Разделы

Бизнес Законодательство ИТ в госсекторе

Россиян заставят страховаться от хакеров, но не так, как в Европе и в США

Программа «Цифровая экономика» предлагает обеспечить популяризацию услуг страхования информационных рисков в России. Авторы документа подчеркивают, что американская и западноевропейская модель киберстрахования не отвечает российским потребностям.

Непопулярное страхование информационных рисков

Проект плана мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» предполагает ряд мер, направленных на популяризацию страховых механизмов защиты информационных ресурсов предприятий. Документ разработан центром компетенций по данному направлению, созданным на базе Сбербанка.

«Страхование информационных рисков (страхование киберрисков, киберстрахование) является неизвестным и непонятным для большинства потребителей этой услуги, - указывают авторы документа. - За всю историю страхования киберрисков в России заключено менее 20 договоров страхования, большинство из которых оформлено предприятиями с иностранным участием в страховых компаниях также с иностранным участием».

В связи с этим предлагается оказать меры содействия популяризации страховых механизмов в данной сфере, в том числе используя существующие программы повышения финансовой грамотности, реализуемые Минфином и Центробанком (ЦБ).

Предлагается создавать программы обучения, проводить обучение тьюторов (специалистов, сопровождающих учащихся в процессе обучения) и сформировать подпроекты по страхованию информационных ресурсов предприятий проекта «Содействие повышению уровня финансовой грамотности населения и развитию финансового образования в РФ».

Стандартизация услуги страхования киберрисков

Ко II кварталу 2020 г. планируется разработать индустриальный стандарты и иные нормативные документы для услуг по страхованию информационных рисков. Этим предлагается заняться ЦБ, Минфину и саморегулируемой организации «Ассоциация гильдия актуариев».

«Содержание страховой услуги по киберстрахованию не стандартизировано, в мировой практике варьируется от страны к стране и зависит от законодательной среды, - сказано в документе. - Калька с американского или западноевропейского продукта практически не отвечает потребностям предприятий в российской юрисдикции. Соответственно, возникает риск разрыва (gap) между предлагаемыми международными страховщиками страховыми покрытиями и рисками отечественных компаний».

Российские компании простимулируют к страхованию от кибератак

Авторы документа предлагают оказывать государственную поддержку созданию индустриального стандарта слуги по страхованию информационных рисков: от содержания условий страхования, сбора статистики, моделей актуарных расчетов тарифов, правил формирования страховых резервов до формирования перестраховочной емкости на национальном рынке. Для этого планируется привлекать Минфин, ЦБ, СРО актуариев (специалистов по страховой математике), российских страховщиков с соответствующим опытом работы и Российскую национальную перестраховочную компанию (РНПК).

К сентябрю 2018 г. предлагается разработать правила сбора, обработки и передачи в единую базу данных информации о договорах страхования информационных рисков, страховых случаях и выплатах. Также должно быть организовано ведение реестра таких договоров. Ведение статистик будет необходимо для тарификации продуктов страхования киберрисков, считают авторы документа.

Отнести расходы на киберстрахование к себестоимости

К началу 2019 г. страхование киберрисков должно будет отнесено на себестоимость в бухгалтерском учете. С этой целью предлагается внести поправки в ст. 263 Налогового кодекса, включив в расходы на обязательное и добровольное имущественное страхование расходы на страхование киберрисков. В том числе должны учитываться ответственность операторов персональных данных и перерывы в деятельности в результате киберрисков.

В настоящее время страхование киберрисков не выделяется в отдельный класс, говорится в документе, и оно подпадает либо под понятие страхования от финансовых рисков, либо предпринимательских рисков. «В результате, в отличие от страхования для защиты «физических» активов предприятия, расходы на страхование киберрисков не могут быть исключены из налоговой базы предприятий, что снижает экономический интерес к такому страхованию», - поясняют авторы документа.

Отнесение же расходов страхования к себестоимости в бухучете позволит страховать информационные риски из себестоимости, а не из прибыли. Для этого и необходимо внести изменения в страховое законодательство в части выделения страхования киберрисков в отдельный вид страхования и приравнивания страхования информационных рисков к страхованию «физических» активов предприятия.

Ответственность операторов персональных данных

Для операторов персональных данных предлагается нормативно закрепить обязанности иметь финансовую гарантию ответственности в соответствии с классом информационной системы по обработке персональных данных (для высококритических классов информационных систем). В качестве финансовой гарантии могут быть использованы собственные средства, банковская гарантия и полис страхования.

Указанная мера обеспечит гарантию компенсации субъектам персональных данных в случае инцидентов. Также должна повыситься степень ответственности операторов персональных данных и простимулировано приобретение полисов страхования киберрисков.

Обязательное киберстрахование для отдельных отраслей

Еще одно предлагаемое мероприятие - введение стандарта по обязательному аудиту информационной безопасности для предприятий отдельных отраслей экономики. Например, к числу таковых можно отнести финансовый и банковский сферы, организацию движения (аэропорты, вокзалы, порты, движение на дорогах и .др), стратегические отрасли промышленности (металлургия, машиностроение, судостроение, авиастроение и т.д.).

Денис Хадасков, HD Tech: В России исторически сложилось, что инновации появляются в финансовых компаниях
Бизнес

В том числе предлагается ввести требования по обязательному страхованию киберрисков в указанных отраслях, при этом перечень рисков должен включать риски перерыва в деятельности в результате реализации киберугроз. При этом логично будет ввести со стороны ЦБ требование для страховых компаний по перестрахованию киберрисков в РНПК.

Авторы документа надеются, что благодаря введению указанных мер страхование будет проводиться на основе оценки рисков, а наличие отчета об аудите позволит более легко и более быстро проводить такую оценку рисков. Это, в свою очередь, позволит более легко предлагать продукты страхования киберрисков.

Кроме того, обязательное киберстрахование для определенных отраслей позволит создать соответствующий рынок. В результате всего вышеперечисленного в России капитализация и компетенция российского страхового рынка повысится. «В таком объеме перемены в управлении киберрисками и страхования не организованы ни в одной стране мира, и Россия станет мировым лидером в этой области», - отмечают авторы документа.

Эксперты критикуют ряд предложенных мероприятий

Проект плана мероприятий программы «Цифровая экономика» по разделу «Информационная безопасность» предполагает, что расходы федерального бюджета на популяризацию киберстрахования составят 200 млн руб. В то же время рабочая группа по данному направлению, которую возглавляет Наталья Касперская, предлагает сделать данные расходы внебюджетными, поскольку страхование является коммерческой услугой.

Кроме того, рабочая группа предлагает исключить пункты о включение расходов на страхование киберрисков в себестоимость и обязательной финансовой гаранитии ответственности операторов персональных данных. Что касается пункта о введении стандарта аудита информационной безопасности для предприятий отдельных отраслей экономики и обязательном страховании киберрисков для них, то, как отмечают эксперты, это уже будет реализовано в рамках Закона «О критической информационной инфраструктуре».

Игорь Королев