«Застраховать облако Google сможет только пул из всех мировых страховщиков» - «Интервью»
Владимир Новиков
директор по рискам «Сбербанк Страхование»
В иерархии потенциальных глобальных угроз киберпреступления перевешивают даже угрозы от стихийных бедствий и катастроф. Страховщики нашли, что противопоставить кибермошенникам.
— Что страшнее всего в киберрисках?
— Цивилизация столкнулась с тем, что с переходом на новое качество жизни — цифровое — и преступность перешла из физического мира в виртуальный. Все используют цифровые технологии — через смартфоны или системы управления предприятием: проводят платежи через банки, взаимодействуют с информационными системами государственных органов. Соответственно, подвергаются опасности внедрения вредоносного программного обеспечения либо получения доступа к финансам тех, кому вход туда воспрещен.
— Как оцениваются масштабы бедствия в целом в мире?
— Ущерб от киберпреступности измеряется, по разным оценкам, либо сотнями миллиардов долларов, либо триллионами долларов. Эти оценки носят экспертный, опросный характер. Точную оценку очень трудно дать, потому что многие жертвы киберпреступников не склонны признаваться в этом.
— Всегда ли киберпреступников привлекает именно «увод» денег со счетов?
— Целью кибератак в 90% случаев является завладение финансовыми ресурсами. Есть какое-то количество киберпреступников, которыми движет чистый «фан»: хакнуть что-нибудь и выложить эту информацию в Интернете, но в большинстве случаев все же прослеживается финансовый след. Для кибератаки нужно затратить определенные ресурсы, соответственно, мошенники нацелены на получение хоть какого-то вознаграждения.
— Можно ли классифицировать кибермошенников?
— Есть мошенники-шифровальщики, которые устраивают атаки, шифруя информационные системы, да так, что компания теряет доступ к управлению. Известен кейс с германскими железными дорогами, когда в один «прекрасный» момент на всех информационных табло на всех вокзалах появился красный квадрат и надпись, что разблокировать экран можно, переведя определенное количество биткоинов на определенный счет. Такого рода атаки носят массовый характер, с расчетом на наличие более-менее стандартных уязвимостей.
Другие мошенники работают по индивидуальному сценарию: сначала всесторонне изучают целевую жертву — как правило, крупное предприятие или организацию, находят уязвимости в информационных системах или в бизнес-процессах, подбирают инструмент для проникновения в системы и затем уже его применяют. Есть еще один вектор кибератак — это разработчики ПО. Внедрив вредоносные элементы в код программного обеспечения, мошенники получают возможность выхода на всех пользователей, купивших это ПО. В результате предприятие-«жертва» теряет контроль за своими системами, несет затраты или лишается части своих активов.
— Отследить счет и выйти по нему на владельца в этом случае, конечно же, невозможно?
— Это очень трудно сделать. Профессиональных хакеров сложно вычислить, а вот неопытные новички могут оставить следы, по которым на них можно выйти.
— Это все про крупные предприятия, с «физиками» же такие атаки устраивать невыгодно?
— Отнюдь, физические лица все больше становятся целевой аудиторией для хакеров. Логика здесь проста: комбинирование технических средств и социальной инженерии для взятия под контроль, скажем, смартфонов тысяч и тысяч физических лиц может быть более эффективным для хакеров по сравнению с атакой на крупный банк с выстроенной серьезно системой информационной безопасности. Затем уже под видом легитимных клиентов банка со счетов делаются перечисления.
— А если бы было страхование, убытки понесла бы страховая?
— Да. Ущерб, связанный с социальной инженерией либо использованием вредоносного ПО на смартфоне физического лица, может быть возмещен именно страховой компанией.
— А кража персональных данных?
— Это еще одно направление, которое может сильно ударить с финансовой точки зрения. Многие предприятия являются операторами персональных данных. Они работают в рамках довольно жесткого законодательства по хранению этих персональных данных. Кибератака может быть направлена на то, чтобы скомпрометировать персональные данные. Известны случаи, когда у сети отелей была украдена база клиентов: паспортные данные, номера кредитных карт и тому подобное. Это миллионы пострадавших. Здесь возникают репутационные риски для самой компании — банка, гостиницы, медучреждения и прочих.
— Ну в России пока никого всерьез за разглашение данных не наказывали, кажется…
— Пока у нас не сложилась практика выплаты компенсаций физическим лицам за сам факт разглашения их данных, хотя за это накладывают взыскания государственные органы. В США или странах ЕС, где законодательная ответственность за разглашение персональных данных гораздо более жесткая, для многих компаний сложно платить большие штрафы (исчисляемые десятками миллионов долларов), плюс они должны выполнить требования по уведомлению каждого клиента об этой компрометации, менять логины-пароли и так далее. В связи с этим возникло направление страхования, компенсирующего такие расходы.
Бизнес отвечает на киберугрозы двумя способами: развивается индустрия киберзащиты — создается специальное программное обеспечение, строятся системы администрирования информации, создаются защитные экранные способы фильтрации информации. По материалам Всемирного экономического форума, мировая экономика тратит порядка 150—200 миллиардов долларов ежегодно на информационную безопасность, при этом в 2022 году ожидается рост ущерба от кибератак до 8 триллионов долларов. Второй способ — собственно, киберстрахование.
— С тарифом по страхованию от киберугроз это сопоставимо?
— Нет, тариф на порядок меньше — на киберстрахование по всему миру тратится около 3 миллиардов долларов.
— В России и того меньше, видимо…
— До 2016 года в нашей стране киберстрахование существовало виртуально: все про него говорили, выступали с презентациями на конференциях, но реальных договоров было единицы. Ситуация сложна тем, что для страховой индустрии очень трудно адекватно оценить риски — это вызов.
— Действительно, как можно их просчитать, если большая часть случаев замалчивается?
— Чтобы оценить риски, нужно иметь статистику. Чтобы иметь статистику, нужно иметь опыт страхования. Этот замкнутый круг начал разрываться, так как небольшое количество страховщиков решило рискнуть в буквальном смысле и пойти в рынок киберстрахования. А заключению договора киберстрахования чаще всего предшествует кибераудит: предприятие исследуется с точки зрения уязвимости, просчитываются возможные сценарии кибератак.
— Это же затратно! Предприятие само за это платит?
— Да, это затратно, предприятие само платит за кибераудит, но при заключении договора страхования эти средства учитываются в стоимости полиса. Это дорогой, долгий полис, именно поэтому в мире застрахованы от киберугроз только 5% самых крупных предприятий. Получается, потребность есть у всех, а позволить себе киберстрахование может только крупный бизнес. При этом он техническими средствами может настолько снизить свой риск, что страхование не всегда и требуется. Конечно, на каждую защиту найдется хакер — всегда есть остаточный риск, который подлежит страхованию.
При этом есть огромное число потенциальных страхователей — малые и средние предприятия, обычные люди, которые пользуются смартфонами, осуществляют через них платежи и прочее. Они остаются незащищенными, поэтому мы начали смотреть в эту сторону. Поначалу мы пытались взять западный опыт и приложить к России. Но оказалось, что тогда мы не задействуем основной сегмент малых предприятий.
— И вы создали продукт для МСБ?
— В октябре 2017 года в пакет страхования для малых предприятий включили риск перерыва в производстве в результате кибератак. Кибераудита там нет, мы страхуем по анкете. То есть мы ограничили сумму, но сделали массовый продукт. За этот период мы застраховали около 3 тысяч малых предприятий. Страховая премия составляет от 92 тысяч до 250 тысяч рублей. Максимальное покрытие — 8 миллионов рублей. Эта сумма покрывает один-два инцидента, а предприятию не нужно держать в штате редких и дорогих специалистов по киберзащите, они привлекаются за счет страховой компании при атаке: приходят, останавливают преступников, восстанавливают работоспособность в 90% случаев. Если не восстанавливают, то страховая платит еще за перерыв в производстве.
— А как же «физики»?
— Для физлиц за 2018 год удалось совершить настоящий прорыв. У нас давно уже работает программа страхования держателей банковских карт, мы покрываем случаи несанкционированных списаний, которые не входят в зону ответственности банка. Например, когда клиент передал свои данные мошенникам сам — никакой банк это не возмещает, но страховка покрывает. Раньше он действовал только на пластиковую карту как средство платежа, с декабря 2018 года получил распространение на смартфон, с помощью которого многие проводят различные платежи в онлайн-банке или банковском мобильном приложении. В продукт включен дополнительный сервис — бесплатная установка на смартфоны специального защитного программного обеспечения от «Лаборатории Касперского», которое снижает риски заражения смартфонов вредоносными программами, фильтрует подозрительные СМС и звонки, позволяет удаленно заблокировать информацию при краже или потере смартфона.
— От страхователя ничего, кроме уплаты премии, не требуется при заключении договора? Никакого «кибераудита»?
— Для пользователей iPhone мы предоставляем киберзащиту без дополнительных условий, владельцам смартфона на Android предлагаем бесплатно установить специальное защитное программное обеспечение от «Лаборатории Касперского». Таких полисов всего за четыре с небольшим месяца мы продали уже более полутора миллионов.
— Страховых случаев было много?
— Пока не было. Это говорит о том, что программное обеспечение надежно. Тем не менее, по статистике «Лаборатории Касперского», количество вирусов для смартфонов уже превысило количество вирусов, которые пишутся для компьютеров, так что ожидается существенный рост кибератак.
— Кто еще на российском рынке активно занимается киберстрахованием?
— На уровне ВСС осенью 2018 года создана рабочая группа по развитию киберстрахования, которую я возглавляю. В ее работе участвуют 15 компаний, но пока рано говорить о сложившемся предложении страховщиков. Все же к этому рынку многие пока присматриваются, нет достаточной статистики, для новых рисков требуется дополнительный капитал, нет понимания у потенциальных клиентов важности затрат на страхование киберрисков. Поэтому я убежден, что здесь действия отдельно взятой страховой компании будут менее успешными по сравнению с объединенными усилиями: это очень опасно для компании — страховать неизвестные риски, которые постоянно эволюционируют.
— В чем, на ваш взгляд, будущее этого вида страхования?
— Я уверен, что предложение для клиентов лучше делать в партнерстве с компаниями, которые занимаются киберзащитой, чтобы предлагать и страхование, и киберзащиту, и кибераудит. Мы свой продукт позиционируем как единое предложение от Сбербанка, у которого есть своя компания по кибербезопасности — «Bi.Zone», с которым мы выступаем как партнеры.
— Чем страхование киберрисков в России отличается от западного?
— Это единственный вид страхования, в котором мы не идем за Западом, а стараемся создать что-то свое. В России нельзя застраховаться от штрафа, как, например, в ряде стран Европы. Мы можем покрывать только ответственность перед третьими лицами. Например, при кибератаке на медучреждение могут быть остановлены операции или прекращена работа систем жизнеобеспечения — это потенциально огромные иски от пострадавших и их родственников. Мы можем застраховать ответственность медучреждения перед третьими лицами на случай кибератак.
— Сейчас банки активно собирают биометрические данные. Возьметесь ли вы страховать риски взлома таких баз данных?
— По мере развития цифровизации возникают глобальные монстры, облачные хранилища с огромным объемом информации, получается огромная концентрация риска для страховщиков. Кто будет страховать такие объемы — это вызов для всей мировой страховой индустрии.
— Сейчас облачные хранилища никто не страхует?
— Они страхуются частично, у нас тоже есть такие клиенты-предприятия. Но для того, чтобы застраховать облачное хранилище Google, придется объединиться в пул всем мировым страховщикам.
— Емкость рынка можете оценить: сейчас и в перспективе?
— Мировой рынок киберстрахования, по прогнозам, к 2020 году достигнет около 7 миллиардов долларов, это капля в море, 1% от всего страхования имущества. В 2019 году российский рынок, может быть, соберет несколько десятков миллионов рублей страховой премии. Однако в дальнейшем обязательно будет «взрывной» рост, за три — пять лет мы вполне можем выйти на объем 5—7 миллиардов рублей по киберстрахованию. Когда это произойдет, зависит от многих факторов: осознания у предприятий и физических лиц киберугроз, предложения со стороны страховщиков доступных страховых продуктов, а также успехов в реализации госпрограммы «Цифровая экономика» (сейчас преобразована в нацпроект) по популяризации страхования от информационных рисков, киберрисков.
Беседовала Ольга КУЧЕРОВА, Banki.ru