Правительство и ИТ-отрасль обсуждают введение обязательного страхования от кибератак

Публично обсуждать инициативу о создании механизма страхования компаний от кибератак в правительстве начали летом. Член комитета СФ по конституционному законодательству и государственному строительству Артем Шейкин 30 июня сообщил СМИ, что создание рынка страхования от киберугроз в России — «важная инициатива, которая может существенно улучшить кибербезопасность в стране». «Подобно тому как ОСАГО обеспечивает финансовую защиту автомобилистов в случае ДТП, страхование от киберугроз будет обеспечивать защиту компаний в случае кибератак и утечек данных»,— говорил господин Шейкин «РИА Новости». Подробно разрабатывать механизм киберстрахования в парламенте планировали начать осенью нынешнего года.

Как рассказал “Коммерсанту” Артем Шейкин, на данный момент сенаторы получают обратную связь по вопросу создания обязательного киберстрахования рисков и угроз (сокращенно — ОКРУГ) от профильных министерств, экспертного сообщества, формируя концепцию законопроекта. «Часть тезисов законопроекта будет зависеть от окончательной и одобренной Советом федерации редакции закона об оборотных штрафах, поскольку инициатива по созданию киберстрахования была направлена как раз на борьбу с утечками персональной информации»,— напоминает он. Внести законопроект в Госдуму планируется после создания необходимой нормативной базы.

IT-отрасль встречает инициативу сенаторов с интересом, так как ранее подобного механизма на законодательном уровне не было, и компании по-прежнему рискуют пострадать от кибератак, при этом не получая никакой компенсации. «Когда летом Совет федерации предложил идею киберстрахования, это вызвало активные дискуссии среди экспертов и представителей бизнеса»,— рассказывает гендиректор IT-компании ONLY Кирилл Владимиров. Бизнес уже активно пользуется различными страховыми продуктами, такими как имущественное страхование или страхование ответственности, объясняет он. Но именно киберугрозы, такие как взломы, шифровальщики, фишинг или DDoS-атаки, становятся все более актуальными, рассуждает он.

Интерес к страхованию компаний от угрозы и последствия кибератак бизнес начал проявлять с 2022 года, когда число атак на российскую IT-инфраструктуру резко возросло, а также участились случаи утечек персональных данных. Угроза остается ощутимой: общее число кибератак на российские компании в апреле—июне выросло почти в два раза, до 12,7 тыс. инцидентов, сообщали в МТС RED. Особенно активизировались хакеры в отношении IT-компаний: количество таких атак увеличилось вчетверо, до 4 тыс. По данным Positive Technologies, доля IT-компаний в общем числе атакованных почти утроилась и достигла 17% от всех жертв хакеров. В «Газинформсервисе» отмечали рост атак на IT-компании на 20–25%. При этом именно IT-организации реализуют в России программы импортозамещения и занимаются хранением и обработкой данных своих клиентов.

Обсуждение механизма страховых выплат компаниям из-за утечек данных и других инцидентов появилось в контексте законопроекта об оборотных штрафах, который разрабатывается Минцифры, чтобы ужесточить работу с персональными данными любых компаний в России. Однако он пока так и не был внесен в Госдуму. В прошлом году в Минцифры сообщали “Коммерсанту”, что рассматривают варианты механизма возмещения вреда субъектам персональных данных вследствие утечек, к которым «относится страхование операторов данных от указанных рисков». Как сообщал РБК, к июлю в правительстве закончили рассмотрение законопроекта, его финальная версия предусматривает максимальный штраф за утечку данных до 3% выручки компании.

По данным «Союз Страхования», спрос на покрытие киберрисков со стороны российских компаний за последние два года вырос более чем на 20%, а в течение следующих трех-пяти лет сегмент может вырасти до 8–10 млрд руб. В «АльфаСтраховании» отмечали, что из-за роста киберрисков спрос на такое страхование со стороны бизнеса стал «более предметным и осознанным».

По июльской оценке индийской консалтинговой компании MarketDigits, в 2023 году мировой рынок киберстрахования составляет $13,33 млрд, и аналитики прогнозируют, что к 2030-му он достигнет $84,62 млрд, а среднегодовой темп роста составит 26,1%. Эксперты считают, что стимулом роста направления стала пандемия COVID-19, которая ускорила цифровизацию бизнеса и вынудила организации перейти на удаленную работу, что привело к росту уязвимости IT-систем.