Недостаток предложений на рынке страхования от киберрисков продиктован отсутствием страховой статистики

С течением времени к покрытию добавились иные риски (повреждение водой, стихийные бедствия, противоправные действия третьих лиц), поэтому еще в начале 2000-х на российском страховом рынке можно было услышать «страхование от огня и сопутствующих рисков». Дальше в обиход вошло понятие страхование «от всех рисков» (имущество считается застрахованным от любого риска внешнего воздействия, специально не исключенного по тексту полиса или правил страхования), а страхование от огня переросло в покрытие от «поименованных рисков» (покрываются только те риски, которые перечислены в полисе – пожар, взрыв и т. д.). События 11 сентября 2001 года в США привлекли внимание сообщества к страхованию от террористических рисков, которые стали дополнением к двум указанным выше покрытиям «от всех рисков»/«от поименованных рисков». Развитие транснациональных корпораций привело к тому, что на международном уровне пришлось искать покрытие от политических рисков, которые являются типичным исключением из существующих программ страхования имущества, – так появилось страхование от экспроприации, военных рисков и т. д.

С развитием технологии и средств дистрибуции (хранения) и анализа информации становится очевидным, что имущество может пострадать от несанкционированного доступа к информации и системам управления этим имуществом. Причем вред хозяйствующему субъекту может быть нанесен различный. Например, на Западе драйвером роста рынка страхования от киберрисков являются штрафы к хозяйствующему субъекту при разглашении персональных данных, то есть полисы построены на том, что покрывают расходы юридического лица по восстановлению защиты и оплаты штрафных санкций при утечке персональных данных пользователей – физических лиц.

Но было бы неправильно ограничивать киберриски только страхованием штрафных санкций за разглашение персональных данных.

Есть и иные примеры повреждения, а чаще утраты имущества в результате киберпреступления: очень часто в пример приводится Иранская АЭС, на которую было совершено нападение, также часто вспоминаются вирусы и вредоносное ПО Petya/Wanna Cry. Говорят об огромных потерях в результате блокировок компьютеров, но подобные случаи пока что носят характер катастрофических событий, которые в силу отсутствия накопленного статистического материала очень тяжело «оцифровываются» страховщиками, поэтому предложение по ним не так велико.
Теперь обратимся к тем рискам, по которым накоплен достаточный материал, – это риски недобросовестности персонала и третьих лиц, которые получают доступ к базам данных и программному обеспечению. Например, случай из практики – продавец розничного магазина, получив доступ к базе данных цен, поставил цену одной единицы бытовой техники в 1 руб., его знакомый-подельник, вполне законно оплатив 1 руб. на кассе, стал обладателем этой единицы. Подобные риски могут быть застрахованы в рамках покрытия недобросовестности персонала – нельзя сказать, что оно пользуется большой популярностью, но факт возможности покупки покрытия остается.

Что касается потенциала киберрисков, то следует помнить про малый и средний бизнес, для которого сеть интернет и их странички в социальных сетях являются единственной «витриной». Наверное, именно для таких предпринимателей следует искать страховой продукт, который бы покрывал их расходы по восстановлению доступов к украденным страницам.

Автор: Павел Липатов, директор департамента страхования корпоративного бизнеса ООО «Абсолют Страхование»