Поскольку подобные сделки в России заключаются нечасто, появился повод поговорить о том, что представляет собою страхование информационных рисков сейчас и насколько оно целесообразно для российских клиентов.
Как это было: у них...
Хищение ценной информации путем несанкционированного проникновения в информационные системы давно стало настоящим пугалом для корпораций, вынуждая тратить солидные средства на новейшие средства безопасности и привлечение высококлассных специалистов, в том числе бывших хакеров. Однако успех в этой борьбе является переменным. Злоумышленники также применяют все новые и новые методы для выуживания секретных данных из корпоративных компьютеров, а слабые места зачастую кроются не в дырах системы, а в ошибках корпоративных пользователей. И если стопроцентная гарантия защиты - это утопия, то застраховать существующий риск вполне реально.
То, что развивающиеся информационные технологии несут с собою новые риски, а значит, и новый рынок спроса, зарубежные компании осознали в середине 90-х. Первыми жертвами новых технологий стали банки, прежде использовавшие "Генеральный банковский полис" (Banker’s Blanket Bond, BBB). BBB предусматривал страхование банковского имущества и транспортируемой наличности. Он также покрывал риски, связанные с мошенническими действиями сотрудников, подложными документами и фальшивой валютой. Но вот ущерб от хакинга и прочих компьютерных преступлений BBB не компенсировал. По данным же Британской Федерации предпринимателей, средний размер ущерба от проникновения в банковские сети в мире составил $500 тыс. Так что именно банковская отрасль сыграла роль локомотива, сдвинувшего с мертвой точки информационное страхование. Стало очевидным, что возмещать ущерб, нанесенный информационным активам, по стандартным условиям бизнес-страхования не представляется возможным, после чего были разработаны специальные страховые программы для ИТ-сферы.
Среди наиболее известных игроков на мировом рынке ИТ-страхования можно назвать таких гигантов, как AIG, Lloyd’s, Zurich Financial Services Group, Marsh. В отличие от России за рубежом страхование рисков, связанных с электронной коммерцией, развивалось параллельно со страхованием "железа" и кредитно-банковской сферы, да и тамошний рынок был больше ориентирован на е-бизнес, нежели у нас. Одной из главных задач ИТ-страхования, неоднократно освещаемой в релизах зарубежных фирм, стало создание благоприятных условий для развития сетевой торговли. Самая известная программа такого страхования - Lloyd’овская Internet Asset and Income Protection Coverage. Отличительной чертой полиса Ллойда является предварительное согласование со страховой компанией выбора поставщика средств безопасности. Программа охватывает риски потери или повреждения информационных активов вследствие взлома или же сбоя в системе безопасности. Под активами подразумеваются списки клиентов, номера кредитных карт, рабочая документация и любые другие данные в цифровой форме. При взносе в $20 тыс. клиент имеет право получить возмещение до $1 млн. При взносе в $75 тыс. - до $10 млн. То есть страховая премия не фиксирована и составляет в первом случае 2%, во втором - 0,75%. Опыт Lloyd’s, кстати, был использован отечественным "Ингосстрахом" при формировании аналогичного сервиса.
...и у нас
Официальной даты рождения у российского информационного страхования нет, и различные источники называют разное время. Отдельные инициативы страховщиков имели место в 1997–99 годах. Тогда первопроходцами выступили "Ингосстрах" и "Инфистрах", заключившие соглашение о сотрудничестве с Министерством связи РФ в данной области. Научно-исследовательскую часть взял на себя ВНИИПВТИ1, который изучает ситуацию на рынке информационного страхования вот уже восемь лет. Но, видимо, правильнее указать в качестве точки отсчета 9 сентября 2000 года, когда президент РФ утвердил "Доктрину информационной безопасности РФ", согласно которой экономические методы противодействия угрозам информационной безопасности предусматривали создание системы страхования информационных рисков физических и юридических лиц, обеспечивающей компенсацию ущерба в случае реализации угрозы.
После этого ряд страховых компаний приобрел лицензии на ведение деятельности в этой сфере, и начал формироваться российский рынок. Полис информационного страхования позволяет покрывать риски, связанные практически с любыми программно-аппаратными системами, предназначенными для сбора, передачи, хранения и обработки информации. К таковым относятся и системы управления производством и ресурсами, удостоверяющие сертификационные центры, системы электронного документооборота, биллинговые системы, веб-серверы, корпоративные локальные сети и т. д. Насыщение основного спроса относилось к 2000–02 годам и сопровождалось относительно большими прибылями страховых компаний.
Сейчас
С 2003-го и по сей день наблюдается некоторое затишье, изредка прерываемое крупными сделками. К слову сказать, сегодняшнее положение свойственно не только российскому, но и мировому рынку. Хотя, конечно, на Западе страхование информационных рисков идет все же активнее, что связано, прежде всего, с более высоким уровнем развития электронной коммерции.
В настоящее время информационно-страховые услуги предоставляют "РОСНО", "Ингосстрах", "ГУТА-Страхование" и ряд других фирм. В основном они предлагают клиентам два вида услуг (наиболее востребованных) - это страхование электронных устройств (Electronic Equipment Insurance, EEI) и страхование активов от преступлений в ИТ-сфере. Первый вид является своеобразным гибридом информационного и имущественного страхования. EEI включает в себя риски, не поддерживаемые в классическом имущественном страховании, такие, например, как сбои в системах из-за короткого замыкания, отклонения от стандартных уровней напряжения и частоты, магнитной индукции.
Определение второго вида информационного страхования весьма размыто. Обычно к страхуемым рискам такого рода относят действия вирусов или троянов, хакерские атаки (в том числе с применением пресловутой "социальной инженерии") или противоправные действия сотрудников самой компании-клиента, направленные на хищение информационных активов или денежных средств. Другие виды информационного страхования на российском рынке представлены слабо и в большинстве своем находятся в зачаточном состоянии. Это относится, например, к рискам в сфере интеллектуальной собственности или электронной коммерции. Единичные инициативы не позволяют назвать то, что есть, даже зарождающимся видом деятельности.
Помимо пресловутых сложностей с национальным менталитетом, якобы отторгающим само понятие такой собственности, есть и другая тормозящая прогресс причина. Страховые компании выжидают, пока редкие энтузиасты набьют себе шишки, неизбежные в становлении нового бизнеса. И лишь после того, как разрозненные случаи такого страхования накопятся в достаточном числе, чтобы можно было понять, чего ждать от нового рынка, страховщики начнут "большую игру". И не факт, что в этой игре они опередят западных конкурентов, уже имеющих опыт и техническое преимущество. Клиенту результат этой борьбы, конечно, безразличен, но за "своих" все же будет обидно.
В е-коммерции ситуация еще хуже. Ни в одном сегменте экономики проблема безопасности не стоит так остро. Комплексное страхование е-бизнеса должно представлять собою гибрид уже упоминавшегося EEI и страхования информационных активов, плюс к тому оно должно покрывать риски по доставке товаров (страхование грузов) и финансовым операциям (страхование убытков от предпринимательской деятельности). Пожалуй, наиболее известным первопроходцем, который начал оказывать некоторые из вышеперечисленных услуг B2B-сектору е-коммерции еще в 2002 году, является "НИКойл". Собственно говоря, основой проекта тогда стало создание электронно-финансового центра "НИК-Пэй Расчеты", а те риски, которые этой торговой площадкой не устранялись, предлагалось страховать в дочерней фирме соответствующего назначения. Время идет, но о серьезных подвижках в этой сфере говорить не приходится. Западное покрытие рисков е-коммерции может превысить $200 млн. О таких суммах отечественным Интернет-предпринимателям приходится только мечтать, поскольку, во-первых, читателю наверняка известно, как относятся за рубежом к российскому сегменту коммерческого Интернета, а во-вторых, работа с российскими клиентами нереальна из-за отсутствия элементарной возможности расчета тарифов. Невозможное сделать возможным готовы отечественные страховщики, но их усердие сдерживается отсутствием нормативно-правовой базы. Здесь видна следующая тенденция: обслуживание информационным страхованием отдельных областей бизнеса напрямую связано со степенью их проработки отечественным законодательством.
Обращает на себя внимание и почти полное отсутствие предложения для физических лиц и малого предпринимательства. Автору в процессе подготовки данного материала из такового встретилась только работа компании "ГУТА-Страхование" по защите пластиковых карт. Страховая сумма выплачивается в случае утери, размагничивания, повреждения, кражи карты и несанкционированного доступа. Но в целом сейчас информационное страхование является привилегией корпоративного сектора, и нет надежды на скорое улучшение ситуации, что опять-таки соответствует зарубежной практике, где число компаний, занимающихся информационным страхованием с вышеперечисленными "ущербными" категориями, можно пересчитать по пальцам. Это вполне объяснимо мизерными по сравнению с корпоративными заказами страховыми взносами - ежегодно 3–5% процентов от страховой суммы, которая обычно составляет не менее $500 тыс. Страхование электронной техники обходится в 0,5–3% стоимости оборудования. К этому необходимо добавить и расходы на проведение предстраховой независимой экспертизы. По уже знакомой на примерах развития других финансовых начинаний закономерности за "тонких" клиентов страховщики возьмутся не раньше, чем перехватают "упитанных" или же сойдутся в жестокой конкурентной схватке. Пока они работают скорее плечом к плечу.
Риск - благородное дело
Клиенты страховщиков часто не любят распространяться о сделке, дабы не привлекать внимания киберпреступников. Однако бывают и исключения. Это связано с тем, что информационное страхование помимо основной своей задачи может послужить еще и рекламным ходом, поскольку сопровождается, как и в ряде других отраслей страхования, проведением независимой экспертизы (так называемого сюрвея) третьей фирмой, в отчете (на профессиональном сленге - сюрвей рипорт) которой приводятся данные о надежности страхуемой системы. К слову сказать, в России ИТ-страхование чаще, чем где-либо еще, воспринимается именно как маркетинговый маневр, а не как реальная возможность обеспечить информационную безопасность. В частности, можно увидеть явный рекламный ход со стороны Faktura.Ru. Страховая сумма, указанная в договоре, сравнительно невелика (в среднем - $5–7 млн.), а о какой-либо конфиденциальности страхования речь не идет вовсе. Напротив, в Интернете доступно множество копий сюрвей рипорта и составленного на его основе пресс-релиза оценочной компании, удостоверяющей надежность системы документооборота. А такая популярность может вызвать у немалого числа сетевых маргиналов соблазн проверить правильность экспертного заключения. Кроме того, компания раньше не страдала от действий хакеров или вирусов, как, в принципе, и другие клиенты "Ингосстраха", а потому эту сделку нельзя отнести к "дутью на воду". Впрочем, я искренне надеюсь, что Робин Гуды Интернета не воспримут релиз как призыв к решительным действиям, и возвращаюсь к процессу проведения экспертизы.
Выбор фирмы, проводящей экспертизу, обычно зависит от страховщика, а вот оплачивает экспертизу страхуемое лицо. Чаще всего сюрвеем в области информационного страхования занимаются консалтинговые и интеграционные компании. Между проведением экспертизы и заключением страхового договора может пройти большой промежуток времени. Скажем, сюрвей рипорт Faktura.Ru был готов уже к июню 2003-го. Степень риска обычно устанавливается по одному из признанных международных методов, определяющему соответствие информационной системы стандарту ISO 17799 (BS 7799). Но при сюрвее Faktura.Ru, предшествующем сделке, был использован другой метод, разработанный и впервые примененный в 2000 году специалистами одной из отечественных фирм3 и прошедший аттестацию в Гостехкомиссии при президенте РФ. Различные виды сертификации и аудита информационных систем - тема для отдельной статьи, но пару слов о методе все же хотелось бы сказать. Итак, "альтернативный" сюрвей основан на вычислении весовых коэффициентов опасности для различных источников угроз и уязвимостей, сравнении полученных значений с некоторым критическим показателем и, в случае необходимости, в последовательном сокращении полного перечня источников до минимально возможного. Полученные данные сводятся к трем основным коэффициентам, характеризирующим разные виды опасности: хищение, уничтожение и повреждение (модификация) информации в системе. Отношение к методу неоднозначное, хотя бы в силу авторитета ISO, но первые попытки его применения можно назвать успешными. Что будет дальше, покажет время.
Риск "подставы" со стороны клиента обычно минимален. И дело не только в том, что страховая и оценочная компании - как правило, постоянные партнеры, но и в системе расчета страховой суммы. При наступлении страхового случая выплачивается компенсация средств, затраченных на восстановление информации, и убытков от прекращения деятельности в результате наступления страхового случая. При EEI учитываются расходы на приобретение новых электронных устройств или их составных частей, включая затраты на доставку, монтаж и наладку. Однако вышеозначенные негативные последствия далеко не единственные. Помимо указанной в договоре франшизы, то есть части убытков, несомой самим клиентом, есть еще и франшиза, не упоминаемая при заключении сделки, - это испорченная репутация. В информационной сфере бизнеса более чем где-либо еще репутация компании зависит от защищенности ее систем. Это особенно актуально для России, где страх перед киберкриминалом граничит с паранойей, и достаточно небольшого "толчка", чтобы свести на нет зарабатываемое годами доверие клиентов. Отсюда, кстати, и нежелание банков оглашать потери от действий хакеров. Так вот, страховая сумма не учитывает убытков, связанных с утратой положительного имиджа компании. А между тем косвенные убытки из-за оттока клиентов и/или инвестиций могут составить в этом случае гораздо более весомую сумму, нежели стоимость утерянных информационных активов.
Что потом?
Подводя итоги, можно сделать некоторые выводы. Да, страхование информационных рисков выгодно страховым компаниям, а что касается их клиентов... Автору не известно ни одного прецедента выплаты по страховому случаю; впрочем, может быть, такие происшествия просто тщательно скрываются в силу вышеупомянутых причин. Впрочем, нельзя исключать возможность государственного регулирования, что особенно актуально в свете столь успешно пролоббированного закона об ОСАГО. Что мешает страховым компаниям взяться и за пассивных потенциальных клиентов, например среди постоянно увеличивающегося числа торгово-сервисных Интернет-компаний, упорно не понимающих грозящей им вирусно-хакерской напасти? Да то, что информационные системы все-таки гораздо более сложные объекты страхования, нежели автомобили, да и с юридическими лицами работать проблематичнее, чем с автолюбителями. Сдерживающие факторы страховщиков - это отсутствие четко проработанных законодательных моментов и статистики для корректного расчета тарифов, а также непрозрачность отечественного бизнеса, затрудняющая оценку возможного ущерба страхуемых компаний. ГИБДД здесь бессильна.
Не безоблачной также остается ситуация со страхованием физических лиц. Полисы на смену или в дополнение к ИБП, антивирусам и файрволлам если и появятся, то очень и очень нескоро. О страховании же рисков, связанных с е-платежами или авторским правом на российских электронных просторах, можно только мечтать. А между тем последнее, возможно, смогло бы разрешить проблему, все острее проявляющуюся в Рунете, - в частности, материально успокоить российских писателей, ополчившихся на детище Мошкова.
Развитие информационного страхования практически полностью зависит от развития общей бизнес-культуры в РФ, каковое лично я усматриваю не только в словесной поддержке государством крупного бизнеса, но и повышении значимости ИТ-отрасли в целом без столь явной дискриминации "тощих" клиентов. Пока же приходится лицезреть медленно, но верно увядающую "Электронную Россию" и откровенную практическую непригодность законов, затрагивающих электронный сектор экономики. Но, несмотря на располагающее к пессимизму положение дел, в Рунете торгуют Интернет-магазины и проводят расчеты электронные платежные системы. В офлайне предприятия одно за другим устанавливают ERP, CRM и прочие управленческие системы, потому что владельцы чувствуют, хотя пока и не всегда понимают, что это - надо! А значит, можно надеяться на дальнейшее развитие и сопутствующих областей бизнеса.
