Страхование информационных рисков

 Из истории страхования информационных рисков 
Следует отметить, что страхование специфических рисков, связанных с информационными технологиями, за рубежом возникло довольно давно и развивалось по другому сценарию, нежели в России. Первым специальным страховым полисом, предоставлявшим защиту от компьютерных рисков, в Европе принято считать полис страхования банков от электронных и компьютерных преступлений, разработанный и принятый в качестве типового в английской ассоциации Ллойдс в 1981 г.  
К слову, страхование от компьютерных рисков за рубежом и сейчас иногда является частью других страховых программ. Несколько расширить существующую страховую программу, включив туда один-два новых, пусть и непонятных страховщику рисков, всегда проще, чем сразу выпускать на рынок новый специальный продукт без четкого понимания перспектив продаж и возможных убытков. Например, распространенный продукт под названием комплексное или коммерческое страхование от преступлений (commercial crime/fidelity insurance) помимо традиционного страхования ценного имущества от грабежа и кражи дополнен рисками, связанными с мошенническим компьютерным переводом денежных средств и ценных бумаг, а также с хищениями со стороны сотрудников компании, которые могут быть совершены, в том числе, и с использованием информационных технологий.  
В России начало страхованию компьютерных рисков было положено в 1997 г., когда «Ингосстрах» получил лицензию на страхование банков от электронных и компьютерных преступлений. Отечественный финансовый рынок - банки, брокеры, дилеры и депозитарии - сейчас является основным потребителем услуг по страхованию информационных рисков. На сегодняшний день застраховано несколько десятков банков и профессиональных участников фондового рынка со страховыми суммами от нескольких сотен тысяч до десятков миллионов долларов. Такие полисы предоставляют защиту от рисков взлома компьютерных сетей банков, подделки электронных поручений на перевод денег и ценных бумаг, распространения вирусов и т.п.1 

До недавнего времени компании, тесно связанные с информационными технологиями если и пользовались услугами страховых компаний, то только с целью страхования своего имущества от различного вида стихийных бедствий - пожаров, наводнений, воздействий воды при тушении пожара (например, конденсация пара и выведение из строя) и т.д. Кроме того, популярностью пользуется и страхование оборудование от скачков напряжения и других ситуаций, приводящих к нарушению функционирования и даже уничтожению сетевого и иного оборудования. Из последних нашумевших случаев такого рода угроз можно назвать пожары в компании "Инфосистемы Джет" и в здании телефонной станции на улице Щепкина, 51, принадлежащей Замоскворецкому узлу связи ОАО "МГТС". В последнем случае из строя вышли 4 АТС и около 40000 абонентов оказались без связи, а также пострадали компании "AMT", "Телмос", "Комстар" и "МТС".

Прежде чем говорить об опасностях, угрозах и рисках в информационной сфере, необходимо определить, что является объектом страхования на основе действующих в области информатизации и страхования федеральных законов:

“Об информации, информатизации и защите информации”;

“Об организации страхового дела в Российской Федерации”;

“О правовой охране программ для ЭВМ и баз данных”.

Исходя из закона о страховании объектами страхования являются:2

- имущество, имеющее собственника, владельца;

- ответственность за причинение  вреда имуществу других физических  или юридических лиц.

Проанализировав правовые акты, действующие в сфере информатизации, можно определить объекты страхования:

- документированная информация;

- информационные ресурсы;

- информационные системы, технологии и средства их обеспечения;

- программы для ЭВМ (в  том числе операционные системы  и системы автома-тизации банковской  деятельности) и базы данных;

- средства защиты информации;

- объекты информатизации (например, коммерческий банк как  совокупность информационных ресурсов, средств и систем обработки  информации, используемых в соответствии  с заданной информационной технологией, средств обеспечения объекта  информатизации).

С 2003-го и по сей день наблюдается некоторое затишье, изредка прерываемое крупными сделками. К слову сказать, сегодняшнее положение свойственно не только российскому, но и мировому рынку. Хотя, конечно, на Западе страхование информационных рисков идет все же активнее, что связано, прежде всего, с более высоким уровнем развития электронной коммерции. 
 
В настоящее время информационно-страховые услуги предоставляют "РОСНО", "Ингосстрах", "ГУТА-Страхование" и ряд других фирм. В основном они предлагают клиентам два вида услуг (наиболее востребованных) - это страхование электронных устройств (Electronic Equipment Insurance, EEI) и страхование активов от преступлений в ИТ-сфере. Первый вид является своеобразным гибридом информационного и имущественного страхования. EEI включает в себя риски, не поддерживаемые в классическом имущественном страховании, такие, например, как сбои в системах из-за короткого замыкания, отклонения от стандартных уровней напряжения и частоты, магнитной индукции. 
 
Определение второго вида информационного страхования весьма размыто. Обычно к страхуемым рискам такого рода относят действия вирусов или троянов, хакерские атаки (в том числе с применением пресловутой "социальной инженерии") или противоправные действия сотрудников самой компании-клиента, направленные на хищение информационных активов или денежных средств. Другие виды информационного страхования на российском рынке представлены слабо и в большинстве своем находятся в зачаточном состоянии. Это относится, например, к рискам в сфере интеллектуальной собственности или электронной коммерции. Единичные инициативы не позволяют назвать то, что есть, даже зарождающимся видом деятельности.3 
 
Помимо пресловутых сложностей с национальным менталитетом, якобы отторгающим само понятие такой собственности, есть и другая тормозящая прогресс причина. Страховые компании выжидают, пока редкие энтузиасты набьют себе шишки, неизбежные в становлении нового бизнеса. И лишь после того, как разрозненные случаи такого страхования накопятся в достаточном числе, чтобы можно было понять, чего ждать от нового рынка, страховщики начнут "большую игру". И не факт, что в этой игре они опередят западных конкурентов, уже имеющих опыт и техническое преимущество. Клиенту результат этой борьбы, конечно, безразличен, но за "своих" все же будет обидно. 
В е-коммерции ситуация еще хуже. Ни в одном сегменте экономики проблема безопасности не стоит так остро. Комплексное страхование е-бизнеса должно представлять собою гибрид уже упоминавшегося EEI и страхования информационных активов, плюс к тому оно должно покрывать риски по доставке товаров (страхование грузов) и финансовым операциям (страхование убытков от предпринимательской деятельности). Пожалуй, наиболее известным первопроходцем, который начал оказывать некоторые из вышеперечисленных услуг B2B-сектору е-коммерции еще в 2002 году, является "НИКойл". Собственно говоря, основой проекта тогда стало создание электронно-финансового центра "НИК-Пэй Расчеты", а те риски, которые этой торговой площадкой не устранялись, предлагалось страховать в дочерней фирме соответствующего назначения. Время идет, но о серьезных подвижках в этой сфере говорить не приходится. Западное покрытие рисков е-коммерции может превысить $200 млн. О таких суммах отечественным Интернет-предпринимателям приходится только мечтать, поскольку, во-первых, читателю наверняка известно, как относятся за рубежом к российскому сегменту коммерческого Интернета, а во-вторых, работа с российскими клиентами нереальна из-за отсутствия элементарной возможности расчета тарифов. Невозможное сделать возможным готовы отечественные страховщики, но их усердие сдерживается отсутствием нормативно-правовой базы. Здесь видна следующая тенденция: обслуживание информационным страхованием отдельных областей бизнеса напрямую связано со степенью их проработки отечественным законодательством. 
 
Обращает на себя внимание и почти полное отсутствие предложения для физических лиц и малого предпринимательства. Автору в процессе подготовки данного материала из такового встретилась только работа компании "ГУТА-Страхование" по защите пластиковых карт. Страховая сумма выплачивается в случае утери, размагничивания, повреждения, кражи карты и несанкционированного доступа. Но в целом сейчас информационное страхование является привилегией корпоративного сектора, и нет надежды на скорое улучшение ситуации, что опять-таки соответствует зарубежной практике, где число компаний, занимающихся информационным страхованием с вышеперечисленными "ущербными" категориями, можно пересчитать по пальцам. Это вполне объяснимо мизерными по сравнению с корпоративными заказами страховыми взносами - ежегодно 3–5% процентов от страховой суммы, которая обычно составляет не менее $500 тыс. Страхование электронной техники обходится в 0,5–3% стоимости оборудования. К этому необходимо добавить и расходы на проведение предстраховой независимой экспертизы.4 По уже знакомой на примерах развития других финансовых начинаний закономерности за "тонких" клиентов страховщики возьмутся не раньше, чем перехватают "упитанных" или же сойдутся в жестокой конкурентной схватке. Пока они работают скорее плечом к плечу.

Российские перспективы

Не так давно в России появились и страховые полисы, ориентированные на нефинансовые организации - предприятия любых отраслей и видов деятельности. Для них страховая защита может включать в себя помимо упоминавшихся рисков атак хакеров и действий компьютерных вирусов также новые риски сбоев информационных систем, перерыва в коммерческой деятельности, возникновения дополнительных расходов на аренду резервных центров и защиту репутации пострадавшей компании. Особенно актуально такое страхование для промышленных предприятий, которые имеют комплексные автоматизированные системы, контролирующие критические участки деятельности компании: технологический цикл производства, сбыт, финансы. Это еще очень молодое направление страхового бизнеса, и пока таких полисов в России немного. По мере того как предприятия будут становиться все более зависимыми от надежности информационных технологий, популярность этого вида страхования будет расти.

Таким же благоприятным может быть прогноз для страхования различных видов ответственности, связанной с профессиональной деятельностью. Первыми клиентами отечественных страховых компаний по этому направлению были производители средств защиты информации и регистраторы доменных имен. Однако с момента выдачи в России первого полиса по страхованию профессиональной ответственности в области информационных технологий прошло уже больше трех лет, и сейчас список страхуемых видов деятельности значительно расширился.

Предлагаемые сейчас российскими страховыми компаниями услуги в области страхования информационных рисков часто представляют собой адаптированные под отечественную специфику варианты соответствующих зарубежных разработок. Нежелание изобретать велосипед продиктовано чаще всего необходимостью говорить с международным страховым рынком на одном языке - ведь потом эти риски необходимо будет перестраховывать за рубежом.

Тем не менее, не все западные страховые продукты можно привнести на наш рынок. Для того чтобы страхование успешно развивалось, нужны определенные условия - такие, как умеренная убыточность, возможность сбора доказательств и объективного подтверждения страхового случая, возможность определения размеров ущерба, а также наличие механизмов контроля страхового мошенничества. По различным объективным (законодательство, страховая культура, деловая практика) и субъективным (нежелание компаний вкладывать деньги в информационную безопасность) причинам в России не все эти условия сейчас имеются. 
К примеру, наиболее сложный риск с точки зрения рассмотрения страховой компанией - это риск сбоя информационных систем. Сбой может длиться сотые доли секунды и нанести при этом убытки, исчисляемые миллионами. Зафиксировать факт сбоя, а уж тем более достоверно определить причины - задача чрезвычайно сложная. Она требует не только профессионализма экспертов страховой компании, но и наличия у клиента специальных технических средств обнаружения ошибок, развитых функций протоколирования операций, а также выполнения еще около десятка условий. 99,9% российских компаний такими возможностями не обладают. Здесь трудно предъявлять претензии к отечественному бизнесу - каждый считает деньги и пытается найти свой баланс между уровнем безопасности и размером вложенных средств. Тем не менее, для страховой компании отсутствие необходимой инфраструктуры сильно затрудняет работу.

Еще одним ярким примером может быть так называемое «страхование интеллектуальной собственности», о котором много говорится, но которое так и не нашло применения в отечественной страховой практике. Страхование в сфере оборота интеллектуальной собственности можно разделить на две части:

- страхование ответственности за случайное, непреднамеренное нарушение законодательства о защите интеллектуальной собственности;

- страхование непосредственно рисков самих владельцев объектов интеллектуальной собственности.

Страхование ответственности за непреднамеренное нарушение авторских прав, патентного законодательства и законодательства о торговых марках - это продукт, пользующийся особой популярностью практически во всех западных странах и, прежде всего, в США. На практике он предлагается страховыми компаниями под самыми разными названиями, в том числе как страхование кибер-ответственности, страхование ответственности за нарушение авторских прав, multimedia liability и т.д. Различия в названиях часто означают лишь, что услуги ориентированы на разные группы клиентов. Содержание полиса при этом остается примерно одинаковым.

Клиентом страховой компании может стать любое предприятие независимо от сферы деятельности. Заранее невозможно знать, что в том или ином новом продукте какой-либо элемент может быть похож на аналогичную разработку, уже защищенную патентом. Также трудно предвидеть, что дизайн Интернет-сайта будет иметь сходство с уже существующим сайтом какой-либо неизвестной его разработчикам компании. Все это может быть основанием для предъявления претензии, и замечательно работает в США, где судебная система настолько хорошо отлажена, что даже незначительное нарушение чьих бы то ни было прав становится основанием предъявления иска, на урегулирование которого могут потребоваться миллионы долларов. Известный случай, когда в 2000 г. британская компания British Telecom (BT) обнаружила действующий патент на гиперссылки, ярко демонстрирует непредсказуемость законодательства о защите интеллектуальной собственности. В соответствии с данным патентом, выданным в США еще в 1989 г. и благополучно с тех пор всеми забытым, все Интернет-провайдеры, а также простые пользователи сети должны были бы в течение всего срока действия патента выплачивать BT вознаграждение за каждый доступ к любой ссылке на Интернет-страницу. Естественно, никто не подозревал, что, путешествуя по Всемирной паутине, он становится должен определенную денежную сумму известной британской компании. Здравый смысл восторжествовал, и ВТ не предъявляла претензий к частным пользователям, но крупные Интернет-провайдеры пострадали.

В России, в отсутствии громких судебных прецессов и при имеющемся уровне развития правовой системы, убедить клиента в необходимости для него этого вида страхования крайне сложно.

Страхование рисков собственников патентов и других объектов интеллектуальной собственности - это отдельная, довольно обширная тема. Такое страхование дает возможность правообладателю компенсировать за счет страховой компании юридические расходы, направленные на судебную защиту нарушенного права в случае обнаружения фактов незаконного использования третьими лицами принадлежащих ему объектов интеллектуальной собственности. Другими словами, изобретателю, зарегистрировавшему патент, автору книги, владельцу Интернет-сайта возмещаются расходы по найму адвокатов для судебного преследования пиратов.

Казалось бы, такое страхование должно быть востребовано в России. Однако для того, чтобы оно начало работать, необходимо наличие юридической практики, позволяющей быстро и эффективно разрешать споры в сфере защиты интеллектуальной собственности, и страховых компаний, готовых страховать подобные риски. Ни одного из этих условий в России пока нет. Точка зрения страхового сообщества здесь понятна: в условиях, когда нарушение авторских прав, особенно в сфере технологий, превратилось в явление общепринятое, страхование этих рисков для страховой компании равноценно самоубийству. Создание в нашей стране хотя бы минимально работающей системы защиты авторских прав может стать мощным стимулом для развития такого страхования.

Вывод

Очевидно, что у страхования информационных рисков в России большое будущее. Без соответствующих механизмов страхования невозможно построить защищенную инфраструктуру связи и информационных технологий. Страхование как часть общей деловой практики будет развиваться вместе с теми процессами совершенствования культуры корпоративного управления и условий ведения бизнеса, которые проходят сейчас в России.

Неиспользованный потенциал здесь огромен. Речь идет не только о новых, передовых страховых технологиях, но и о классическом страховании, значение которого часто недооценивается. А ведь пожары и аварии наносят не меньший ущерб отрасли, чем распространение компьютерных вирусов. Хочется надеяться, что придет время, когда каждое отечественное предприятие будет иметь собственную политику безопасности и планы восстановления бизнеса, предусматривающие, что даже традиционные риски необходимо страховать, не дожидаясь очередного пожара на каком-либо объекте связи общероссийского значения.

В настоящее время большинство российских компаний заняли выжидательную позицию на рынке страхования информационных рисков, давая возможность первопроходцам наладить механизм страхования в данной сфере. Необходимо применить методы стимулирования деятельности российских страховых компаний, чтобы иностранные организации полностью не заняли данный рынок.