ЦБ определил ряд важных аспектов при создании в РФ системы страхования ответственности за утечку персональных данных

Банк России поддерживает проработку варианта создания в РФ системы вмененного страхования ответственности операторов, работающих с персональными данными, за их утечку, сообщил глава департамента ЦБ Илья Смирнов, выступая 22 февраля в Совете Федерации на круглом столе "Нормативно-правовые аспекты становления и работы института страхования в области киберрисков" в рамках заседания секции "Обеспечение технологического суверенитета и информационной безопасности Российской Федерации".

ЦБ определил ряд важных вопросов, на которые предстоит дать ответы в ходе доработки инициированного сенаторами законопроекта о введении в РФ формы финансовых гарантий в виде страхования ответственности операторов за утечку персональных данных граждан. Среди этих вопросов - от каких конкретно рисков страхуются граждане, какие риски не покрываются страхованием, какой принцип заложить при расчете ущерба, как обеспечить доступность страхования, какие органы будут контролировать исполнение обязанности страхователями по формированию гарантий и как избежать рисков мошенничества.

При этом, по словам Смирнова, конкретные параметры такого рода договоров страхования могут быть разработаны саморегулируемой организацией на страховом рынке - Всероссийским союзом страховщиков (ВСС).

Вместе с тем, "граждане должны понимать, от чего они защищены, нельзя отдавать этот вопрос на откуп страховщикам", считает он. Кроме того, в законопроекте должен быть сформулирован "не только перечень рисков, но и исключения из страхового покрытия при наступлении ответственности по договору страхования ущерба при утечке персональных данных.

Представитель ЦБ обратил внимание на необходимость для законодателей определиться с тем, должна ли ответственность операторов наступать по факту утечки персональных данных или ущерб должен рассчитываться с учетом каждой строки записей потерянных персональных данных.

Вместе с тем, говоря о вмененном характере обсуждаемого вида страхования, Смирнов счел необходимым отметить, что страховщики могут отказываться от заключения таких договоров страхования ответственности, если не смогут оценить уровень кибер-защиты страхователя как достаточный (вмененные виды страхования предусматривают возможность отказа страховщика в приеме рисков на страхование - ИФ).

"Участникам отрасли было бы правильно создавать свой компенсационный фонд в рамках собственной саморегулируемой организации, который мог бы покрывать риски, не охваченные страхованием", - полагает Смирнов.

"Кроме того, целесообразно определить порядок контроля за этой сферой и периодичность его осуществления. Надо определить в законопроекте, будут ли эти функции возложены на Роскомнадзор, Минцифры или МВД", - добавил представитель ЦБ.

Глава департамента Банка России считает правильным предусмотреть условия, которые не порождали бы злоупотребления со стороны лиц, которые настроены на получение неправомерных страховых выплат. Это может случиться, если желающие превратить такие выплаты в источник дополнительного дохода начнут "распылять свои персональные данные" по компаниям с тем, чтобы получить выплату, если где-то риск сработает.

Один из ключевых вопросов введения страхования киберрисков - должна быть причинно-следственная связь между утечкой данных и причиненным этой утечкой ущербом, считает генеральный директор Национальной страховой информационной системы (НСИС) Николай Галушин. Он подчеркнул, что по закону страхование не может покрывать штрафы, накладываемые на компании за утечки персональных данных.

СТРАХОВКА ДЛЯ ЛИДЕРОВ?

Со своей стороны, заместитель руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Милош Вагнер предложил ограничить круг операторов, которым следует страховать ответственность, только крупными игроками рынка, работающими с объемами "от 100 тысяч записей" персональных данных. Это позволит избежать дополнительной нагрузки на небольших операторов данных, в том числе на медицинские учреждения и детские сады. По мнению Вагнера, в случае страхования ответственности "речь может идти об ответственности и убытках частного бизнеса".

При этом он добавил, что вопрос об ущербе от кибератак гораздо шире, чем ущерб только от утечки персональных данных. Однако законопроектом сознательно тема сужена до ущерба от утечки данных.

Вице-президент "Ростелекома" (MOEX: RTKM) по информационной безопасности Игорь Ляпунов считает, что появление подобного законопроекта могло бы стать "колоссальным, революционным шагом на пути развития системы ответственности операторов". Он напомнил, что законопроект, разработанный Советом Федерации о создании системы финансовых гарантий для возмещения ущерба от утечки персональных данных, предполагает несколько вариантов источников компенсации. В том числе, согласно проекту, это могут быть сформированные оператором денежные фонды или банковские гарантии. "Любые формы, кроме страхования, связаны фактически с изъятием средств из бизнеса", - считает Ляпунов. Вместе с тем введение требования о формировании финансовых гарантий "стимулирует операторов к созданию надежной собственной системы киберзащиты".

От уровня обеспечения информационной безопасности "зависит стоимость такой страховки" для оператора. Это означает необходимость разработки "соответствующей методики" оценки уровня кибербезопасности в компании, потребует формирования института, который "может осуществлять независимую оценку кибербезопасности" предприятия, а также системы квалификации независимых оценщиков в этой сфере.

В ходе обсуждения участники отметили тот факт, что в большинстве известных в последнее время в РФ случаев утечки данных происходили не у крупных операторов, чью ответственность предполагается страховать, а у небольших компаний. В первую очередь утечки персональных данных отмечались в группе у сервисов доставки. Эксперты в ходе обсуждения выразили опасение, что в случае страхования ответственности и рисков только ведущих операторов в РФ часть рисков, чувствительных для граждан, окажется незастрахованной.

Вместе с тем президент ВСС Евгений Уфимцев привел пример закона об обязательном страховании ответственности владельцев опасных объектов (ОСОПО) по которому страхуются как риски гидроэлектростанций, так и лифтов в домах.

ЧТО ВАЖНО СТРАХОВЩИКАМ

Глава ВСС обратил внимание, что построении системы страхования ответственности оператора за утечки данных "необходимо четко определить лимиты страховых сумм, они должны быть зафиксированы законом". Это требуется для "создания резервов на выплаты и при определении тарификации по данному виду страхования".

При этом Уфимцев полагает важным создание механизма специальной аккредитации операторов, которые по закону должны будут страховать свою ответственность. Сами эти операторы должны быть связаны административной ответственностью за утечки данных". "Краеугольным камнем для определения политики страховых выплат станет решение о том, считать ли страховым событием факт утечки персональных данных или обращение граждан о нанесении ущерба", - продолжил Уфимцев. По его словам, "ВСС готов участвовать в разработке соответствующих предложений в развитии законопроекта". Однако при этом необходимо определиться заранее по ряду позиций.

"Во-первых, должен ли покрываться выплатой фактически причиненный ущерб или же нужно определить таблицы выплат по каждому случаю. Во-вторых, необходимо решить, чья ответственность страхуется - оператора персональных данных или той организации, которая обрабатывает эти данные. В-третьих, должна быть классификация организаций по категориям хранимых данных, поскольку ущерб от их утечки может быть принципиально разным (медицинские данные, финансовые и другие). В-четвертых, необходимо установить лимиты и страховые суммы по каждому событию", - обратил внимание президент ВСС.

По оценке главы рабочей группы по киберрискам ВСС Владимира Новикова, совокупная емкость по данному виду страхования, которую могут предоставить российские страховщики, "не превышает 1 млрд рублей". Ряд экспертов страхового рынка считает, что емкость может быть больше - 2-2,5 млрд рублей. Но и это не обеспечит достаточного ресурса для покрытия рисков по страхованию ответственности за утечки персональных данных, если выплаты будут производиться по факту утечки. Так, в ходе обсуждения приводился пример, согласно которому ущерб от одного среднего масштаба случая утечки персональных данных может достигать 12,25 млрд рублей, если размер компенсации по каждой строке записи будет определен в 5 тыс. рублей.

В ходе обсуждения на круглом столе в Совете Федерации в четверг также поднимался вопрос о необходимости закрепить право страховщиков на получение информации об утечках персональных данных в положениях законопроекта, поскольку в настоящее время, доступ к такой информации имеют только госорганы. Встанет на повестку дня еще один вопрос - о возможности для страхователей относить расходы на заключение договоров страхования киберответственности на затраты. Пока такие расходы операторы, согласно действующему законодательству, должны осуществлять из прибыли.

"Дискуссия по такой теме, по таким значимым темам, как эта, где речь идет о защите интересов общества, в целом требует максимально широкого обсуждения", - прокомментировал итоги круглого стола журналистам Смирнов. Он обратил внимание на то, что в этом обсуждении должны быть услышаны позиции представителей всех заинтересованных сторон, а не только регуляторов, в том числе Банка России.

Как сообщалось, законопроект о защите от киберрисков подготовил зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин, документ разослан регуляторам, в том числе в Банк России , Минфин, Роскомнадзор и Минцифры и проходит этап обсуждений.