Бесплатно Экспресс-аудит сайта:

19.10.2023

Киберстрахование в России: защита от кибератак или новый налог?

В России обсуждается идея создания обязательного киберстрахования для компаний, которые подвергаются риску кибератак и утечек данных, сообщает издание «Коммерсантъ» . Сенаторы планируют внести законопроект об этом в Госдуму после разработки необходимой правовой базы. Инициатива поддерживается IT-отраслью, которая считает, что киберстрахование может повысить уровень кибербезопасности в стране и компенсировать финансовые потери от хакерских атак. Однако есть и оппоненты этой идеи, которые считают, что киберстрахование будет просто очередным налогом для бизнеса и не решит проблему киберугроз.

Член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин считает, что создание рынка страхования от киберугроз в России — «важная инициатива, которая может существенно улучшить кибербезопасность в стране».

«Подобно тому, как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных», — говорил ранее Шейкин.

По словам Артема Шейкина, на данный момент сенаторы получают обратную связь по вопросу создания обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. «Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования была направлена как раз на борьбу с утечками персональной информации», — напоминает он.

IT-отрасль приветствует идею киберстрахования, так как считает ее актуальной и необходимой в условиях роста киберпреступности. Бизнес уже использует различные страховые продукты, но киберугрозы, такие как взломы, шифровальщики, фишинг или DDoS-атаки, становятся все более актуальными и представляют особый риск, который требует специального подхода.

«Главное преимущество киберстрахования заключается в том, что оно предоставляет финансовую защиту в случае успешной кибератаки. Это особенно важно, если учесть масштабы возможных убытков от таких атак — например, когда из-за действий злоумышленников компания может потерять доступ к критическим данным или, что еще хуже, допустить утечку персональных данных клиентов»,— отмечают эксперты издания.

Внести законопроект в Госдуму планируется после создания необходимой нормативной базы, которая будет учитывать закон об оборотных штрафах, направленный на борьбу с утечками персональной информации.

Зарубежный опыт показывает, что киберстрахование является перспективным и быстрорастущим сегментом страхового рынка. По прогнозам аналитиков, к 2030 году мировой рынок киберстрахования достигнет $84,62 млрд. Основными факторами роста спроса на такое страхование являются цифровизация бизнеса, удаленная работа, рост кибератак и утечек данных, а также введение штрафов за нарушение законодательства о персональных данных. Однако есть и сдерживающие факторы, такие как высокая стоимость страховых пакетов, отсутствие единого стандарта оценки ущерба и виновных в инцидентах, а также низкое осознание реальных угроз со стороны некоторых компаний.

В России рынок киберстрахования в целом растет умеренными темпами. В среднем, по данным консалтинговой компании Kept по итогам 2022 года, аналитики констатировали его рост на 2% в 2022 году и прогнозировали рост на 1% в 2023-м. Аналитики напоминали, что ухудшение макроэкономической ситуации в начале 2022 года сказалось на страховом рынке: сборы за первое полугодие 2022-го сократились на 3,6% относительно первой половины 2021-го. Но эксперты ожидают, что в 2023 году объем сборов страховых компаний составит 1,8 трлн руб.

По данным «Союз Страхования», спрос на покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд руб. В «АльфаСтраховании» отмечают, что из-за роста киберрисков спрос на такое страхование со стороны бизнеса стал «более предметным и осознанным».

Рынок страховых услуг в целом в первую очередь регулирует Банк России. В ЦБ “Ъ” отметили, что создание нового института страхования киберрисков является одной из задач, определенных стратегическим документом Банка России «Основные направления развития информационной безопасности кредитно-финансовой сферы на 2023–2025 годы». Однако, по мнению ЦБ, для создания эффективного механизма киберстрахования в России необходимо решить ряд проблем.

В частности, необходимо определить объект страхования, провести экономическую оценку целесообразности этого инструмента, проанализировать потенциальный объем требований по возмещению вреда и расходов участников страхового рынка, а также создать институт оценки киберзащищенности с методикой проведения оценки.

По мнению Артема Шейкина, формирование правовых основ для создания ОКРУГа потребует изменений в налоговом законодательстве. Сейчас закон не разделяет ответственность за утечки персональных данных, содержащие, к примеру, ФИО и номер телефона, и утечки биометрических данных. Кроме того, считает сенатор, предстоит создать институт оценки киберзащищенности с методикой проведения оценки, который позволит привлекать широкую экспертизу для оценки защищенности, но не отдельных уязвимостей, а возможности критических потерь путем кибератак.

Киберстрахование — это теоретически полезный инструмент, который позволит диверсифицировать риски цифровизации, а потому легче внедрять инновации, считает замгендиректора ГК «Гарда» Рустэм Хайретдинов. Но внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных в этом ущербе натолкнется на всплеск страхового мошенничества или заградительных ставок. Также, предупреждает он, обязательное страхование, не подкрепленное бизнес-смыслом, станет просто очередным налогом. По мнению ГК «Гарда», полезно будет начинать с малого, например страховать только ущерб от простоев или страховать компанию от штрафов, наложенных государственными органами: «Это позволит накопить статистику и наладить независимую оценку ущерба и методики выявления виновников инцидента».