиктивный план для формального соблюдения требований регуляторов. 38% опрошенных признали, что не обладают достаточным бюджетом на внедрение самых современных решений в сфере ИТ-безопасности, а 28% респондентов сообщили, что возможность приобрести последние технические новинки не дает им стопроцентной гарантии защиты от взлома ИТ-систем.
Эксперты Allianz отметили также, что развитие современных цифровых технологий ведения бизнеса и особенно переход к облачной инфраструктуре повышают риск нарушения конфиденциальности и защиты данных. Компании все чаще сталкиваются с необходимостью нести ответственность перед третьими лицами, с перерывами в предпринимательской деятельности, нормативно-правовыми последствиями и ущербом репутации. 30% опрошенных подтвердили, что уже становились жертвами кибератак. Прогнозы показывают, что число атакованных будет увеличиваться, так как надежно защитить ИТ-ресурсы в ходе цифровой трансформации бизнеса становится все сложнее.
В этих условиях защитная стратегия может строиться на основе двух подходов. Первый – это постоянный анализ технологических и бизнес-процессов для выявления критичных точек. Второй – моделирование угроз для них с последующим переходом к управлению киберрисками.
Экспертами рассматриваются четыре способа минимизировать такие риски. Во-первых, риск можно полностью исключить, отказавшись от технологии или процесса, которые его провоцируют. Но это, по сути, означает отказ от развития бизнеса и продолжения конкурентной борьбы. Другая тактика предусматривает снижение выявленного риска за счет приобретения и установки соответствующих средств защиты, что не снимает проблему полностью, но снижает вероятность инцидентов информационной безопасности. Третий вариант – принять возможный риск, но нивелировать его вероятные последствия с помощью резервирования критичного производственного процесса. Для этого потребуются значительные инвестиции, что приведет к росту себестоимости продукции. И четвертый вариант — киберриски можно передать сторонней организации, на аутсорсинг или застраховавшись от них.
Полис уже доступен
Найджел Пирсон, руководитель направления страхования от киберрисков в Allianz, объявил, что Россия стала 19-й страной, где компания начинает предоставлять услуги страхования от киберрисков.
«До 2013 года клиенты тоже могли застраховаться от таких рисков, но в составе других полисов. Теперь сформировались условия для запуска отдельной услуги», — пояснил он.
В Allianz напомнили, что пионером в страховании от киберрисков являются США, где подобные услуги предоставляются с середины 1990-х годов. Толчком к развитию данного рынка послужил принятый в свое время законодательный акт, обязывающий американские компании публиковать сведения обо всех произошедших у них инцидентах в области информационной безопасности. Это вынудило предприятия принять дополнительные меры для защиты бизнеса. В результате на американском рынке уже более 50 страховых компаний предлагают полисы страхования от киберрисков. Совокупный объем страховых премий, полученных ими в прошлом году, составил более 2,5 млрд долл. В Европе показатели скромнее – объем рынка оценивается в 250-500 млн евро. Но и в Старом и в Новом свете эти цифры ежегодно увеличиваются более чем на 10%.
Ожидается, что в мае 2018 года в ЕС будет принят законодательный акт о защите данных, аналогичный действующему в США. Это приведет к еще большему оживлению на рынке страхования киберрисков. Готовящийся акт будет иметь экстерриториальный характер, поэтому его действие распространится и на российские компании, ведущие свои операции на территории Евросоюза.
Весь мировой рынок страхования от киберрисков Пирсон оценивает в 3-3,5 млрд долл. и ожидает, что к 2020 году тот вырастет до 10 млрд, и тогда в большинстве стран мира полис, защищающий от преступлений в сфере ИТ-безопасности, станет стандартным предложением сраховщиков.
Помимо законодательных мер, среди факторов, стимулирующих рынок страхования киберрисков, представитель компании назвал распространение облачных сервисов, ведь если злоумышленники успешно атакуют ЦОД провайдера, одновременно может пострадать множество его клиентов. Кроме того, беспокойство страховщиков вызывают участившие атаки на промышленные объекты и технологические процессы предприятий.
Пирсон отметил, что рынок еще недостаточно зрелый и условия страхования в разных компаниях сильно отличаются. Но есть три области, которые страховщики стараются покрыть: возмещение вреда третьим лицам, пострадавшим от инцидента информационной безопасности; убытки самого страхователя, в том числе утрата прибыли и затраты на восстановление прерванных бизнес-процессов до уровня, предшествующего нападению; потери, связанные с непреднамеренным нарушением стандартов и требований законодательства в результате инцидента.
Три программы страхования
Страховой полис Allianz Cyber Protect покрывает все перечисленные области ответственности, а кроме того, гарантирует возмещение затрат на организацию работы сторонних экспертов в области информационной безопасности, которые помогут клиенту установить причину утечки данных или недоступности его информационной системы. Также полис покрывает сопутствующие расходы на реагирование в кризисной ситуации – антикризисный PR, услуги контактного центра для уведомления пострадавших и др.
Однако страхователь не сможет возместить убытки от перерыва в производстве, если в компании не происходило полной или частичной недоступности компьютерных систем, а зафиксирована лишь некая утечка данных. Ущерб не возместят и в случае использования на предприятии нелицензионного софта. Полис не покрывает риски, связанные с отключением электричества или внешних телекоммуникационных каналов. Сбои облачных сервисов, предоставляемых сервис-провайдерами, также не являются страховым случаем. Впрочем, для клиентов облачных ЦОД у «Альянса» есть отдельное предложение – расширение действующего полиса в двух вариантах. Клиент может застраховать ущерб от перебоев всех своих облачных поставщиков (без указания, каких именно), и тогда покрытие составит не более 5 млн евро. Если же в полисе будет указан конкретный поставщик, возможность застраховаться от киберрисков будет рассматриваться отдельно, не исключено и полное возмещение ущерба от инцидентов на его стороне. Но в обоих случаях стоимость полиса будет увеличена.
Как пояснила директор департамента страхования финансовых линий СК «Альянс» Елена Озерова, клиентам предлагается три программы страхования: «Стандарт», «Премиум» и «Плюс». Каждая из них покрывает убытки страхователя в размере до 10, 50 и 100 млн евро соответственно. Цена полиса определяется индивидуально для каждого клиента. Это связано с тем, что статистики по инцидентам и выплатам еще не накоплено, и обоснованную методику расчета страховых тарифов пока разработать невозможно.
«Хотя страхование от киберрисков появилось далеко не вчера, мы понимаем, что развитие этого продукта на российском рынке потребует некоторого времени», — отметила Озерова.
Как сообщили в компании, за последние полгода к ним уже поступило несколько запросов от российских предприятий, пожелавших застраховать свои ИТ-активы от возможных инцидентов в области информационной безопасности.
