Нe Pety.A единым
На самом деле украинская экономика не исключительна: 1 900 экспертов по риск-менеджменту из 80 стран мира, опрошенных в ходе ежегодного исследования глобальных рисков от страхового холдинга Allianz, ставят киберриски на второе место среди глобальных угроз для бизнеса. Годовые потери мировой экономики от киберпреступности в 2017 году превысили $600 млрд и составили 0,8% от мирового ВВП, увеличившись на 35% по сравнению с 2015 г.
После самой масштабной кибератаки в истории Украины прошло больше года, и за это время в информполе регулярно появлялись сообщения о киберинцидентах разного масштаба и направленности. Так, в октябре 2017 года кибератакам подверглись Киевский метрополитен и Одесский аэропорт, а за первое полугодие 2018 года украинская киберполиция сопровождала более чем 4 тыс. уголовных производств в этой сфере.
Куда бежать?
Безусловно, безопасность требует инвестиций: по оценкам аналитической компании Gartner, за 2017 год в мире было потрачено порядка $86 млрд на превентивные системы и меры по cyber security. По прогнозам на 2018 г. затраты возрастут еще на 8-12%, но при этом нельзя гарантировать, что вложения окажутся эффективными и позволят избежать нарастающих угроз.
Подписывайтесь на Telegram-канал delo.uaПоскольку профилактика киберинцидентов не гарантирует 100% успеха, политика риск-менеджмента многих компаний Европы и США обязательно включает инструменты "позднего реагирования" — страхования от киберрисков. В отличие от превентивных мер, страхование позволяет компенсировать потери от реализовавшейся киберугрозы, если ее так и не удалось предотвратить.
Согласно данным, представленным в феврале 2018 года на конференции ОЭСР по раскрытию потенциала рынка киберстрахования, сегодня уровень охвата этими услугами в 37 странах с развитой экономикой достигает 50-60% среди компаний-представителей крупного бизнеса. Объем глобального рынка страхования от киберрисков в 2017 г. оценивался примерно в $2,5 млрд. И он продолжает расти: ожидается, что к 2021 году он достигнет $10 млрд.
Украинские реалии
Как отмечают участники украинского страхового рынка, говорить о полноценном секторе киберстрахования в нашей стране пока еще рано: интерес к услуге начал формироваться не больше года назад, когда компании подсчитали убытки и недополученную прибыль из-за атаки вируса Petya.A.
Кроме того, базовая инфраструктура, необходимая для развития этого вида страхования, только формируется. Так, Закон "Об основных принципах обеспечения кибербезопасности Украины" вступил в силу в мае 2018 года, а Государственный центр реагирования на киберугрозы был создан только полгода назад.
"Киберриски — весьма актуальная проблема, но для ее решения через страховые инструменты нужно создать условия. Требуется и законодательная база, и технические возможности, и готовность клиентов сотрудничать со страховщиком при создании системы корпоративной кибербезопасности", — комментирует ситуацию Владимир Васылык, начальник департамента андеррайтинга по страхованию имущества и ответственности СК "Украинская страховая группа". Эксперты отмечают, что в украинских реалиях далеко не всегда можно провести даже предстраховой аудит информационной системы клиента, и тому есть множество причин. Как результат, не все страховщики готовы представить полноценные программы по страхованию киберрисков в Украине. Сейчас они есть у 5-7 страховых компаний и трех страховых брокеров.
В то же время на отечественном рынке уже появляются страховые решения, разработанные украинскими СК совместно с европейскими партнерами в сфере cyber insurance. "Для страхования киберрисков у нас уже есть определенные возможности, например, можно разместить их на всемирно известном лондонском рынке Lloyd's. Кроме того, застраховаться можно и по программам западных перестраховщиков, которые предлагают пакетные решения по киберзащите для разных отраслей и типов бизнеса", — рассказывает Андрей Семченко, директор департамента андеррайтинга АСК "ИНГО Украина". Вопрос только в том, чтобы выбрать оптимальный формат защиты для конкретно взятого случая.
Тайный рынок
Возможности и выгоды для страхования от киберрисков не одинаковы для компаний из разных сфер и индустрий. Согласно мировой статистике, около 35% всех платежей по страхованию от киберрисков генерируют клиенты из финансового сектора — банки, другие финансовые учреждения и fintech-стартапы, на втором месте — представители энергетики.
"Если посмотреть на специфику украинского спроса на киберстрахование, то, действительно, чаще всего к нам обращаются компании из финансовой сферы, а также из сектора телекоммуникаций — интернет-провайдеры и операторы связи. Осознают актуальность киберрисков и другие предприятия, особенно те, кто оперирует большими массивами персональных данных. Отдельный запрос — это IТ-компании и стартапы. Их интерес к страховой защите во многом подстегнуло принятие GDPR — общеобязательного постановления, с помощью которого ЕС усилил и унифицировал защиту персональных данных всех своих граждан и резидентов", — поясняет Александра Гладышевская, руководитель страхового брокера "Инсарт".
Говорить об объемах украинского рынка киберстрахования пока сложно. Прежде всего потому, что эти данные не могут быть разглашены.
"Информация о том, что у предприятия есть полис cyber insurance, — это строжайшая коммерческая тайна. Почему? Все очень просто: ее разглашение повышает риски возникновения киберинцидентов. Простой пример. Если предприятие сообщит рынку и СМИ, что пользуется страхованием имущества на случай стихийных бедствий, это никак не повлияет на вероятность страхового события. А вот если широкому кругу станет известно о наличии у компании страхового покрытия по киберрискам, для преступников это может стать дополнительным стимулом", — комментирует Елена Шустур, директор по корпоративному страхованию СК "АСКА". Поэтому получить объективную статистику о числе клиентов и объемах их платежей, да еще и на молодом рынке, где не так много участников, пока вряд ли возможно.
Тем не менее страховщики уверяют: услугами киберстрахования в Украине уже пользуются. Спрос со стороны сугубо отечественных компаний, конечно же, еще невелик: за последний год можно насчитать до десятка подобных договоров. А вот представительства крупнейших международных холдингов, хотя и больше осознают актуальность страховой защиты, обычно пользуются ею через материнскую компанию: услугу закупает центральный офис за рубежом, а не в Украине. Чаще это вопрос корпоративных правил и политик, реже — ценообразования.
Цена вопроса
Цена на страхование киберрисков — весьма непростой и неоднозначный вопрос. Безусловно, чем больше сумма, на которую страхуется клиент, тем ниже будет тариф. Но не менее важную роль в ценообразовании играет и специфика объекта защиты. "Сложнее всего застраховать массивы данных — их очень трудно оценивать. Сколько стоит утечка информации от небольшой фирмы или частного лица? У страховщиков нет ни объективных цифр, ни экспертных оценок, ни устоявшейся международной практики. А вот оценить потери от перерывов в производстве, если они возникнут из-за кибератаки, намного проще", — приводит пример Андрей Семченко. Во втором случае ценообразование будет более прозрачным, а цена вполне привлекательной для клиента и сопоставимой с тарифами на другие виды страхования имущества — около 0,8-1,5% при сумме защиты на $500 тыс.
"У каждого страховщика своя политика ценообразования. Но общая проблема в том, что по киберрискам сложно спрогнозировать частоту возможных событий, оценить их вероятность — а ведь от этого напрямую зависит страховой тариф. Статистика таких инцидентов чаще занижена: компании, которые сталкиваются с киберрисками и несут потери, редко готовы в этом признаться. Когда вы сообщаете об утечке или бреши в собственной системе безопасности, есть риск повторно привлечь киберпреступников и, кроме того, навредить своей репутации", — подчеркивает Елена Шустур.
Брать или не брать?
Принимать решения по страхованию киберрисков страховщики советуют, учитывая возможные прямые и непрямые потери для бизнеса. Затраты на киберстрахование должны быть оправданны. "В каком случае покупка будет обоснована? Во-первых, если компания может понести серьезные репутационные потери из-за кибератаки: такие убытки плохо прогнозируются, и в случае утечки данных ими почти невозможно управлять. Не менее опасное последствие киберинцидентов — это перерыв в массовом производстве, на крупном предприятии", — комментирует Андрей Семченко.
В СК "АСКА" рекомендуют обратить особое внимание на защиту от киберрисков компаниям, которые работают с клиентами в странах ЕС. Учитывая новую политику защиты персональных данных GDRP, эксперты компании советуют украинским экспортерам страховать ответственность перед европейскими клиентами и партнерами, если вследствие кибератаки могут пострадать их интересы. При этом в компании отмечают, что уже сегодня ряд страховых программ покрывают расходы на антикризисный PR и затраты на восстановление репутации после кибератаки.
Большое будущее
Независимо от того, станет ли cyber insurance востребованным инструментом для отечественного бизнеса, сами киберриски все более плотно будут проникать в нашу жизнь: до 2022 года убытки мировой экономики от реализации киберугроз, по разным оценкам, могут составить $6-8 трлн. Согласно отчету о рисках Cybersecurity Venturesreport, до 2019 года бизнес в мире будет сталкиваться с атаками каждые 14 секунд, дальше — чаще.
Не стоит также забывать, что Украина испытывает на себе влияние геополитических рисков, в том числе в киберпространстве: "Уже ведется дискуссия в отношении того, чтобы сделать страхование ответственности перед третьими лицами за последствия кибератак обязательным видом страхования для критической инфраструктуры", — отмечает Александра Гладышевская.
Кроме того, ожидается, что уже в ближайшие 2-4 года страхование перестанет играть исключительно финансовую роль. Кроме сугубо финансовой компенсации, страховые компании смогут обеспечить клиентам полноценный консалтинг, организационную и техническую поддержку по снижению киберрисков и отражению кибератак.
К примеру, в основное покрытие самых технологичных страховых программ уже сегодня входит услуга быстрого реагирования на киберинцидент. Она предусматривает организацию и оплату работы IТ-специалистов, которые смогут максимально быстро среагировать на атаку — остановить ее или минимизировать негативные последствия.
Не исключено, что именно в таком консалтинговом формате украинское киберстрахование станет максимально востребованным сервисом. Тем более для этого есть все ресурсы: не стоит забывать, что Украина входит в топ-6 стран-источников киберугроз, а значит, в стране точно хватает специалистов, которые могут не только "сломать", но и "починить" бизнес после кибернападения. Вопрос только в том, смогут ли украинские страховщики превратить эту угрозу в возможность для развития своего бизнеса и качественной защиты своих клиентов.