Страховка необходима IT-отрасли на случай кибератак и утечек данных, заявил сенатор Артем Шейкин, заместитель председателя Совета по развитию цифровой экономики при Совфеде. По его мнению, страхование от киберугроз защитит компании так же, как ОСАГО обеспечивает интересы автовладельцев. Поможет ли это отрасли — рассуждают эксперты в материале «Известий».
Секция «Обеспечение технологического суверенитета и информационной безопасности РФ» Совета по развитию цифровой экономики при Совете Федерации поручила Минцифры и Центробанку рассмотреть возможности разработки такого механизма. Предполагается, что страховые выплаты смягчат финансовые потери и снизят риски для частных лиц и бизнеса. При этом у IT-предприятия будет больше стимула инвестировать в кибербезопасность, чтобы не попасть под оборотные штрафы и снизить сумму страховых выплат для наименее рискованного клиента — по аналогии с рынком автомобильного ОСАГО.
Второе дыхание для страховщиков
От меры поддержки выиграют больше всего банки и страховые компании, считает заместитель директора Банковского института развития Юлия Макаренко.
— Страховой рынок в РФ застрял и практически не растет. За годы капитализма у нас так и не развилась культура страхования. Общий объем премии не превышает 2 трлн рублей — на всех. Чтобы выжить, страховщики ежегодно повышают тарифы.
По словам собеседницы издания, чтобы поддержать отрасль, на высшем уровне в 2022 году обсуждались дополнительные полномочия страховым компаниям — дилерство на рынке ценных бумаг.
— Новая мера могла бы всколыхнуть этот застойный рынок, — продолжает она. — Возможно, даже появятся новые игроки, заточенные под IT-отрасль. Скорее всего, «дочки» гигантов.
Между тем, подчеркивает финансист, окажется ли такое сотрудничество вообще выгодным для страховых компаний — большой вопрос.
— Риск в том, что количество внешних угроз утечек для российских компаний растет. Снижения числа кибератак ждать не приходится.
При этом расходы на страхование — это нагрузка, которую, скорее всего, переложат на клиентов за счет очередного роста тарифов, резюмирует Юлия Макаренко.
Не перекосило бы
Сфера IT, с одной стороны, относительно свободная за счет преференций, а с другой — государство пытается изобретать инновации, чтобы ее поддержать за счет дополнительного регулирования, полагает управляющий партнер аналитического агентства «ВМТ Консалт» Екатерина Косарева.
— В отрасль IT опасно врываться с инициативами, о которых эта самая отрасль не просила. Наше законодательство крайне неповоротливо и под меняющиеся рынки адаптируется с трудом. Возможно, было бы эффективнее провести пилотные испытания для желающих или ввести добровольное страхование. Но само слово «ОСАГО» в себе добровольности не несет. И это может быть опасно.
С точки зрения аналитика, ожидаемый результат от внедрения «ОСАГО для IT» — рост тарифов в среднем и снижение конкурентоспособности.
— Тем не менее, — говорит Косарева, — крупные игроки за счет своих оборотов смогут позволить себе демпинговать. Тем самым с рынка вымоет участников с меньшей прочностью или заметно ухудшит их положение.
Проблема и в том, что российским IT-компаниям — разработчикам ПО в области кибербезопасности очень сложно его продавать, сожалеет эксперт.
— Бизнес слабо вообще себе представляет необходимость защищать данные от внешних и внутренних киберугроз. Необходимость внедрения сложных IT-продуктов требует времени, сил, денег и желания. Также зачастую необходим перевод с «компьютерного» на русский. Если утечки регулярно происходят из крупнейших IT-компаний, что говорить о других предприятиях. Так, далеко не везде работают DLP-системы, которые берегут IT-контур от проникновения информации как извне внутрь, так и наоборот. А о том, чтобы ограничить доступ к данным и навести порядок в файлохранилище, например убрать дубликаты файлов или ограничить доступ к сканам паспортов и к коммерческой тайне (за это отвечают DCAP-системы), и говорить нечего.
Каждая пятая кибератака совершается на малый бизнес. И, как правило, предприятия не готовы.
— Возможно, ситуация изменится, когда оборотные штрафы заработают во всю силу. Но прежде всего необходимо массовое осознание необходимости защиты данных от утечек. Тогда и отпадет необходимость в страховании. Эффективнее бороться с причиной утечек и кибератак, чем облегчать их последствия, — подытоживает Екатерина Косарева.
Невыгодно защищать
Инициатива, очевидно, направлена на то, чтобы страховой сектор получил еще больше прибыли, утверждает доцент кафедры информационной безопасности киберфизических систем Московского института электроники и математики им. А.Н. Тихонова НИУ ВШЭ Антон Сергеев.
— В связи с проблемами поставок автомобилей в Российскую Федерацию и их недостаточным количеством на первичном рынке страховые компании сталкиваются с трудностями и ищут новые способы заработка. Это не имеет никакого отношения к информационной безопасности или безопасности граждан, а скорее направлено только на дополнительное финансовое обогащение.
По мнению эксперта, следует относиться к этой инициативе однозначно отрицательно.
— В нашей стране законодательство по взысканию штрафов и мерам административного наказания компаний, допустивших утечку информации, остается крайне либеральным. Что в текущих условиях недопустимо. Но с точки зрения бизнеса это по-прежнему несущественное нарушение. Потеря данных пользователей никак не влияет на деловую репутацию и бизнес-процессы. Поэтому компании не будут защищать нас от хакеров, фишинговых атак и других угроз.
Как считает эксперт, законодательные инициативы должны регулироваться нормативно с точки зрения штрафов и бизнеса, но не государства.
— Законы должны защищать в первую очередь интересы граждан. Если персональные данные организаций или граждан утекают и попадают в DarkNet, то компенсацию должны выплачивать в первую очередь сами компании. Как бизнес будет страховать эти издержки и какие услуги будет предлагать страховой рынок, это уже дело этого бизнеса. Зачем вмешиваться в это законодателю, абсолютно неясно, — подводит итоги Антон Сергеев.
Сделать всё возможное
Сейчас компании наперегонки спешат предоставить потребителям комплексные услуги через свои мобильные приложения, а вопросы обеспечения безопасности имеют невысокий приоритет, рассуждает аналитик ФГ «Финам» Леонид Делицын.
— Утечки персональных данных стали рядовым явлением. Минцифры даже разработало закон, который позволит штрафовать компании. При повторных утечках штрафы могут достигать 3% оборота. Такой ущерб уже не является бесформенным, его можно оценить, и сумма может быть крупной. Соответственно, появляется возможность вести страховой бизнес.
Смысл страхования — в поощрении ведения инновационного бизнеса, связанного с высокими рисками. Но, на взгляд Леонида Делицына, инициатива требует доработки.
— Чтобы получить выгодные условия страхования (если оно будет), компании должны будут подтвердить, что приняли максимум мер по защите данных. Например, заключили контракт с хорошо известным отечественным поставщиком услуг кибербезопасности. В результате компании этого сектора должны выиграть от роста спроса.