3. Проблемы правового регулирования отношений в области страхования информационных рисков

Хищение ценной информации путем несанкционированного проникновения в информационные системы давно стало настоящим пугалом для корпораций, вынуждая тратить солидные средства на новейшие средства безопасности и привлечение высококлассных специалистов, в том числе бывших хакеров. Однако успех в этой борьбе является переменным. Злоумышленники также применяют все новые и новые методы для выуживания секретных данных из корпоративных компьютеров, а слабые места зачастую кроются не в дырах системы, а в ошибках корпоративных пользователей. И если стопроцентная гарантия защиты - это утопия, то застраховать существующий риск вполне реально.

То, что развивающиеся информационные технологии несут с собою новые риски, а значит, и новый рынок спроса, зарубежные компании осознали в середине 90-х. Первыми жертвами новых технологий стали банки, прежде использовавшие «Генеральный банковский полис» (Banker’s Blanket Bond, BBB).

BBB предусматривал страхование банковского имущества и транспортируемой наличности. Он также покрывал риски, связанные с мошенническими действиями сотрудников, подложными документами и фальшивой валютой. Но вот ущерб от хакинга и прочих компьютерных преступлений BBB не компенсировал. По данным же Британской Федерации предпринимателей, средний размер ущерба от проникновения в банковские сети в мире составил $500 тыс. Так что именно банковская отрасль сыграла роль локомотива, сдвинувшего с мертвой точки информационное страхование. Стало очевидным, что возмещать ущерб, нанесенный информационным активам, по стандартным условиям бизнес-страхования не представляется возможным, после чего были разработаны специальные страховые программы для ИТ-сферы.

Официальной даты рождения у российского информационного страхования нет, и различные источники называют разное время. Отдельные инициативы страховщиков имели место в 1997–99 годах.

Тогда первопроходцами выступили «Ингосстрах» и «Инфистрах», заключившие соглашение о сотрудничестве с Министерством связи РФ в данной области. Научно-исследовательскую часть взял на себя ВНИИПВТИ. Но, видимо, правильнее указать в качестве точки отсчета 9 сентября 2000 года, когда президент РФ утвердил «Доктрину информационной безопасности РФ», согласно которой экономические методы противодействия угрозам информационной безопасности предусматривали создание системы страхования информационных рисков физических и юридических лиц, обеспечивающей компенсацию ущерба в случае реализации угрозы.

После этого ряд страховых компаний приобрел лицензии на ведение деятельности в этой сфере, и начал формироваться российский рынок. Полис информационного страхования позволяет покрывать риски, связанные практически с любыми программно-аппаратными системами, предназначенными для сбора, передачи, хранения и обработки информации.

К таковым относятся и системы управления производством и ресурсами, удостоверяющие сертификационные центры, системы электронного документооборота, биллинговые системы, веб-серверы, корпоративные локальные сети и т. д. Насыщение основного спроса относилось к 2000–2002 годам и сопровождалось относительно большими прибылями страховых компаний.

С 2003-го и по сей день наблюдается некоторое затишье, изредка прерываемое крупными сделками. К слову, сегодняшнее положение свойственно не только российскому, но и мировому рынку. Хотя, конечно, на Западе страхование информационных рисков идет все же активнее, что связано, прежде всего, с более высоким уровнем развития электронной коммерции.

В настоящее время информационно-страховые услуги предоставляют рядом фирм. В основном они предлагают клиентам два вида услуг (наиболее востребованных) - это страхование электронных устройств (Electronic Equipment Insurance, EEI) и страхование активов от преступлений в ИТ-сфере. Первый вид является своеобразным гибридом информационного и имущественного страхования. EEI включает в себя риски, не поддерживаемые в классическом имущественном страховании, такие, например, как сбои в системах из-за короткого замыкания, отклонения от стандартных уровней напряжения и частоты, магнитной индукции.

Определение второго вида информационного страхования весьма размыто. Обычно к страхуемым рискам такого рода относят действия вирусов или троянских программ, хакерские атаки (в том числе с применением пресловутой «социальной инженерии») или противоправные действия сотрудников самой компании-клиента, направленные на хищение информационных активов или денежных средств. Другие виды информационного страхования на российском рынке представлены слабо и в большинстве своем находятся в зачаточном состоянии. Это относится, например, к рискам в сфере интеллектуальной собственности или электронной коммерции. Единичные инициативы не позволяют назвать то, что есть, даже зарождающимся видом деятельности.

Помимо сложностей с национальным менталитетом, отторгающим само понятие такой собственности, есть и другая тормозящая прогресс причина. Страховые компании выжидают, пока редкие энтузиасты «набьют себе шишки», неизбежные в становлении нового бизнеса. И лишь после того, как разрозненные случаи такого страхования накопятся в достаточном числе, чтобы можно было понять, чего ждать от нового рынка, страховщики начнут «большую игру». И не факт, что в этой игре они опередят западных конкурентов, уже имеющих опыт и техническое преимущество.⁶

В е-коммерции ситуация хуже. Ни в одном сегменте экономики проблема безопасности не стоит так остро. Комплексное страхование е-бизнеса должно представлять собою гибрид уже упоминавшегося EEI и страхования информационных активов, плюс к тому оно должно покрывать риски по доставке товаров (страхование грузов) и финансовым операциям (страхование убытков от предпринимательской деятельности). Пожалуй, наиболее известным первопроходцем, который начал оказывать некоторые из вышеперечисленных услуг B2B-сектору е-коммерции еще в 2002 году, является «НИКойл».

Собственно говоря, основой проекта тогда стало создание электронно-финансового центра «НИК-Пэй Расчеты», а те риски, которые этой торговой площадкой не устранялись, предлагалось страховать в дочерней фирме соответствующего назначения. Время идет, но о серьезных подвижках в этой сфере говорить не приходится. Западное покрытие рисков е-коммерции может превысить $200 млн. О таких суммах отечественным Интернет-предпринимателям приходится только мечтать, поскольку, во-первых, читателю наверняка известно, как относятся за рубежом к российскому сегменту коммерческого Интернета, а во-вторых, работа с российскими клиентами нереальна из-за отсутствия элементарной возможности расчета тарифов.

Невозможное сделать возможным готовы отечественные страховщики, но их усердие сдерживается отсутствием нормативно-правовой базы. Здесь видна следующая тенденция: обслуживание информационным страхованием отдельных областей бизнеса напрямую связано со степенью их проработки отечественным законодательством.

Обращает на себя внимание и почти полное отсутствие предложения для физических лиц и малого предпринимательства. В целом сейчас информационное страхование является привилегией корпоративного сектора, и нет надежды на скорое улучшение ситуации, что опять-таки соответствует зарубежной практике, где число компаний, занимающихся информационным страхованием с вышеперечисленными категориями, можно пересчитать по пальцам. Это вполне объяснимо мизерными по сравнению с корпоративными заказами страховыми взносами - ежегодно 3–5% процентов от страховой суммы, которая обычно составляет не менее $500 тыс.

Страхование электронной техники обходится в 0,5–3% стоимости оборудования. К этому необходимо добавить и расходы на проведение предстраховой независимой экспертизы.

Клиенты страховых компаний часто не любят распространяться о сделке, чтобы не привлекать внимания кибер-преступников. Однако бывают и исключения. Это связано с тем, что информационное страхование помимо основной своей задачи может послужить еще и рекламным ходом, поскольку сопровождается, как и в ряде других отраслей страхования, проведением независимой экспертизы (так называемого сюрвея) третьей фирмой, в отчете (на профессиональном сленге - сюрвей рипорт) которой приводятся данные о надежности страхуемой системы.

К слову сказать, в России ИТ-страхование чаще, чем где-либо еще, воспринимается именно как маркетинговый маневр, а не как реальная возможность обеспечить информационную безопасность. Страховая сумма, указанная в договоре, сравнительно невелика (в среднем - $5–7 млн.), а о какой-либо конфиденциальности страхования речь не идет вовсе.

Напротив, в Интернете доступно множество копий сюрвей рипорта и составленного на его основе пресс-релиза оценочной компании, удостоверяющей надежность системы документооборота. А такая популярность может вызвать у немалого числа сетевых маргиналов соблазн проверить правильность экспертного заключения.

Выбор фирмы, проводящей экспертизу, обычно зависит от страховщика, а вот оплачивает экспертизу страхуемое лицо. Чаще всего сюрвеем в области информационного страхования занимаются консалтинговые и интеграционные компании. Между проведением экспертизы и заключением страхового договора может пройти большой промежуток времени. Степень риска обычно устанавливается по одному из признанных международных методов, определяющему соответствие информационной системы стандарту ISO 17799 (BS 7799).

Риск быть обманутым со стороны клиента обычно минимален. И дело не только в том, что страховая и оценочная компании - как правило, постоянные партнеры, но и в системе расчета страховой суммы. При наступлении страхового случая выплачивается компенсация средств, затраченных на восстановление информации, и убытков от прекращения деятельности в результате наступления страхового случая. При EEI учитываются расходы на приобретение новых электронных устройств или их составных частей, включая затраты на доставку, монтаж и наладку. Однако вышеозначенные негативные последствия далеко не единственные. Помимо указанной в договоре франшизы, то есть части убытков, несомой самим клиентом, есть еще и франшиза, не упоминаемая при заключении сделки, - это испорченная репутация.

В информационной сфере бизнеса более чем где-либо еще репутация компании зависит от защищенности ее систем. Это особенно актуально для России, где страх перед кибер-криминалом граничит с паранойей, и достаточно небольшого «толчка», чтобы свести на нет зарабатываемое годами доверие клиентов. Отсюда и нежелание банков оглашать потери от действий хакеров. Страховая сумма не учитывает убытков, связанных с утратой положительного имиджа компании. А между тем косвенные убытки из-за оттока клиентов и/или инвестиций могут составить в этом случае гораздо более весомую сумму, нежели стоимость утерянных информационных активов.

Развитие информационного страхования практически полностью зависит от развития общей бизнес-культуры в РФ и повышения значимости ИТ-отрасли в целом.

Если подвести некоторый итог, то для обеспечения практической реализации механизма возмещения ущерба при реализации угроз информационной безопасности необходимо проведение разработки правовых и нормативно-методических документов, определяющих порядок экспертизы объектов страхования, подготовки и выполнения плана организационных, технических и программных мер защиты информации, взаимодействия участников страхования.

Страхование информационных рисков будет эффективным при условии:

• поэтапного включения в систему страховой защиты наиболее опасных и крупных рисков в области связи и информатизации;

• сочетания рыночного механизма конкуренции и саморегулирования с государственными мерами регулирования рынка страхования;

• дальнейшего совершенствования правовой базы и экономических основ обеспечения страховой защиты юридических лиц всех форм собственности.