Страховщики отмечают концентрацию киберрисков в сегменте малого и среднего бизнеса

Компании малого и среднего бизнеса работают в зоне повышенных рисков кибератак и особо уязвимы. Перечень рисков и способы страховой защиты от них анализировались в ходе совместной конференции Всероссийского союза страховщиков (ВСС) и "Деловой России" во вторник.

В сложившихся условиях бизнес все активнее использует IT-технологии, однако по сравнению с крупными предприятиями средний и малый бизнес не располагает достаточным числом специалистов по кибербезопасности, а также антикризисных планов на случай атак. Страховщики сформировали целый список рисков от кибератак в ходе анализа IT-защищенности среднего бизнеса.

Под угрозой

Под угрозой оказались производственные линии, кадровые службы, бухгалтерии, IT-подразделения. В числе киберрисков - утрата электронных данных и компьютерных программ, хищение интеллектуальной собственности, несанкционированное использование IT-ресурсов, вымогательство, а также причинение морального вреда третьим лицам, вреда жизни и здоровью третьих лиц или их имуществу, риск убытков из-за перерывов в производстве. Киберполисы, разработанные страховыми компаниями, покрывают большинство рисков, а также расходы на защиту клиента при атаке, включая судебные, транспортные издержки, расходы на перевыпуск банковских карт, на проведение расследования инцидента и другие затраты.

Сегодня беспокоит страховщиков "создание сотен фишинговых сайтов, которые пытаются получить персональные данные клиентов, используя рекламные и иные ссылки, предпринимаются попытки войти в личные кабинеты пользователей", сообщил директор по страхованию ответственности директоров, должностных лиц СК "Альянс" Вадим Михневич.

Заместитель генерального директора компании "Сбербанк страхование" Владимир Новиков отметил три элемента активов, которые подвергаются угрозам - "это финансовые активы, информационные ресурсы - то есть собственные IT-системы и данные, - а также оборудование, механизмы, которые есть у предприятия". "Это может быть все, что угодно, например, среди наших клиентов есть предприятия сельского хозяйства, которые через компьютерную систему управляют поливом или тепловым режимом в теплицах", - пояснил он.

"Основная задача атакующего - получить контроль над информационными системами предприятия с тем, чтобы добраться либо до финансовых, либо до материальных активов. И в конечном итоге сделать так, чтобы предприятие понесло какой-то урон либо под угрозой этого урона заплатило выкуп", - пояснил Новиков.

При этом он добавил, что киберполис не может покрывать суммы заплаченного клиентом выкупа, согласно российскому законодательству, хотя на Западе это допускается. "Сбербанк страхование" для компаний среднего бизнеса разработало защиту с упрощенной проверкой через анкетирование, есть и пакетные предложения, которые позволяют оформить полис мгновенно. Пока киберполисов для малого и среднего бизнеса компанией продано 750. Различные решения обеспечивают защиту на сумму от 1 млн рублей до десятков миллионов рублей. Цена киберполисов для среднего и малого бизнеса варьируется от 3,7 тыс. рублей до 456 тыс. рублей в год по действующим договорам. Это достаточно демократичный бизнес и заслуга российских страховщиков, на Западе за подобную защиту клиенты платят огромные деньги, сказал Новиков.

Пошли своим путем

Страхование киберрисков в России начало развиваться в последние годы, процесс идет трудно, выплаты по заключенным договорам единичны, всего 15 страховых компаний из списка действующих в стране предлагают такие программы. В определенном смысле российские СК оказываются первопроходцами, поскольку на Западе этот вид бизнеса, хоть и стартовал раньше, но развивался под воздействием законодательных требований регуляторов, связанных с ответственностью компаний за несанкционированную утечку персональных данных клиентов. Защита имущественных рисков клиентов от кибератак и убытков от перерывов в производстве стала добавляться в зарубежные полисы в последнее время.

По факту в мире 95% всех клиентов, застрахованных от киберрисков - это крупные предприятия, они прошли полноценное обследование своих информационных систем, выявили узкие места, определили, какие потенциальные угрозы могут сопровождать эти уязвимости, и после этого подобрали себе страхового партнера, сообщил Новиков в ходе выступления. Россия пошла своим путем, кроме традиционных проверок в ходе аудита, который занимает месяцы, компании предложили упрощенную системы проверки клиента.

"Чтобы упростить клиентам жизнь, страховщик дополнительно помогает страхователю проводить расследование по киберинцидентам", - отметил начальник управления страхования банковских и информационных рисков компании "Ингосстрах" Антон Казиев. Тем не менее, если не брать в расчет киберстраховок, которые предлагаются при заключении кредитного договора в банках, распространение добровольного киберстрахования в стране пока очень незначительно, признал он.

В киберполисах, по словам Казиева, есть ряд исключений из страхового покрытия, в первую очередь они связаны с использованием клиентом нелицензионного программного обеспечения, что создает зоны уязвимости. Не последует выплат, если клиент оказался нарушителем закона или гарантийных обязательств по другому договору, не покрывается полисом уплата пени и штрафов, последствия террористических атак и военных действий.