Intelligent Enterprise: Как давно у Allianz появилось страхование кибер-рисков? Среди каких категорий компаний эти услуги пользуются наибольшей популярностью?
Найджел Пирсон: Страхование кибер-рисков как самостоятельный продукт мы запустили в 2013 году на рынке Германии, а к настоящему времени предлагаем его уже в девятнадцати странах, в том числе и в вашей. В России данные сервисы были запущены в ноябре 2016‑го.
Однако отдельные элементы страхования кибер-рисков мы уже десять лет включали в другие наши продукты. Например, направленные на страхование от перерывов в производстве или на страхование ответственности. Последнее покрывает среди прочего издержки, связанные с кражей и утечкой данных — платежных или относящихся к категории персональных. Такого рода инциденты чреваты довольно серьезными санкциями со стороны регуляторов, как государственных, так и отраслевых, в частности консорциума PCI, который контролирует оборот карточных платежей. Но и в случае перерывов в производстве, равно как и при страховании ответственности, очень велик риск, связанный с нарушением нормального функционирования информационных систем, при этом неважно, чем оно вызвано — действиями внешних или внутренних злоумышленников, ошибкой персонала или какими-то иными причинами.
Американские компании начали предлагать страхование кибер-рисков еще лет на десять раньше, чем в Европе. В итоге в США в настоящее время такие услуги оказывают, по весьма консервативной оценке, не менее полусотни компаний, а объемы страхования кибер-рисков достигают трёх миллиардов долларов. А в Евросоюзе кибер-риски страхуют около тридцати компаний, и их оборот составляет 200–300 миллионов. Однако темпы роста в ЕС измеряются двузначными числами, и есть все шансы догнать Америку в весьма обозримой перспективе.
Естественно, на индустрию страхования оказывают влияние громкие инциденты, которые становятся достоянием широкой общественности и бурно обсуждаются. Это повышает осведомленность о том, что такие риски существуют и, более того, могут нанести немалый ущерб. Особенно учитывая, что атаки ведут профессиональные преступники, преследующие вполне меркантильные цели, включая прямую кражу денежных средств со счетов, вымогательство самим фактом владения чувствительной информацией или путем проникновения в информационные системы. От обычных грабителей их отличает только используемый инструментарий. Велика активность и идеологически мотивированных атак, которые не имеют прямого материального мотива для организаторов, но также способны нанести серьезный ущерб. Растет интерес к хакерским средствам и со стороны террористических группировок. При этом надо сказать, что многие из таких средств сдаются в аренду всем желающим.
Однако и мы, и наши коллеги не делаем разницы между деятельностью киберпреступников и хактивистов, тем более что они используют одни и те же инструменты. Нельзя исключать и того, что хактивисты могут приписывать себе действия, осуществленные киберпреступниками, а террористы — нанимать «черных» хакеров. Так что страховые продукты будут покрывать возможный ущерб от кибератаки, которую провели по идеологическим мотивам. Даже если речь идет об акте кибертерроризма, хотя ущерб от традиционного терроризма страховыми продуктами, как правило, не покрывается.
В некоторых странах громкие инциденты приводят к тому, что меняется законодательство и расширяется регулирование. Сейчас, например, в Китае идет работа над законом о защите данных, в котором государство получит очень серьезные полномочия. И под требования этих нормативных актов будут подпадать все международные компании, работающие на китайском рынке.
Что касается спроса на услуги страхования кибер-рисков, то здесь многое зависит от специфики каждого отдельного государства. Скажем, в США и Великобритании велик спрос со стороны розничной торговли. Там торговые сети очень крупные, собирающие большие массивы клиентских данных, и последствия от кражи или утечки могут быть весьма значительными. Тем более, что в США именно розница является основным оператором банковских карт. Продукты, связанные со страхованием рисков перерыва в производстве, популярны у производственных компаний. Не надо напоминать, какова цена такого перерыва и к каким убыткам он может привести. Эти продукты пользуются спросом и у телекоммуникационных операторов, а также у тех, кто продает билеты, будь то гражданская авиация, железные дороги, городской транспорт, театры, концертные залы, стадионы или другие зрелищные мероприятия.
Какова величина рисков, от которых вы страхуете, если говорить об их объеме в понятном выражении?
Мы делим кибер-риски на три группы. Они покрывают не только непосредственный ущерб, который несет пострадавшая компания, но и её ответственность перед третьими лицами, прежде всего клиентами, покупателями, заказчиками, а также регуляторные риски. Тут, однако, есть определенные нюансы, связанные с национальным законодательством. Например, в России нельзя страховать ущерб от штрафов и пеней, которые накладывают государственные регуляторы согласно Уголовному и Гражданскому кодексам. Впрочем, размер этих штрафов невелик, по крайней мере пока.
Возьмем в качестве примера компанию с оборотом в десять миллионов евро в год и операционной прибылью в три миллиона. Она работает на рынках Европы и США, использует карточные платежи, ее услугами пользуется сто тысяч частных и около тысячи корпоративных клиентов.
Допустим, с нашей гипотетической компанией случились две неприятности: перерыв в производстве в результате хакерской атаки и утечка данных. Очень часто обе эти ситуации идут рука об руку, например, когда для прикрытия кражи данных используется DDoS‑атака.
Из-за перерыва в производстве ущерб составит 900 тыс. евро. С утечками все несколько сложнее. Прежде всего придется понести затраты на уведомление всех потенциально пострадавших. Прямые затраты тут составят десять евро в расчете на одну скомпрометированную запись. В итоге только на это уйдет миллион евро. Еще пятьсот тысяч будет потрачено на расследование инцидента, двести тысяч составят затраты на услуги юристов и двести пятьдесят тысяч — на организацию колл-центра. Кризисный пиар обойдется в 100 тыс. евро. Так что общий ущерб, связанный с утечкой данных, превысит два миллиона. Но и это еще не всё. Поскольку были скомпрометированы платежные карты, штраф в размере 100 тыс. долл наложит консорциум PCI. Плюс еще штраф со стороны европейского регулятора, который составляет 2% от годовой выручки, то есть 200 тыс. евро. А через год этот штраф составит уже 4% от выручки. Если убытки просуммировать, то они составят без малого 3,3 млн евро, что превышает всю операционную прибыль нашей гипотетической компании. Таким образом, один серьезный инцидент может привести предприятие к банкротству.
Проводится ли перед заключением договора ИБ-аудит в компании-клиенте? И если да, то чьими силами это делается?
Состояние защищенности компании мы обязательно оцениваем. Наш продукт, в том числе и рассчитанный на российский рынок, включает в себя три программы страхования. И для каждой такой контроль проводится по-разному.
При выборе базового тарифа «Стандарт» с лимитом 10 млн евро клиент еще на стадии подготовки к заключению договора заполняет специальную анкету, весьма подробную. Ответы на её вопросы позволяют оценить уровень ИБ в компании. Естественно, мы предупреждаем, что если ответы не будут честными, то ни о каком возмещении при наступлении страхового случая не может быть и речи.
Если же клиент выбирает более дорогой тариф «Премиум» с лимитом в 50 млн евро, рассчитанный на более крупные компании или на те, которые сильнее зависят от функционирования своих ИТ, то в этом случае ему уже необходимо пройти аудит. В структуре Allianz есть подразделение Allianz Risk Consulting, и его сотрудники, а это квалифицированные инженеры в области ИТ и ИБ, исследуют на месте, как обстоит дело у потенциального клиента.
Наконец, при выборе наиболее «продвинутого» тарифа «Плюс» с лимитом в 100 млн евро проводится уже полноценный ИБ-аудит силами внешней компании, специализирующейся на расследовании серьезных инцидентов в области ИТ и ИБ. Мы пришли к выводу, что нам лучше иметь широкий спектр партнеров. Это могут быть как крупные международные организации, которые занимаются разными видами аудита, так и более локальные и специализированные. Ведь не всякая компания, хорошо разбирающаяся в традиционных ИТ, сможет оценить уровень защищенности комплексов АСУТП или систем диспетчерского управления. Да и сами технологические системы имеют заметные различия в разных отраслях, поэтому те, кто обладает высоким уровнем компетенции, скажем, в энергетике, может не иметь ни малейшего понятия о том, как функционируют управляющие комплексы в нефтехимии или металлургии.
Так что в каждом конкретном случае мы сами определяем, к кому нам лучше обратиться. В России нашим партнером является компания Group-IB. С её помощью мы получаем возможность детально оценить реальный уровень защищенности ИТ-инфраструктуры потенциального клиента. И даже подсказать, каким образом он может повысить уровень защиты своих информационных систем. Мы заинтересованы в том, чтобы все слабые места оперативно устранялись. И при этом стремимся сделать такое взаимодействие постоянным.
Насколько влияет ситуация с ИБ на тарифы?
У Allianz Risk Consulting есть показатель «зрелость ИТ-систем клиента». Он измеряется числом от 1 до 10, и чем он выше, тем, значит, более зрелыми ИТ обладает компания и тем глубже ее руководство понимает, как обстоят с ними дела и насколько от их функционирования зависит бизнес. Естественно, чем выше данный интегральный показатель, тем ниже тариф, и наоборот.
Однако мы, как и другие страховые компании, считаем, к сожалению, не без оснований, что предприятия даже с самыми зрелыми ИТ не могут гарантировать себе полную защиту от взлома или кибератаки. Наши специалисты не только оценивают уровень защиты сетевого периметра, но и смотрят, как будет чувствовать себя взломщик, если он этот периметр пройдет, прежде всего сможет ли он похитить критичные данные или нарушить работу систем. И если стоит система, предотвращающая перенос данных за пределы компании, а сами данные зашифрованы, так что злоумышленник не сумеет в течение долгого времени определить, представляют ли они для него интерес, то это, конечно, будет принято во внимание. Полезно иметь и систему резервного копирования. Только так можно минимизировать деятельность программ-вымогателей, которые составляют до половины активных вредоносных программ и наносят очень большой ущерб.
Все страховые компании будут возмещать ущерб только при условии, что застрахованный вел себя ответственно. Если вы застраховали дом от пожара, а в доме не было средств пожаротушения, то рассчитывать на выплату страховки будет, мягко говоря, проблематично, так как поведение застрахованного ответственным признать нельзя. В случае страхования кибер-рисков оценить уровень разумности и ответственности крайне сложно. И, честно говоря, пока было не так много прецедентов, связанных со спорами, которые возникали на почве этого вида страхования. Хотя в Великобритании при наступлении страхового случая, например, утечки данных страховая компания просто обязана выплатить возмещение вне зависимости от того, кто является виновником этого инцидента. Такова сложившаяся судебная практика, и ничего с этим поделать нельзя. С перерывами в производстве дело еще сложнее. Тут масса нюансов, и кибератака — далеко не самая распространенная причина нарушения нормальной работы систем. Так что надо смотреть, как всё будет развиваться дальше.
Могу только сказать, что инструментарий, который используют злоумышленники, постоянно меняется, и всё предусмотреть в своих полисах мы не можем. Так что упор приходится делать на результат их деятельности, будь то нарушение нормального функционирования компании или утечка данных. И неважно, произошло ли это по вине злоумышленников, внутренних или внешних, в результате ошибки персонала или из-за поломки оборудования.
Что изменится для вас и ваших клиентов, если страхование кибер-рисков станет обязательным требованием регуляторов?
Пока такого нет нигде. Сейчас всё еще на стадии разговоров. Но если где-то такие нормы появятся, то это, безусловно, окажет серьезное влияние и на нас, и на наших потенциальных клиентов. Прежде всего далеко не все страховщики готовы предоставлять такие услуги. Особенно на развивающихся рынках. Например, в России мы стали второй компанией, которая предлагает страхование подобного рода рисков. А как я уже говорил, процедура заключения договора страхования кибер-рисков довольно сложная и длительная, и страховые компании могут оказаться не готовыми к тому, чтобы страховать большое количество клиентов, в том числе в тех отраслях, где раньше эти услуги не предоставлялись.
Есть мнение, что активное внедрение страхования кибер-рисков может привести к активизации злоумышленников, например, авторов программ-вымогателей. Так ли это?
Схожие аргументы приводились при запуске и других продуктов страхования, в том числе направленных на защиту от традиционного вымогательства или похищения с целью выкупа. Здесь тоже высказывались опасения, что появление таких продуктов вызовет активизацию злоумышленников, поскольку в этом случае будет проще заплатить застрахованным выкуп. Время развеяло все опасения.
Для компаний в силу вступают еще и элементарные правила управления рисками. Риски никогда полностью не принимаются, если ущерб от них покрывается страховкой. Кроме того, при заключении договора, повторюсь, обязательно проводится проверка состояния ИТ и ИБ. И чем хуже там обстоят дела, тем больше тариф, и соответственно появляется стимул всё исправить. Ну и мы тоже заинтересованы в том, чтобы у нашего клиента было всё хорошо и страховой случай не наступил.
С Найджелом Пирсоном беседовал научный редактор Intelligent Enterprise Яков Шпунт