Наталья Касперская о проблематике страхования ИБ-рисков в России

Одна из таких тем — это страхование ИБ-рисков. Наталья Касперская выступила спикером на сессии «Киберстрахование: когда ждать прорыва?» 23 мая.

Несмотря на постоянное увеличение числа кибератак и ужесточение регуляторных требований, рынок киберстрахования в России развивается медленно. При желании покрыть страховые риски компании сталкиваются с непрозрачными условиями, трудностями в оценке ущерба и неопределенностью выплат. Страховым компаниям не хватает технологической экспертизы, что негативно сказывается на качестве страховых продуктов. Дискуссия участников сессии сфокусировалась на том, как выйти из этой ситуации.

Наталья Касперская рассказала, что идея развивать киберстрахование в России продвигается, в частности, из-за изменений в законодательстве — введены оборотные штрафы за утечку данных, накладывается ответственность, вплоть до уголовной. Естественно, что в этих условиях компании стремятся застраховать риски и с кем-то его разделить, однако на пути развития страхования ИБ-рисков есть очевидные барьеры.

Опыт из практики

Наталья Касперская отметила, что идея страхования киберрисков в России не нова и привела примеры из своего многолетнего опыта работы в ИТ-индустрии.

Первая попытка реализации предпринята в начале 2000-х годов «Лабораторией Касперского». Реализации проекта помешало отсутствие понимания процесса оценки риска. Для страховщика важно точно оценить риски и учесть все переменные. К примеру, если в автостраховании можно учесть стоимость автомобиля, опыт водителя и статистику, то в сфере кибербезопасности этого достичь не удалось.

Вторая попытка была — опыт ГК InfoWatch в 2015 году. На тот момент удалось найти страховщика-партнера и сформировать подход к страхованию данных, который дополняется использованием средств защиты информации InfoWatch. Однако и этот проект реализовать не удалось по все той же причине.

Барьеры на пути киберстрахования

По словам Натальи Касперской, главная проблема — это отсутствие механизма оценки рисков. Даже на примере одного клиента потеря данных может обойтись в сумму от нескольких тысяч рублей до миллиарда — это слишком большой разброс для страховой компании. Оценка стоимости информации и рисков очень вариативна. Даже ГК InfoWatch с богатым опытом экспертно-аналитической работы сейчас не располагает точными инструментами их оценки.

Спикер отметила, что любой профессионал из ИБ-отрасли понимает — на 100% защититься от ИБ-рисков нельзя. Помимо действий внешних злоумышленников, могут быть действия внутренних нарушителей — как злонамеренные, так и по неосторожности. Всегда существуют риски сбоев оборудования, которые могут приводить к потере информации. Всю ИТ-инфраструктуру на 100% контролировать невозможно.

Какие могут быть подходы?

К оценке рисков можно привлечь независимых экспертов или центр компетенции. Однако они не возьмут на себя ответственность за оценки и прогнозы, которые могут кардинально разниться с ситуацией на практике.

С другой стороны, можно застраховать время простоя компании, вызванное киберинцидентом. Этот параметр можно посчитать. Однако такое страхование не учитывает главное — риск утечки информации и его последствия.

По мнению Натальи Касперской, ни в одном из этих случаев рынок киберстрахования не будет развиваться.

Итог

Подводя итог, Наталья Касперская рассказала, что рынок ИБ-страхования не начнет активное развитие, пока не будет точного механизма и методик подсчета и оценки рисков, калькуляции страхового продукта. Сейчас он отсутствует и предпосылки к его появлению не наблюдаются.