Полис покроет ущерб от утечки персональных данных граждан
Страхование может стать одним из инструментов минимизации утечек персональных данных россиян и повысить ответственность операторов при их обработке. Если страхование киберрисков станет обязательным, люди будут больше защищены от ущерба из-за того, что их личная информация была слита. Но пока такие полисы не слишком распространены, рассказали "Российской газете" участники рынка.
Законопроект об обязательном страховании от утечек персональных данных разработали в Совете Федерации. На прошедшем недавно обсуждении в верхней палате парламента представители регулятора и страховщики пришли к выводу, что документ необходимо доработать.
В частности, директор департамента страхового рынка Центробанка России Илья Смирнов указал, что в новом законе должны быть четко прописаны не только страховая сумма, лимиты, перечень рисков, но и перечень исключений - их не должны устанавливать сами страховые компании.
Заместитель председателя Совета по развитию цифровой экономики при Совета Федерации Артем Шейкин привел данные Роскомнадзора, согласно которым число зафиксированных утечек персональных данных выросло до 168 в 2023 году. Для сравнения - в 2022 году было 140 случаев.
Увеличивается количество личной информации людей в открытом доступе - это телефонные номера, адреса, история покупок, медицинские данные и другие.
Все это преступники используют для продажи, мошеннических схем, кражи денег или имущества, отметил Шейкин.
Страховое сообщество поддерживает предложение о введении страхования киберрисков, заявил президент Всероссийского союза страховщиков Евгений Уфимцев. По его словам, в первую очередь необходимо решить, чья ответственность страхуется - оператора данных или организации, которая их обрабатывает. Также, по мнению Уфимцева, в законе должна быть прописана классификация по категориям данных - финансовые, медицинские и другие, поскольку ущерб от утечки может быть разным.
"Страхование от киберрисков - тема не только модная, но и реально востребованная. Практически ежедневно происходят различные киберинциденты, - говорит управляющий директор по рейтингам страховых и инвестиционных компаний агентства "Эксперт РА" Алексей Янин. - Проблема в том, как определить, что именно и какие риски застрахованы, как понять, кому именно и какой нанесен ущерб, кто и как будет доказывать факт самого киберинцидента, определять круг пострадавших лиц, оценивать этот ущерб".
Работа механизма страхования будет зависеть от того, как будут разрешаться неизбежные споры и как увязать конкретную утечку с нанесенным ущербом. По словам Янина, пока не наработана практика этого страхования. По оценкам участников рынка, только у шести компаний есть договоры по этому направлению. Как рассказал начальник управления страхования ответственности "Ингосстраха" Дмитрий Шишкин, для небольших организаций кибербезопасность не входит в приоритетные задачи, а крупный бизнес надеется на компетенцию своих сотрудников.
"Среди клиентов - физических лиц такое страхование не развито совсем. Со стороны юридических лиц, по нашим наблюдениям, спрос на страхование киберрисков, особенно в сегменте малого и среднего бизнеса, после долгого застоя показывает хорошую динамику в последние два года. Это обусловлено не только всплеском количества киберугроз, но и тем, что бизнес стал лучше понимать свои риски", - рассказал руководитель отдела страхования корпоративной ответственности и финансовых линий компании "Абсолют Страхование" Алексей Алькин.
Само по себе введение обязательного страхования сразу никак не повысит защищенность граждан от киберугроз, полагает Алькин, особенно учитывая динамику их роста, существенно превосходящую рост спроса на покрытие таких рисков. Однако со временем это должно позитивно сказаться на качестве услуг операторов данных, если стоимость киберполиса будет сильно зависеть от уровня информационной безопасности оператора.
Страхование киберрисков надо увязывать с ущербом конкретному виду деятельности
"Но что можно заявить уже сейчас - введение законодательных требований к страхованию ответственности операторов данных должно упорядочить не только подходы рынка к покрываемым страховым полисом рискам, но и обеспечить формирование единого подхода к урегулированию убытков", - отметил Алькин.
Дмитрий Шишкин считает, что защищенность граждан после принятия закона должна повыситься, но все зависит от конкретных формулировок документа. "Перед принятием закона необходимо проработать ряд важных вопросов: как определить, из какого источника утекли данные, если в течение определенного периода времени одинаковые данные утекли из нескольких источников; как действовать, если утекшие данные повторяют утечку прошлых лет, то есть уже лежат в Сети; должен ли быть причинен ущерб в результате утечки данных и как его оценить или достаточно одного факта утечки", - подчеркнул Шишкин.
Основная цель законодателей - побудить компании обратить внимание на свою ИT-инфраструктуру, отметили в ВСК. В том числе обеспечить лучшую защиту хранящимся персональным данным или отказаться от их сбора, если это не требуется для деятельности.