Индульгенция для кибербезопасности
Регулирование / Статьи
информбезопасность персональные данные
11.11.2022

Индульгенция для кибербезопасности

Поможет ли страхование рисков утечек защите персональных данных

В России может появиться страхование рисков утечек персональных данных (ПД). Этот механизм будет способствовать возникновению цивилизованных отношений между потребителями и поставщиками услуг, выступать гарантией денежной компенсации за попадание в общий доступ ПД, а также заставит их операторов развивать системы кибербезопасности, уверены страховщики. Но в IT-отрасли и сфере защиты ПД сомневаются в эффективности предлагаемого инструмента.

КАК ОСАГО

В начале ноября суд удовлетворил иски 13 клиентов сервиса доставки «Яндекса», пострадавших из-за утечки персональных данных. В качестве компенсации им выплатят по 5 тыс. рублей. Возможно, в будущем субъекты ПД будут получать подобные компенсации в страховых компаниях. В Минцифры подтвердили RSpectr обсуждение идеи о страховании операторами ПД рисков утечек данных. «Сейчас рассматриваются варианты механизма возмещения вреда субъектам ПД», – сообщили в министерстве.

Страхование – институт, способствующий возникновению цивилизованных отношений между потребителями и поставщиками услуг, поэтому в страховой отрасли поддерживают эту инициативу, рассказал в беседе с RSpectr эксперт по страхованию Максим Данилов.

По его мнению,

новый вид страхования будет способствовать повышению качества культуры хранения, обработки и защиты ПД, а также возмещению вреда потерпевшим в случае возникновения страхового случая

Но, говорит эксперт, пока не понятно, как будет работать этот механизм. В качестве предположения он сравнил страхование операторов ПД с ОСАГО, а киберинцидент – с дорожным происшествием.

Максим Данилов, эксперт по страхованию:

– При утечках также есть потерпевшие – субъекты ПД и есть виновник – оператор данных. Пострадавшая сторона может обратиться за возмещением не к оператору, а к страховой компании. Там, на основании четких правил, потерпевшим выплачивается компенсация.

В ОСАГО существует система штрафов за отсутствие полиса и действуют коэффициенты бонус-малус для изменения размера премии, которую платит клиент страховщику в зависимости от его истории страховых случаев, напомнил он.

Так же и в новой системе оператор данных может платить небольшую сумму за страховку, но если у него происходит крупная утечка, то на следующий год стоимость полиса увеличится, рассуждает эксперт.

Система страхования через механизм коэффициентов бонус-малус будет стимулировать операторов ПД развивать системы киберзащиты

При этом система должна быть построена так, чтобы оператору ПД было невыгодно не соблюдать законодательство, подчеркнул Максим Данилов.

Начальник управления риск-менеджмента УК «Ингосстрах – Инвестиции» Юрий Ногин также приветствует идею страхования рисков утечек ПД. По его мнению, при ее реализации

может сформироваться новый рынок страхования, причем страхование утечек ПД будет лишь одним из его сегментов

Юрий Ногин, УК «Ингосстрах – Инвестиции»:

– Сейчас сложно говорить об объеме этого рынка в рублях, так как многое будет зависеть от обязательности новой услуги. Пока этот вопрос не решен, но это может произойти, так как киберриски сейчас находятся в фокусе особого внимания.

При этом, пояснил он RSpectr, страховка рисков утечки ПД не будет покрывать репутационные риски и не снимет ответственность в расследовании киберинцидентов. Кроме того, страховщики будут тщательно анализировать IT-инфраструктуру и системы информбезопасности (ИБ) своих клиентов.

Это станет дополнительным аудитом для многих организаций и приведет к росту численности персонала, связанного с IT и ИБ, в страховых организациях

Предложенная инициатива сократит количество утечек ПД, особенно в банковском и телекоммуникационном сегментах, которые смогут позволить себе подобную страховку, считает эксперт. Вначале она будет по силам крупным компаниям, но со временем станет доступной и небольшим предприятиям, прогнозирует Юрий Ногин.

ДЕЛО ТЕМНОЕ

Страхование от утечек не приведет к снижению их количества – заплатив за подобную услугу, компания может меньше внимания уделять защите ПД, ограничившись лишь базовыми требованиями, полагают опрошенные RSpectr юристы, эксперты в сфере ПД и кибербезопасности.

По словам управляющего партнера юридической компании «Лекс Альянс» Артура Леера, сравнение утечки данных с дорожным происшествием или заливом соседями квартиры является не совсем релевантным.

Артур Леер, «Лекс Альянс»:

– С учетом того, что ПД не имеют материального воплощения, не понятно, как оценивать размер компенсации за случаи утечки подобных сведений. Кроме того, оператор данных может передать личную информацию на хранение третьему лицу по договору. Это также должно учитываться при проработке нового вида страхования.

Он посетовал, что

сформулировать понятие «страховой случай» в отношении утечек ПД представляется затруднительным, это требует детального обсуждения

При пропаже подобных сведений очень сложно зафиксировать случай киберинцидента и доказать факт наступления ущерба, констатировал Артур Леер.

Соучредитель Russian Privacy Professionals Association (RPPA) Алексей Мунтян назвал такой тип страхования «обезболивающей мерой». Он считает, что она:

  • может восприниматься как индульгенция в отношении нарушения законодательства;
  • если будет сформирована по типу ОСАГО, то будет расцениваться как скрытый налог на обработку ПД;
  • не будет доступной для всех операторов.

Вряд ли страхование способно стимулировать защиту ПД, особенно если не будет связи оценки уровня риска в конкретной организации со стоимостью страховки, полагает исполнительный директор IT-компании HFLabs Константин Степанов. Кроме того, не ясно, как нужно определять источник утечки и кто будет нести ответственность за нее, обратил внимание он.

Управляющий RTM Group Евгений Царев сомневается, что возможная услуга будет пользоваться большим спросом.

Евгений Царев, RTM Group:

– Если появится несколько крупных заказчиков, то некоторые страховщики разработают для них подобный продукт, но он не будет универсальным. Поэтому вряд ли можно говорить о появлении и развитии целого рынка такого страхования.

Придумать недорогую страховую услугу по утечкам с существенным возмещением технически нереально, подчеркнул он.

МИРОВОЙ ОПЫТ

Страхование от последствий утечек ПД является востребованной услугой на зарубежных рынках, отметил в беседе с RSpectr член Russian Privacy Professionals Association и International Association of Privacy Professionals Денис Садовников. Но примеры обязательного страхования такого рода, установленные законодательством, ему неизвестны.

Денис Садовников, эксперт в сфере ПД:

– В развитых правовых системах ответственность наступает не за саму утечку, а за вред, который причинен субъектам. При этом учитывается степень вины оператора, что включает принятие им защитных мер и их адекватность для этого состава и объема данных, а также способов и целей их обработки.

По мнению эксперта, заслуживающим внедрения представляется опыт Великобритании, где субъект персональных данных может рассчитывать на защиту своих прав, включая компенсацию, на основе прямого предписания закона DPA 2018 (разделы 168-169), а также выработанного судами common law tort «Misuse of private information».

Перед угрозой миллионных и миллиардных исков (особенно, коллективных) и крупных штрафов компании предпочитают вкладывать ресурсы в реальную, а не бумажную киберзащиту прав субъектов

Например, во внедрение подходов privacy by design (не собирать и не хранить излишние данные), псевдонимизацию, сквозное и гомоморфное шифрование личной информации.

Методы шифрования действительно позволяют предотвратить саму возможность возникновения рисков утечек ПД, подтвердил RSpectr руководитель департамента развития технологий «Аладдин Р.Д.» Денис Суховей.Используемые технологии криптографии не выдают себя, что позволяет авторизованным пользователям работать с защищенными данными в привычном режиме, рассказал он.

Зарубежный рынок киберстрахования страдает от искусственного завышения цен и непрозрачных критериев ценообразования, отметил управляющий партнер Comply Артем Дмитриев. По его словам, обычно страховое покрытие за утечки ПД включает в себя:

  • затраты на ведение судебных и административных споров;
  • выплату штрафов и компенсаций пострадавшим субъектам;
  • затраты на восстановление поврежденных данных и IT-систем.

Реализация идеи страхования рисков утечек ПД в России может столкнуться с серьезными проблемами, прокомментировал он RSpectr.

Артем Дмитриев, Comply:

– Неясно, как будут высчитываться страховые суммы в таких полисах. Практика по взысканию компенсаций субъектами ПД пока ничтожно мала и опирается на расплывчатые критерии определения морального вреда, которые не имеют четких и обоснованных методик определения.

По его мнению,

обязательное страхование рисков утечек способно удовлетворить лишь интересы страховщиков, но точно не субъектов ПД

Он опасается, что обязательное страхование повлечет существенные издержки для компаний. Невозможность страхования административной ответственности, которая является основным бизнес-риском, с учетом возможного введения оборотных штрафов, делает идею страхования ответственности за утечки ПД неактуальной для бизнеса, полагает Артем Дмитриев.

Тимур Халудоров

Изображение: RSpectr, Adobe Stock

Еще по теме

Насколько эффективной будет маркировка синтезированного нейросетью контента

Как повлияет система обязательного страхования от утечек на операторов ПД

Каким стал профиль современных киберугроз

Готовы ли госкорпорации тратить из бюджетов не менее 70% на ПО-вендоров

Зачем операторам связи упростят доступ в многоквартирные дома

Как бизнес будет работать с биометрической информацией в новых условиях

Как попасть и не выпасть из реестра провайдеров хостинга

Какие меры безопасности примут провайдеры для борьбы с нелегальными доменами

ФСТЭК, НКЦКИ и Минцифры обозначили приоритеты в защите КИИ, госинформсистем и персональных данных

Почему безопасность «с пеленок» станет неотъемлемой частью всех киберсистем

Власти и участники телеком-рынка оценили перспективы защищенности суверенной информационной инфраструктуры

Что сейчас обсуждают специалисты по защите персональных данных

Почему компаниям не надо быть святее Папы Римского при защите персональной информации

Чего ожидать от нейросетей и как избежать необратимых последствий

Что нужно знать юристу, решившему работать в ИТ-компании