В Правительстве РФ и ИТ-отрасли активно обсуждают инициативу Совфеда о введении обязательного страхования киберрисков. Рост числа атак на российские организации увеличил спрос на подобные услуги, однако базы для их унификации в стране пока нет.
Как выяснил «Ъ», на данный момент сенаторы получают обратную связь по вопросу создания механизма обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. Внести его в Госдуму планируется после создания необходимой нормативной базы.
«Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования направлена как раз на борьбу с утечками персональной информации», — сообщил журналистам член комитета СФ по конституционному законодательству и госстроительству Артем Шейкин.
Формирование правовых основ для создания ОКРУГа, по мнению сенатора, потребует изменений в налоговом законодательстве. Предстоит также создать институт оценки киберзащищенности, который позволит привлекать широкую экспертизу для определения критичности возможных потерь от кибератак.
Деятельность страховых компаний в России регулирует Банк России; там считают создание института страхования киберрисков одной из первостепенных задач по развитию информационной безопасности кредитно-финансовой сферы в ближайшие годы. Однако для установки единых требований к такой услуге нужен опыт, которого у страховщиков пока мало.
Эксперты в области кибербеза тоже видят ряд препятствий на пути к реализации инициативы. Так, замгендиректора ГК «Гарда» Рустэм Хайретдинов опасается, что внедрение массового киберстрахования без четких, понятных всем методик оценки ущерба и определения виновных станет просто очередным налогом, а также вызовет всплеск страхового мошенничества или заградительных ставок.
Ему вторит Михаил Адоньев, GR-директор ГК «Солар»:
«Рынок киберстрахования тесно связан с тем, как правильно оценивать риски от кибератак. Даже в развитых странах, где такие услуги существуют уже давно, страховые компании сталкиваются со сложностями по оценке ущерба. Важна детальная проработка формирования и регулирования страхования киберрисков, направленная в том числе на гармонизацию и унификацию подходов к оценке уровня защищенности, оценки ущерба, порядку и методике расследования инцидентов, расчету страховых премий и выплат и т. п.».
До прошлого года страхование киберрисков мало интересовало российский бизнес, однако, когда число атак резко возросло, как и случаев утечек, отношение к подобным услугам стало заметно меняться. Угроза остается ощутимой, и спрос в этой сфере растет.
В «АльфаСтраховании» оценили годовой объем премий по договорам страхования киберрисков в $6-7 млн — против $7,5 млрд во всем мире. По прогнозам специалистов, российский рынок киберстрахования может вырасти до 10 млрд рублей.
В прошлом году «РТК-Солар» провела опрос среди коммерческих и госорганизаций на тему киберстрахования и выяснила следующее:
- услугой страхования киберрисков пользуются 6% участников опроса (в основном представители сферы финансов и ИТ, реже — нефтянка и госорганы);
- 21% респондентов планируют подписаться на услугу в ближайшей перспективе (основания — повышение уровня защищенности, способ быстрее оправиться после киберинцидента, возврат инвестиций в ИБ);
- для трети опрошенных основным барьером для приобретения услуги является ее дороговизна.