Будущее уже здесь, однако оно принесло не только скорость, прогресс и инновации, но и риски, о которых мы не задумывались. Киберпреступления — новое слово в мире за чертой закона, и их последствия уже исчисляются миллиардами долларов. Возместить эти убытки и сделать все возможное, чтобы ликвидировать уязвимости, — новый вызов страховщиков по всему миру. Что уже придумано и что предстоит исправить в ближайшем будущем — в эксклюзивном интервью News.ru рассказывает президент страховой компании AIG Роман Тихоненко.
— Расскажите, по итогам 2018 года, какие изменения произошли в сфере происходящих киберпреступлений? Что вышло на передний план?
— Во-первых, следует отметить, что число киберпреступлений неуклонно растет: по данным Генпрокуратуры, на конец сентября 2018 года их было зарегистрировано более 120 тысяч, то есть общее количество выросло почти вдвое. Среди самых популярных незаконный доступ к компьютерной информации, создание, использование и распространение вредоносных компьютерных программ, а также похищение персональных данных.
Появились и новые виды киберпреступлений — например, промышленные. Еще 15 лет назад было попросту нереально представить, что газотурбинную установку или целое производство можно остановить, всего лишь используя удаленный компьютер. Сегодня эта угроза существует и является одним из новейших вызовов, который мы, страховщики, пытаемся решить.
Следите за развитием событий в нашем Телеграм-канале
Совсем недавно подобное произошло в Германии: хакеры остановили печь, и вся масса жидкого металла застыла в котле, что повлекло за собой колоссальные убытки для производства. Если подобное случится на электростанции, то в лучшем случае весь город будет обесточен, в худшем — инцидент приведет к масштабной катастрофе.
До сих пор сложно оценить все риски, связанные с внешним вмешательством в производство, поэтому киберстрахование будет все больше участвовать в этом направлении.
— Какие наиболее громкие случаи в мире киберпреступлений произошли, последствия от которых пришлось пожинать страховщикам?
— Это последствия заражений вирусами-шифровальщиками в 2017 году, когда многие компании простаивали от операционного перерыва неделями и терпели многомиллионные убытки. Кроме того, всей страховой индустрии еще предстоит в полной мере почувствовать на себе последствия недавнего киберинцидента в сети Marriott, в ходе которого были похищены персональные данные 500 миллионов пользователей. Хотя уже сейчас понятно, что он выльется в десятки миллионов долларов.
— Какие риски на себя принимает страховая компания в этом виде страхования?
— Страховщики готовы брать на себя риски ответственности за раскрытие данных (как персональных, так и корпоративных), оплачивать расходы на реагирование на киберинцидент (включая IT-расследование, юридические услуги, минимизацию репутационного ущерба), расходы на восстановление данных, убытки от операционного перерыва вследствие сбоя компьютерных сетей как самого страхователя, так и его субподрядчиков, и даже расходы на снятие угрозы кибершантажа.
— Насколько перспективным видится вам рынок киберстрахования в РФ?
— Пока рынок находится в начальной стадии роста: и страховщики, и их клиенты пребывают в процессе осмысления природы и вероятности риска. По мере дигитализации социально-экономических процессов становится все очевидней подверженность организаций и физических лиц киберрискам. Растет эта осведомленность — растет и спрос на киберстрахование, и через несколько лет сборы по нему уже будут выражаться цифрой в несколько миллиардов рублей, а в потенциале могут составить сумму, сопоставимую со сборами по страхованию имущества юридических лиц.
— Насколько население у нас информировано о рисках, связанных с киберпреступностью? Какую работу по повышению финансовой грамотности следовало бы провести?
— По моим наблюдениям, все знают, что такое киберпреступность в широком смысле слова, но, как правило, считают, что сами они и их компании несущественно подвержены этим рискам. В основном, нет понимания о возможном размере ущерба, который могут нанести киберпреступники. Доступной информации об этом много, просто она пока не в фокусе у нашего населения.
К сожалению, отдельных программ по повышению осведомленности граждан об обеспечении информационной безопасности при использовании цифровых технологий в России нет, соответственно, и цифровая грамотность остается на невысоком уровне: согласно исследованию РОЦИТ, более половины российских интернет-пользователей (55%) считают, что защита их персональных данных — не их забота, кроме того, каждый пятый россиянин осуществляет платежи через публичные Wi-Fi сети (22%). Тем не менее, цифровая грамотность населения не остается на одном уровне и год от года демонстрирует рост, так что в будущем, я уверен, о киберрисках будет осведомлено большинство.
— Киберстрахование является убыточным видом страхования? Какие проблемы в нем существуют сейчас?
— Киберстрахование в мире было запущено около 15 лет назад, в России — около 5 лет назад нашей страховой компанией. В мире уже существует огромное количество урегулированных убытков, в России мы тоже нарабатываем эту практику. Так что убыточным этот вид не является, хотя частота и средний размер убытка растут из года в год.
Страхование киберрисков — это сложный комплексный полис. Допустим, случился киберинцидент, пропали данные, их нужно восстановить — все это мы оплачиваем. Или случился вирус Petya, и все «зашифровалось» — компания не работает, соответственно теряет прибыль, и это мы тоже можем страховать. Появляется очень широкий спектр расходов, связанный с киберинцидентом: расход на IT-специалистов, на юридическую защиту, на PR — ведь это репутационный риск, и необходимо грамотно объяснить общественности, что компания делает для урегулирования киберинцидента.
По большому счету, сейчас рынок страхования «не-жизни» находится в состоянии стагнации, но в направлении киберстрахования мы ощущаем прирост. Кроме того, существует инициативная группа, которая пытается сделать киберстрахование обязательным. Но, конечно, для начала нам необходимо вместе с государством проработать вопрос налогообложения, чтобы любой вид страхования уменьшал налогооблагаемую базу.