Количество инцидентов информационной безопасности, как и ущерб от них, год от года растут. В 2024 году в открытый доступ утекли 259 баз данных российских компаний, а ущерб от киберпреступлений составил более 99 млрд. рублей. Ряд компаний в таких условиях решили использовать страхование, чтобы минимизировать ущерб. Оказалось, что подобными услугами пользуются 50% российских организаций, однако получить выплаты после инцидентов удалось только 17% застрахованных. Почему так происходит и спасет ли страховка от последствий ИБ-инцидентов, разобрался GR-специалист «СёрчИнформ» Дмитрий Вощуков.
Утекло – отвечай
С 2025 года основным ИБ-риском для организаций стала утечка персональных данных. А ключевым негативным последствием – штраф по ст. 13.11 КоАП., который с 30 мая исчисляется миллионами рублей. Но от этого риска застраховаться нельзя. Ведь по закону сам инцидент считается следствием противоправного поведения оператора. А общее правило, установленное Гражданским кодексом РФ, запрещает страхование противоправного интереса. То есть избежать штрафа за утечку ПДн или компенсировать его, за счет страховки невозможно.
Чужая вина (проблема)
Далеко не все страховые компании готовы оказывать услуги в случае внутренних инцидентов ИБ. А часть из них признает все ИБ-события, связанные с действиями сотрудников, нестраховыми случаями. Если учесть, что половина компаний сталкивается именно с внутренними инцидентами, то целесообразность такого страхования еще больше снижается.
Кроме того, если действия сотрудника будут квалифицированы как преступление, например, разглашение коммерческой тайны, то компания может удовлетворить иск о возмещении вреда в рамках уголовного дела в отношении нарушителя. Эта процедура, в отличие от страхования, не требует дополнительных затрат и специального расследования.
Картина разрушений
Проведение страхового расследования, как правило, требует оставить пострадавшие объекты в том состоянии, в котором они оказались по окончании страхового события. В случае с утечкой ПДн – оставить информсистемы и массивы данных в состоянии «сразу после ИБ-инцидента». И тут есть две проблемы:
- От скорости восстановления пострадавших данных и ИТ-инфраструктуры зависит возобновление бизнес-процессов. Каждый час простоя – это финансовые потери компании.
- Оперативное восстановление этих объектов – часто обязательная мера ликвидации последствий ИБ-события. Например, такая обязанность установлена для субъектов КИИ, а операторы персданных отчитываются о выполнении этой задачи через 72 часа после инцидента. Поэтому они не могут сохранить «картину» инцидента и его последствий на длительное время.
«Неоценимый» ущерб
К настоящему времени нет единых методик оценки убытков от ИБ-инцидентов, в частности, при утечке персданных. Не унифицирована и оценка потерь от простоя или повреждения объектов информационной инфраструктуры, остановки работы программного обеспечения, электронных каналов связи, сайтов. Поэтому каждый раз ущерб оценивается индивидуально по внутренним методикам компании-страховщика. Что делает подсчет суммы страхового возмещения менее прозрачным. Это, в свою очередь, также снижает спрос на страхование от ИБ-инцидентов.
Есть свет в конце тоннеля?
ИБ-страхование требует серьезной доработки. Во-первых, поскольку у компаний есть потребность в страховании от внутренних ИБ-инцидентов, их нужно вводить в перечни страховых случаев. Во-вторых, необходима разработка единых методик для оценки ущерба информационным активам, в особенности, базам ПДн. В-третьих, требуется сократить сроки и упростить процедуру расследований ИБ-инцидентов. В-четвертых, наладить сотрудничество страховых компаний и вендоров ИБ-средств, которые понимают проблемы заказчиков и знают, как их устранить. В совокупности, это позволит сделать ИБ-страхование более эффективным, а значит, востребованным среди организаций.
Так что уже сейчас делать компаниям? Вложиться в фактическую защиту: внедрение ИБ-средств, создание ИБ-отдела, закупку технических мощностей, повышение ИБ-грамотности персонала. Если у компании нет выделенной службы безопасности или не хватает ресурсов для закупки оборудования и обслуживания систем защиты данных, то информационную безопасность можно передать на аутсорсинг. Проверьте уровень защиты вашей организации – пройдите короткий тест – и получите практические рекомендации, как снизить риски ИБ.