Минфин России выступает против введения обязательного кибер-страхования в России
Содействие государства росту рынка услуг по страхованию информационных рисков заложено в основу правительственной программы "Цифровая экономика". В связи с этим в профессиональной среде возникло опасение, что такой вид страхования может стать обязательным, однако президент Российской национальной перестраховочной компании Николай Галушин уверен, что оснований для этого нет. "И Банк России, и Минфин России категорически против обязательного страхования от кибер-угроз. Никакой обязаловки по этому виду страхования в России не будет", – заявил он вчера на организованной РБК конференции.
При этом развитие данного рынка, по прогнозам эксперта, будет происходить крайне медленно. Несмотря на то, что некоторые страховщики предлагают подобные продукты, как такового рынка кибер-страхования в России пока нет, считает он (заключается не более 20 таких договоров в год). И тому есть несколько причин, одна из которых – неготовность компаний раскрывать информацию о системе безопасности и защищенности от возможных атак, тогда как это является одним из условий страхования. Помимо этого, добавил Галушин, налицо несоответствие спроса и предложения. Страхователей волнует не столько возникновение материального ущерба, поскольку сегодня широко применяются системы интегрирования информации и резервное копирование файлов, сколько невозможность в течение определенного времени осуществлять свою деятельность. Ощутимым в этом случае является "простой" в половину рабочего дня, а иногда даже в несколько часов или в полчаса. Тем временем предложения страховых компаний при страховании убытков от перерыва в осуществлении деятельности исходят из минимального периода в несколько дней.
Правомерно ли вести записи телефонных разговоров работников организации с ее клиентами и иными лицами? Ответ на этот и другие практические вопросы – в "Базе знаний службы Правового консалтинга" интернет-версии системы ГАРАНТ. Получите полный доступ на 3 дня бесплатно!
Получить доступИменно защита информационных систем и риск возникновения убытков от простоя в связи с кибер-атаками станут основными направлениями страхования от информационных угроз в России, убежден Николай Галушин. Путь, по которому пошел рынок кибер-страхования в США, сосредоточившись на страховании ответственности за раскрытие персональных данных, эксперт счел слишком сложным и потому исключил его из ближайшей перспективы. Ожидается, что предложение по подходам к кибер-страхованию будет представлено Всероссийским союзом страховщиков уже в следующем году.
Вместе с тем Галушин обратил внимание на то, что система страхования не может быть альтернативой борьбе с кибер-преступлениями и не в состоянии устранить риски по защите персональных данных. "Как и любой другой вид страхования, кибер-страхование является дополнительным элементом, который позволяет минимизировать последствия любого рода угроз. Страхование работает для покрытия убытков, но не для того, чтобы их предотвратить", – пояснил он.
Саморегулирование отрасли и пропаганда страхования от информационных угроз, по мнению директора РОЦИТ, заместителя директора РАЭК Сергея Гребенникова, приоритетнее излишнего регулирования и возложения на операторов персональных данных дополнительных обязательств. А такая вероятность также существует – по его словам, заместитель председателя Комитета Госдумы по информационной политике, информационным технологиям и связи Марина Мукабенова готовит законопроект, обязывающий компании сообщать в Роскомнадзор об утечке персональных данных или хакерской атаке. За несоблюдение этого требования может быть установлен административный штраф вплоть до 100 тыс. руб.
Неэффективность дополнительного регулирования отрасли отметили и другие эксперты. "Содержательная работа заключается не в блокировках сайтов, а в диалоге с бизнес-сообществом. Если действовать так, как Роскомнадзор действует сейчас, есть шанс назапрещать все, что угодно, компаниям, но ситуация при этом не улучшится. Я надеюсь, что в следующем году при новом Правительстве РФ мы сможем увидеть какие-то изменения", – выразил свое мнение директор, учредитель АНО "Информационная культура" Иван Бегтин. "На сегодняшний день роль регулятора догоняющая, причем он никогда не догонит злоумышленников. Деньги, которые инвестируют хакеры в свои атаки, колоссальные, и там нет бюрократии. Действующие требования законодательства о защите от информационных рисков не коррелируют с теми новыми технологиями, которые применяются при атаках", – поддержал директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса ПАО "Московская биржа" Сергей Демидов. Среди новых угроз он назвал следующие:
- возрастание количества атак на мобильные устройства и приложения;
- атаки на криптоактивы и криптоинфраструктуру;
- атаки с помощью интернета вещей и атаки на интернет вещей;
- рост числа "хактивистов" (людей, которые целенаправленно хотят "положить" определенный рынок, атаковав домен);
- информационные атаки (распространение фейковых новостей) – если сейчас такие угрозы носят в основном глобальный характер, то, по прогнозам эксперта, в скором времени они перейдут на более низкий уровень;
- кража личности (использование чужих идентификационных данных в целях получения доступа к банковским счетам);
- утрата устойчивости старых алгоритмов шифрования и др.
Бороться с ними, по словам Сергея Демидова, с помощью наложения на компании дополнительных обязательств не получится – необходимо развивать и применять современные средства защиты, такие как UBA (англ. User Behavior Analytics – аналитика поведения пользователя) – идентификация пользователя по его поведенческим особенностям (скорость ввода текста, количество нажатий на клавиши, определенная последовательность слов и т. д.). Другой эффективный инструмент – использование искусственного интеллекта (систем, которые умеют определять стандартные и нестандартные отклонения от нормального функционирования систем, людей и сетей). Если антивирусы ищут совпадение с уже известными им угрозами, то такие системы позволяют выявить отличие файла от нормального. "Те, кто не перейдут на agile (гибкую модель разработки), будут все дальше и дальше отставать от рынка", – заключил он.