Страхование киберрисков в России могут сделать обязательным для некоторых компаний, тем самым предоставив им возможность избежать крупных штрафов за утечки персональных данных. Страховые выплаты планируется распространить и на клиентов организаций, сведения о которых оказались в открытом доступе. Парламентарии и эксперты говорят о том, как оценить ущерб от утечек данных и на какие компенсации смогут рассчитывать пострадавшие, пишет «
Парламентская газета
».
Развивается страхование киберрисков, которое позволяет компаниям получать выплаты в случае взлома их программного обеспечения (ПО), чтобы у них была возможность восстановить его работоспособность.
В условиях роста числа кибератак и ущерба в сотни миллиардов рублей страхование станет не просто финансовым продуктом, а ключевым элементом киберустойчивости страны, поделился мнением первый зампредседателя комитета Совфеда по конституционному законодательству и госстроительству Артём Шейкин, выступая в ходе круглого стола 26 февраля.
«
Российский рынок киберстрахования растёт, но остаётся молодым и сталкивается с системными проблемами: неполнота законодательства, отсутствие качественной статистики и независимой экспертизы, сложность продуктов и низкая вовлечённость малого и среднего бизнеса
», — сказал Шейкин.
Российский рынок киберстрахования развивается последние десять лет, его объем — не более 2% от всех страховых продуктов —- он оценивается в 1,5–2 миллиарда рублей. Договоры с IT-компаниями есть лишь у семи страховщиков, сказал руководитель рабочей группы Всероссийского союза страховщиков (ВСС) по страхованию информационных рисков Владимир Новиков.
Большая часть аудитории киберстрахования — предприятия, которые работают с критической информационной инфраструктурой, они имеют значение для поддержания устойчивой работы экономики. Закон требует, чтобы они использовали российское ПО и обеспечивали кибербезопасность, поэтому для них могут ввести обязательное страхование киберрисков. «Концепция вменённого страхования прорабатывается», — отметил заместитель главы Минцифры Александр Шойтов. Он сказал, что страховка не должна отменять остальные меры защиты.
Сложно оценить ущерб от кибератаки для каждого пострадавшего от неё.
В частности, сколько стоят конкретные персональные данные отдельно взятого человека? Одна ситуация, если клиент всего лишь заполнил регистрационные данные для доступа к услуге, а другая — если он предоставил информацию о себе, на которой получит возможность обучаться искусственный интеллект. В этом случае человек продаёт свои данные за тысячу рублей с условием, что если они утекут, ему выплатят миллион, гипотетически предположил заместитель министра.
«
Это очень сложно, нужен пилотный проект для отработки таких моделей
», — сказал Шойтов.
Запустить пилотный проект, а официально — экспериментальный правовой режим, сразу же согласились в Минэкономразвития. «Высокие штрафы за утечки вводились не для того, чтобы обанкротить бизнес, — уверяет директор департамента цифрового развития ведомства Владимир Волошин. — Требования по обеспечению безопасности и страхованию должны быть понятными и исполнимыми».
Точных цифр, сколько могут стоить данные конкретного россиянина, на круглом столе так и не назвали. Об этом говорили только теоретически. Если платить за каждую попавшую в открытый доступ строку, например, по пять тысяч рублей, то уже сейчас становится ясно, что счёт может составить триллионы рублей, а это делает любой IT-бизнес нерентабельным, и никакая страховка не поможет, сказал глава департамента страхового рынка Центробанка Илья Смирнов.
В ВСС выдвинули идею действовать последовательно, и для начала сделать страховой полис от кибератак смягчающим обстоятельством для организации в случае штрафа. Для этой цели нужно снять запрет на страхование штрафов. Когда появится возможность сделать следующий шаг — заняться компенсациями.
Для этого понадобится строгий учёт согласий, которые дали граждане на обработку их данных, а также однозначная методика определения имущественного ущерба и внесудебная оценка морального вреда, сказал Новиков.