Развитие киберстрахования в России

Эли Андрей Николаевич
Выпускник группы MBA CSO-41
Школы IT-менеджмента Института ЭМИТ
РАНХиГС при Президенте РФ

К началу 2024 г. уровень внедрения информационных технологий достиг широкого и повсеместного распространения, что в современных реалиях отражается не только на экономическом развитии России, но и на структурном рынке киберстрахования. Изучая рынок информационных технологий за последние 20 лет, наглядно прослеживаются глобальные изменения цифровой инфраструктуры, распространение и популяризация гаджетов, а также становление новой отрасли страхования – киберстрахование. Цифровизация бизнес-процессов и распространение дистанционных каналов передачи информации является первопричиной появления и распространения новых рисков. Ввиду этого современные организации и отдельные группы граждан испытывают необходимость в планомерной разработке и внедрении условий, которые в полной мере позволят обеспечить им безопасность данных в киберпространстве.
Актуальность представленной работы обусловлена тем, что процесс управления информационной безопасностью базируется на формировании первичного представления о рисках и их последующей оценке. Оценка рисков дает возможность разработки плана их устранения, удержания, избегания, разделения или минимизации, что в целом, позволяет управлять ими. Наиболее интересной выступает стратегия разделения рисков, которая может быть реализована с помощью получения полиса страхования. Это позволяет не только компенсировать или избежать наступления риска, но и оказывает поддержку в процессе устранения последствий возникшего инцидента. Рынок и практика осуществления киберстрахования растут, что позволяет говорить о перспективе их дальнейшего совершенствования и развития.
Целью представленной исследовательской работы выступает изучение процесса и перспектив развития киберстрахования в России.
Для реализации поставленных целей, необходимо выполнить следующие сопутствующие теоретические и практические задачи:
• Дать определение киберстрахованию;
• Изучить историю и развитие киберстрахования;
• Рассмотреть виды киберстрахования и покрытия страхования;
• Изучить законодательное регулирование киберстрахования в России;
• Провести сравнительный анализ с международными практиками;
• Выявить проблемы и перспективы законодательного регулирования;
• Отразить текущее состояние рынка киберстрахования;
• Провести анализ крупнейших страховщиков и предложений по киберстрахованию;
• Исследовать спрос и потребности клиентов;
• Рассмотреть реальные случаи киберинцидентов и их покрытия страхованием;
• Проанализировать эффективность киберстрахования в кризисных ситуациях.
Объектом исследования выступает рынок страхования в России.
Киберстрахование выступает одной из отраслей страхования, предполагающей приобретение страхового полиса, покрывающего перечень угроз информационной безопасности экономического субъекта или физического лица. В процессе исследования было выделено 5 основных этапов зарождения и развития киберстрахования в России, каждому из которых присущи определенные законодательные разработки, цели и задачи:
1. Первоначальный этап вхождения в российское информационное пространство концепции страхования информационных рисков;
2. Этап разработки методологии и концепции для внедрения страхования информационных рисков;
3. Этап, когда страховые компании начали активное участие в завершающей фазе методической поддержки и тестирования страхования информационных рисков;
4. Этап формирования начального спроса на киберстрахование и структурирования рынка через предложение соответствующих страховых продуктов;
5. Этап, характеризующийся появлением первых успешных примеров сотрудничества между страховыми компаниями и фирмами в области информационной безопасности.
В ходе работы было выявлено, что ключевыми нормативно-правовыми актами, направленными на регулирование вопросов страхования информационных рисков в России, являются:
• Конституция Российской Федерации;
• Уголовный Кодекс Российской Федерации;
• ФЗ № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• ФЗ № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»;
• ФЗ № 403-ФЗ «О противодействии терроризму».
Сравнительный анализ отечественной и зарубежной практики, требует рассмотрения правовых основ стратегий национальной информационной безопасности отечественного и зарубежного формата. Так, на 2022-2025 гг. стратегия национальной кибербезопасности США включает в себя:
• Формирование и обеспечение безопасностей, а также – успешной цифровой экономики;
• Укрепление мира и безопасности через расширение возможностей Соединенных Штатов в сотрудничестве с союзниками и партнерами. В эту стратегию входит разработка и внедрение мер, целью которых является установление системы санкций против индивидов и стран, злоупотребляющих цифровыми средствами для вредоносных целей;
• Расширение американского влияния за пределами своих границ с амбицией продвижения фундаментальных принципов открытого, совместимого, надежного и защищенного использования киберпространства.
В рамках анализа текущего состояния отрасли наглядно прослеживается тенденция повышения числа нарушений информационной безопасности. Важно отметить, что несмотря на повышение рисков, экономические субъекты и физические лица не спешат прибегать к услугам страховых компаний. Со стороны физических лиц кибератакам чаще всего подвергаются банковские карты, со стороны экономических субъектов атакам подвергаются преимущественно счета. При этом физические лица в большей мере подвергаются кибератакам в силу того, что отсутствует осведомленность о кибербезопасности и мерах предупреждения наступления рисков. Согласно структуре кибератак в различных экономических отраслях наибольшей опасности подвергаются субъекты, осуществляющие свою деятельность, в нескольких сферах, государственные учреждения, сфера услуг и иные финансовые организации. Ввиду этого отмечается необходимость о повышении уровня заинтересованности в страховании информационных рисков.
Анализируя спрос и предложение на рынке, можно выделить две наиболее значимые проблемы, которые на текущий момент являются актуальными. Начнем с того, что на текущий момент для осуществления страхования информационных рисков кроме страховой компании и экономического субъекта (или физического лица) в процесс привлекается третья сторона. Вовлечение третьей стороны требуется для проведения фактического анализа ситуации у клиента, однако, процедуры в текущий момент содержат ряд недостатков, в том числе отсутствие критериев оценки уровня экономической безопасности. Вторым существенным недостатком выступает то, что на данный момент не существует полноценного профильного регулирования сферы киберстрахования. фактический интерес к услугам страхования киберрисков со стороны компаний есть.
С конца 2022 года страхование информационных рисков выступает одним из обязательных требований для осуществления полноценного регулирования ответственности компаний за информационную безопасность. Стремление к внедрению обязательного киберстрахования направлено на реализацию конкретной цели, которая заключается в создании полноценного механизма обязательного финансового обеспечения ответственности операторов персональных данных в случае утечек. По своему существу планируется, что все экономические субъекты будут иметь финансовое обеспечение для возмещения ущерба, причиненного субъектам персональных данных, при нарушении законодательства.