Роль страхования информационных рисков

ВВЕДЕНИЕ В современном мире одним из главных трендов мирового развития является цифровизация экономики. Быстрый рост цифровизации в развитых и развивающихся странах влечет за собой различные риски, исследование которых необходимо для эффективного управления рисками и поддержания устойчивости, стабильности системы в экономической деятельности. Одной из главных проблем при внедрении цифровизации в экономику является быстрорастущее количество кибератак.

Столкнувшись с растущими в геометрической прогрессии киберугрозами, государственные и частные структуры ищут креативные решения для борьбы с киберрисками. Согласно данным озвученным главой МВД России В. Колокольцева, с начала 2022 года сумма ущерба от IT-преступлений в России составила 65 млрд рублей [1].

Актуальность: В связи с этим воздействие постоянно растущим киберрискам является одной из важных задач для национальной экономики. Одним из возможных инструментов смягчения последствий киберрисков и эффективного управления рисками предприятий в национальной экономике можно считать страхование информационных рисков или киберстрахование. В связи с этим утвержденная правительством «Программа цифровая экономика РФ» [2] содержит задачу разработки механизма государственного содействия росту рынка услуг по страхованию информационных рисков.

Литературный обзор: Изучением роли страхования информационных рисков занимаются на многие компании, правительственные учреждения, а также ученые. В их числе: Лаборатория Касперского [5], Ртк Солар [6] [7] [9], B. Балавейдер, Р. Данкевич, А. Островска-Данкевич, Т. Томчик [10]. Однако, научный пробел, связанный с рассмотрением роли страхования киберрисков в экономике при создании эффективной системы управления рисками, не закрыт.

Цель исследования: В данной статье автором будет рассмотрена роль страхования информационных рисков, как инструмент управления рисками в рамках цифровой экономики, а также преимущества страхования информационных рисков.

Научная новизна данной статьи заключается в выявлении роли страхования информационных рисков путем анализа статистических исследований крупных Российских компаний.

Авторская гипотеза: Страхование киберрисков является одним из инструментов управления рисками и обеспечения стабильности цифровизации экономики.

В процессе исследования использовались такие методы, как: сравнение, анализ, синтез, описание, индукция и дедукция.

РОЛЬ СТРАХОВАНИЯ ИНФОРМАЦИОННЫХ РИСКОВ

Страхование информационных рисков или киберстрахование представляет собой страховой продукт, разработанный для обеспечения безопасности бизнеса от потенциальных угроз, связанных с использованием интернета, хранением и обработкой данных в электронном формате и другими аспектами цифровой среды. Киберстрахование покрывает ответственность организации в большинстве случаев компрометации данных, вызванных киберинцидентами [3].

Киберстрахование может защитить компании от затрат на интернет угрозы, влияющие на ИТ-инфраструктуру, управление информацией и информационную политику, которые часто не покрываются полисами ответственности и традиционными страховыми продуктами. Страхование информационных рисков дает возможность изменить восприятие низкого уровня приемлемости в пользу широкого охвата, который работает так же, как восприятие страхования физических рисков и стихийных бедствий, ведь страхование информационных рисков может покрывать убытки, которые предприятие могут понести в результате кибератак. Страхование информационных рисков становится все более важным вопросом для компаний как частного, так и государственного сектора по мере роста рисков кибератак на приложения, устройства, сети и пользователей. Утрата или незаконное изъятие информации имеет ощутимое влияние на экономическую безопасность предприятий, которые могут потерять клиентов и доход, а также нанести ущерб деловой репутации на рынке

Согласно отчету "Лаборатории Касперского" (2022 год) относительно существенных сбоев в безопасности данных в России, в текущем году было зарегистрировано 168 инцидентов, в ходе которых произошла незаконная публикация важных баз данных российских компаний. Всего было опубликовано более 2 миллиардов записей. Это почти 300 млн пользовательских данных, из которых 16% — около 48 млн строк — содержали пароли [5].

В результате нападений на ведущие компании, более половины пользовательских данных (64%) оказались скомпрометированными. Основные сферы, в которых была обнаружена утечка информации, доставка (34%) и ретейл (14%). Среди топ-10 компаний с наибольшим количеством опубликованных пользовательских данных были представлены две организации из этих отраслей. Неудивительно, что наиболее часто подвергались атакам, по сути, являлась компрометация данных, в организациях сферы ритейла — их доля составила 26% от общего числа компаний, которые столкнулись с этой проблемой в 2022 году [5]. Учитывая большой рост утечки данных, Правительством РФ был разработан проект для стимулирования ответственности операторов данных за произошедшие утечки [11]. Согласно данному проекту, штраф за повторное нарушение может составить до 3% от дохода компании. Согласно проекту, в случае утечки персональных данных от 1 до 10 тыс. субъектов, компания заплатит штраф в размере от 3 до 5 млн рублей. Если в открытый доступ попадут сведения о 10 до 100 тыс. субъектов, оператору придется заплатить от 5 до 10 млн рублей. Штраф за утечку данных о более чем 100 тыс. субъектов составит от 10 до 15 млн рублей. Оборотные штрафы за утечки персональных данных предусматриваются за повторное нарушение. В этом случае штраф составит от 0,1 до 3% выручки за календарный год, предшествующих нарушению. Размеры взыскания ограничиваются — не менее 15 млн и не более 500 млн рублей. Утечка биометрических данных грозит компании штрафом от 15 до 20 млн рублей [11]. Учитывая тенденцию ужесточения штрафных мер в будущем, страхование информационных рисков является одним из возможных инструментов покрытия убытков от штрафов вызванных утечками данных.

Согласно данным исследования «РТК Солар» за первое полугодие 2023 года утечка данных произошла у 123 Российских компаний, общим объемом 1,1 терабайта. В исследовании «РТК Солар», отмечается следующее «Количество утекших сведений, опубликованных в открытом доступе за последний год, настолько велико, что к ним в полной мере применимы принципы анализа больших данных. Такая ситуация делает любую новую утечку значимой и потенциально опасной» [6].

Рисунок 1. Распределение событий в сфере информационной безопасности (ИБ) по кварталам

Источник: Отчет РТК Солар «Кибератаки на российские компании в 2022 году» [9]

В исследовании «РТК Солар», отмечается следующее «количество утекших сведений, опубликованных в открытом доступе за последний год, настолько велико, что к ним в полной мере применимы принципы анализа больших данных. Такая ситуация делает любую новую утечку значимой и потенциально опасной» [6].

Причиной столь высокого количества утечек данных РТК Солар объясняет сменой мотивации атак для получения материальной выгоды ранее 2022 года до хактивизм, идеологически мотивированные атаки, преследующие своей целью нарушение функционирования российских организаций и предприятий после 2022.

Таким образом можно выделить следующие последствия для цифровой экономики в результате увеличения утечки данных:

· Увеличилось общее количество инцидентов.

· Любая российская организация автоматически становится предметом интереса злоумышленников вне зависимости от ее принадлежности к субъектам критической инфраструктуры или наличия у нее ценных информационных активов.

· Уязвимые данные массово публикуются в открытом доступе.

· Полученные в ходе атак сведения, которые раньше выставлялись на продажу и были доступны ограниченному кругу лиц, теперь становятся общедоступными.

При увеличении количества утечек данных, увеличиваются издержки компаний в отношении устранения последствий инцидентов, а также расходы.

Прогнозирование затрат, а также разработка мер по снижению ущерба от кибер инцидентов является показателем эффективности системы управления рисков, включающая в себе управление остаточным риском. Таким образом, страхование киберрисков может являться одним из инструментов управления остаточным риском.

В РФ рынок киберстрахования начал формироваться в 2017 году, а уже в 2020 эксперты зафиксировали 5-кратное увеличение спроса на услугу. В 2021 году тенденция сохранилась, и спрос вырос еще на 60% [4]. Главной причиной роста спроса являлась пандемия, вынудившая бизнес уйти в онлайн и перевести сотрудников на удалённую работу. Учитывая статистику утечек данных за последние пол года, проблемы утечки информации теперь поджидают каждую организацию, независимо от ее масштабов и специализации. В результате этого возможен повышенный спрос на страхование информационных рисков. В данном отчете отражено отношение организаций, представляющих разные отрасли, к услуге страхования киберрисков [4].

В то время как крупные корпорации могут полагаться на собственных специалистов по информационным технологиям и кибербезопасности, а также на юридические отделы для смягчения последствий взлома, большинство малых и средних предприятий не располагают такими ресурсами. Для устранения последствий кибератаки они часто обращаются к внешним поставщикам. Фирмы, занимающиеся киберстрахованием, могут изменить эту динамику, предоставив одобренным поставщикам не только профессиональные сервисы по ликвидации последствий, но и эффективные инструменты для укрепления защиты от будущих атак. В 2022 году "РТК Солар" успешно провела 400 онлайн-интервью по теме кибер страхования в РФ. В число респондентов вошли частные и государственные компании, включая федеральные и региональные органы власти. В опросе приняли участие представители различных сегментов бизнеса (B2G, B2E, B2B, SMB) и различных отраслей РФ [7].

Рисунок 2. Статистика использование киберстрахования в отраслях экономики.

Источник: Отчет РТК СОЛАР «Тренды страхования киберрисков на российском рынке» [7]

Согласно данным опроса, большинство компаний, которые приобретают киберстрахование, принадлежат к финансовой сфере. Высокий уровень численности данного показателя обусловлен интенсивной цифровизацией внутренних и внешних процессов компании, особенно в области финансовых услуг [7]. Компании финансового сектора обычно имеют значительные бюджеты и осуществляют вложения в развитие систем информационной безопасности и инструментов управления рисками.

Страховую защиту от киберрисков, как правило, осуществляют исключительно крупные компании и организации с обширными финансовыми возможностями и сложной информационно-технологической сетью.. Для них вывод из строя даже отдельных сегментов сети может привести к остановке бизнес-процессов, на восстановление которых требуется много времени. Страховая выплата в этом случае поможет закрыть часть убытков и компенсировать простой [7].

Компании выделяют следующие выгоды от приобретения продукта страхования информационных рисков:

- Возможность быстрого восстановления после инцидентов.

-Дополнительный инструмент для увеличения защищенности компании.

- Увеличение привлекательности компании среди контрагентов

В результате опроса РТК Солар выяснилось, что больше трети опрошенных застрахованных компаний утверждают, что полис страхования информационных рисков позволил быстрее справиться с последствиями киберинцидентов. Это может быть связано с тем, что имеет влияние более оперативное взаимодействия страхователя с страховщиком в рамках реагирования на инциденты в рамках консультационной поддержки.

Более половины респондентов отметили, что целью приобретения страхового продукта является внедрение инструмента для повышения уровня защищенности компании, следовательно построение эффективной системы управления рисками компании от возможных угроз.

Примерно 75% респондентов отмечают роль страхования в увеличении привлекательности компании среди ее контрагентов, заключающейся в стабильности и надежности активов [7].

Затраты предприятий, связанные с материализацией киберрисков, должны быть соответствующим образом минимизированы. Целью компании должно быть ограничение частоты и масштабов киберинцидентов. Однако если такие действия не совсем возможны, предприятия должны управлять киберриском таким образом, чтобы хотя бы ограничить финансовые последствия подобных явлений. Одним из способов управления рисками в этой области является покрытие киберстрахования.

Проведя анализ правил страхования киберисков, автором проанализировал правила страхования имущественных интересов юридических лиц от инцидентов, связанных с нарушением кибербезопасности одной из ведущих страховых компаний России, предлагающей страховое покрытие [8]. Согласно правилам страховщика, основное покрытие рисков покрывающее полисом можно выделить следующее:

· Повреждение или гибель информационных систем и информационных ресурсов Страхователя (Выгодоприобретателя) в результате Инцидента c нарушением кибербезопасности

· Расходы вследствие неправомерного доступа к информационной системе и/или информационным ресурсам в результате Инцидента c нарушением кибербезопасности, повлекшего уничтожение, блокирование и/или модификацию информации в информационных системах и/или информационных ресурсах

· Расходы на юридическую консультацию в связи с нарушением конфиденциальности в результате Инцидента c нарушением кибербезопасности

· Расходы в связи с неправомерным доступом к информационной системе и/или информационным ресурсам в результате Инцидента c нарушением кибербезопасности, повлекшего копирование информации или Утечку данных

· Расходы на защиту в связи с нарушением конфиденциальности в результате Инцидента c нарушением кибербезопасности.

· Расходы на расследование Инцидента c нарушением кибербезопасности.

· Расходы на консультации в области репутации в связи с нарушением конфиденциальности в результате Инцидента c нарушением кибербезопасности

· Расходы на диагностику в связи с Инцидентом c нарушением кибербезопасности

· Убытки от перерыва в хозяйственной деятельности в связи с Инцидентом c нарушением кибербезопасности

· Гражданская ответственность

Также согласно правилам страховщика возможно расширение покрытие рисков, таких как:

· Пожар в результате Инцидента c нарушением кибербезопасности

· Взрыв в результате Инцидента c нарушением кибербезопасности

· Повреждение или гибель имущества, находящегося на Территории страхования, вследствие аварий гидравлических систем, произошедших в результате Инцидента c нарушением кибербезопасности

· Мошенничество в сфере компьютерной информации

· Несанкционированное списание денежных средств со Счета Страхователя (Выгодоприобретателя) в результате Инцидента с нарушением кибербезопасности

· Расходы на извещение в связи с Инцидентом c нарушением кибербезопасности

· Гражданская ответственность за причинение вреда окружающей среде вследствие Инцидента c нарушением кибербезопасности

Страховое покрытие играет важную роль в смягчении последствий рисков, возникающих в различных ситуациях. Оно поможет выделить средства на восстановление поврежденных зданий и недвижимости, компенсировать убытки от проблем в работе, а также покрыть расходы на юридическую защиту и возмещение, связанные с претензиями по ответственности. Помимо обеспечения финансовой безопасности, страхование предоставляет потенциал эффективного управления рисками, помогая оценить стоимость риска и рекомендовать способы его смягчения. Особенно в случае киберстрахования, управление рисками имеет не меньшее, а то и большее значение, чем финансовая защита. Оценка киберрисков является неотъемлемой частью процесса страхования для компаний. Эта оценка позволяет принимать осознанные решения в отношении инвестиций в сферу киберзащиты и превентивных мер, направленных на предотвращение инцидентов информационной безопасности. Кроме того, предложения по киберстрахованию обычно включают разнообразные услуги, предоставляемые до и после возникновения нарушений, которые помогают снизить риски и эффективнее управлять последствиями киберинцидентов.

Страхование для организаций должно быть рассмотрено как важная составляющая всей стратегии управления рисками. Эта стратегия включает в себя анализ киберрисков для бизнеса, оценку оптимальных инвестиций в снижение этих рисков и определение тех остаточных рисков, которые могут быть переданы страховым рынкам. Следует отметить, что эффективное управление киберрисками на предприятии требует использования кибербезопасности не только для передачи риска, но и для стимулирования инвестиций в ее область. Однако, такое рациональное решение затрудняется из-за информационных несоответствий, что препятствует страховщикам активному мониторингу их деятельности в сфере кибербезопасности.

Киберстрахование оказывает существенное влияние на экономику по трем основным аспектам:

1) Киберстрахование содействует улучшению безопасности в сфере информационных технологий. Оно является стимулом для разработки и внедрения более надежных мер по предотвращению и защите от кибератак. Через повышение уровня безопасности ИТ-систем киберстрахование способствует снижению рисков, связанных с возможными киберугрозами.

2) Кроме того, киберстрахование способствует созданию стандартов управления рисками и ответственного отношения к данным. Оно оказывает влияние на компании, заставляя их осознавать необходимость эффективного управления и защиты информации. Благодаря этому формируются единые требования к безопасности данных и разрабатываются соответствующие стандарты, что способствует повышению общего уровня безопасности и защищает интересы пользователей информационных ресурсов.

3) Наконец, киберстрахование решает проблему провала рынка и способствует повышению благосостояния общества. Без наличия страхового покрытия от киберугроз значительный объем инвестиций в сферу ИТ может быть подавлен, что может привести к замедлению развития отрасли и негативно сказаться на экономическом росте. Киберстрахование обеспечивает страховую защиту, что создает доверие у инвесторов и стимулирует развитие и инновации в сфере кибербезопасности, а также других смежных отраслях, что, в свою очередь, способствует общему благоустройству общества.

Страхование информационных рисков способствует увеличению вложений в область безопасности, повышая уровень защищенности ИТ-инфраструктуры. Внедрение новых страховых продуктов может сделать Интернет более безопасной средой для бизнеса, поскольку киберстраховщики смогут требовать от компаний проведения мер, направленных на улучшение защиты от потерь, а также привязывать страховые премии к истории убытков и инцидентов [10]. Как и в случае противопожарной безопасности, где страхование способствовало усилению безопасности объектов, киберстраховщики смогут связывать страховые премии с вложениями застрахованных компаний в меры обеспечения безопасности, и создавать рыночные механизмы, для повышения уровня безопасности ИТ в сфере электронного бизнеса. Следовательно, можно предположить, что при использовании киберстрахования инвестиции в ИТ-безопасность будут выше по сравнению с отсутствием киберстрахования, поскольку киберстрахование и меры по предотвращению потерь могут служить дополнительными инструментами для управления рисками, связанными с киберинцидентами.

Для предотвращения инцидентов и преступлений в обществе существуют три различных политических инструмента: нормы ответственности, стандарты безопасности и страхование. Нормы ответственности осуществляются через судебную систему и направлены, в том числе, на создание эффективных стимулов для обеспечения безопасности продукции. Правила ответственности могут служить штрафом для наказания производителя за вред или ущерб, причиненный потребителю.

ЗАКЛЮЧЕНИЕ

Как видно, с непрестанным расширением цифровой экономики постоянно возникают новые вызовы и угрозы, ведущие к различным инцидентам, требующих затрат компаний, а также уделение внимания рынка страхования, правительства и иных гос.органов для обеспечения стабильности цифровой экономики. Как было отмечено ранее, в компаниях различных уровня и сферы деятельности формируется понимание создания инструмента управления остаточным рисков, одной из которых является страхование киберрисков. Несмотря на это, страхование информационных рисков не может являться основным инструментом управления рисками в организации и основополагающим базисом построения системы управления рискам.Однако, очевидно, что рынок страхования киберрисков в РФ находится в стадии начального развития и страхование киберрисков можно рассматривать в качестве инструмента управления остаточным риском. При этом компаниям стоит осознавать, что страхование киберрисков потенциально имеет более широкое влияние на эконому и бизнес, мотивируя бизнес больше инвестировать в ИТ-инфраструктуру, разрабатывать методологии и стандарты по страхованию киберрисков, а также формировать культуру страхования и ответственный подход страхователя и страховщика.

·