– В качестве одной из причин неудач на рынке киберстрахования называется неготовность раскрытия информации. Я не согласен с выводом о неготовности раскрывать информацию по ИБ. С чем столкнулись мы при формировании собственной команды по ИБ – у нас изначально было принято решение иметь замкнутый контур по ИБ, не передавая функции вовне, при этом мы сами несем полную ответственность за целостность и сохранность информации.

Мы столкнулись с большим количеством потенциальных кандидатов на работу с высокими ожиданиями по мотивационному пакету при демонстрации гораздо более скромного уровня компетенций в области видения защиты инфраструктуры, каналов связи и информационных ресурсов, а также разработки и соблюдения политик по установлению прав доступа, включая внешних подрядчиков, контроль зон доступов, безопасной разработке и контроля уязвимостей и т.д.

Недостаточно быть специалистом в области ИБ, чтобы знать, что на персоналки нужно антивирус ставить. Вопросники некоторых компаний фактически содержат запросы на таком же уровне. Страхование от киберрисков невозможно осуществить по вопроснику, как невозможно застраховать промышленное предприятие на основе стандартного опросника страховщика.

Соответственно, должна быть экспертиза, но такая, чтобы это было не про говорить, а про четкое понимание причинно-следственной связи между вопросом, ответом и последующей оценкой стоимости страхования. Сейчас этого практически нет. Начиная с того, что просто и рынка нет. Есть отдельные компании, которые что-то (какие-то объемы риска) готовы на себе нести, а дальше все упирается в ограничения по перестрахованию, тарифам, условиям, набору исключений и понимания (реального), какие меры принимаются внутри компании в области ИБ.

Для нас намного важнее иметь стратегию ИБ, ее последовательную реализацию не с точки зрения написания регламентов, а с точки зрения внедрения работающего механизма, исключающего реализацию риска нарушения целостности информационной системы АО «НСИС». И лишь в дополнение к реализуемому комплексу мер по ИБ мы готовы посмотреть на продукты, которые есть на рынке или могут быть предложены нам рынком.

АИС страхования обслуживает, включая обработку, хранение и глубину этого хранения, практически все население страны, – в этой связи предлагаемые лимиты в 10, 20, 50 млн. руб. – это вообще про что?! Компания тратит в год несколько сотен миллионов рублей на лицензии в области ИБ, помимо этого есть собственная служба, работающая в режиме 365х7х24, есть системы многоуровневого контроля доступа, мониторинга нехарактерного поведения пользователей, средства защиты информации, постоянное обучение всего персонала с аттестацией по итогам получения новых знаний, повышение квалификации у внешних вендоров и т.д.

Еще один тезис:  Для компании нужны лимиты в миллиарды рублей.

А нужны ли? Давайте задумаемся для чего? Что будет покрывать такое страхование? Лимит на восстановление репутации? Вы это серьезно? Рекламные рассылки для восстановления имиджа компании? Кому это нужно? Тогда что? Покупка нового железа?  Восстановление ПО? Восстановление целостности информации? Вразумительных ответов нет. Может гражданская ответственность? А есть примеры на рынке? Ну и очевидно, что никакие штрафы покрываться страхованием не будут.

Продукты, получаемые с рынка, как правило, содержат неприемлемый набор исключений, который объясним с точки зрения страховщика, защищающего себя, но не может быть принят для реальной защиты интересов компании. Коробки неинтересны никому, кроме каналов продаж, которые их в рамках каких-то ковенант «продают».

Раскрытие информации по комплексу мер в области ИБ реально. Безусловно, против NDA, однако, практический смысл в этом документе отсутствует, потому что информация поступает страховщику в рамках NDA, а от него перестраховщикам, брокерам и т.д. И тут теряется контроль за сохранностью предоставленной информации. И уж поверьте, реально предоставленная информация по мерам информационной защиты является чрезвычайно чувствительной информацией, потому что ей могут воспользоваться злоумышленники. Но и в случае предоставления информации очень важно, чтобы на стороне страховщика были люди сопоставимого уровня компетенции, чтобы с глубоким погружением задавать вопросы и получать разъяснения. А они в СК не работают в андеррайтинге, они работают в ИБ, и никакого отношения к оценке рисков не имеют. Ну, а дальше – отсутствие прямой связи между объемом информации и получаемым тарифом. Тогда какой смысл вообще раскрывать душу ИБ?

К вопросу использования третьей стороны для оценки рисков. Она будет нести ответственность перед страхователем и страховщиком за последствия такой оценки? Она будет давать рекомендации по дополнительным мерам защиты на основании какого опыта? Или по причине наличия собственных продуктов в области ИБ? А эти продукты хороши? А как они сопоставляются с продуктами конкурентов?

Не думаю, что так будет работать. Серьезно, по-настоящему страховать киберриски можно только в том случае, когда на обеих сторонах есть достаточная компетенция, чтобы задавать вопросы, получать ответы, трансформировать их в рекомендации и стоимость страхования, искать приемлемую емкость и принимать участие в устранении кибер инцидента, а не ожидать документов по убытку.

Пока этого нет. Пока нет аппетита, опыта, квалификации, емкости.

Пока будут продавать «коробки». Возможно, на другой уровень киберстрахование и не сможет выйти.