Ще вчора кіберстрахування сприймалося як інновація. Проте сьогодні – це тренд для бізнесу, бо пандемія в рази прискорила процеси цифрової трансформації, а з ними неминуче посилилися кіберзагрози. Витікають вони, як з поширення Інтернету речей (IoT) – в тому числі на промислових підприємствах, так і зі зростання значення для компаній так званих «нематеріальних активів» – об’єктів інтелектуальної власності, які потребують надретельного захисту.
Протягом 2020-го кіберзлочини спричинили для світової економіки збитки в понад 820 мільярдів євро. На фоні цього кіберстрахування стає бажаною та реальною можливістю для компаній скоротити збитки від подібних інцидентів. Україна не стоїть осторонь вказаних процесів. У зв’язку зі значною інтеграцією до міжнародної спільноти, попит на поліси кіберстрахування в Україні з’явився та зростає набагато швидше, ніж можна було б очікувати.
Натомість законодавче регулювання цієї сфери страхових послуг поки відсутнє. В переліку видів добровільного страхування, що дається в статті 6 закону №85/96-ВР «Про страхування» від 07.03.1996 (в який, до слова, нещодавно були внесені значні зміни), кіберстрахування чи аналогічний за змістом напрям відсутні. Тобто кіберстрахування потрапляє під визначення пункту 23 статті 6 №85/96-ВР «інші види добровільного страхування».
Які кіберризики можна застрахувати?
Поняття «кіберризик» стосується усіх уразливостей, які виникають у зв’язку з використанням комп'ютерного обладнання та програмного забезпечення в інтернет-мережі, платіжних системах, сфері електронної комерції, CRM-системах, ІТ-інфраструктурах. Також в це поняття входять ризики, пов'язані з накопиченням, зберіганням та використанням в електронному вигляді персональних даних.
Поліси кіберстрахування (англ. cyber insurance) як страхові продукти для захисту бізнесу та фізичних осіб поки не мають уніфікованих характеристик. У різних страхових компаніях вони істотно різняться за умовами та лімітами відповідальності (покриттям). Ба більше – переглядаючи пропозиції від українських страховиків, можна помітити вживання ними різних формулювань та термінів. Вочевидь створення єдиних стандартів для такого продукту як кіберстрахування в Україні ще не відбулось.
Застрахувати можна збитки, що настануть в результаті наступних інцидентів:
- технічні збої, помилки програмування та відмови роботи IT-систем;
- нецільові атаки – фішинг, sms-шахрайство, картинг, хактивізм;
- цільові (таргетовані) атаки – DDoS атаки, промислове шпигунство, кріптолокерство (кіберздирництво);
- внутрішні атаки – викрадення конфіденційної інформації та відомостей, що являють собою комерційну таємницю, сприяння зовнішнім атакам зсередини.
В чому полягають особливості укладення договору кіберстрахування?
У зв’язку з відсутністю законодавчого регулювання сфери кіберстрахування в Україні, основою для встановлення регламентів, прав та зобов’язань між страхувальником і страховиком, а також для можливого вирішення спорів є договір кіберстрахування. Як у світі, так і в нашій країні зокрема поступово зростає обсяг виплат за такими договорами. А це своєю чергою підвищує рівень довіри страхувальників до послуги кіберстрахування як такої. Зокрема, у 2021-му лише за ризиками, пов'язаними з вірусами-вимагачами, обсяг страхових виплат у світі збільшився у 4 рази.
Щоб отримати за настанням страхового випадку страхову виплату в адекватному обсязі, потрібно достатньо ретельно проаналізувати договір зі страховою компанією. Зокрема, іноді страховики задовольняють попит компаній на дане покриття через пропозицію додаткових розширень в договорах страхування майна та відповідальності. Але покриття за кіберризиками в таких договорах, з огляду на специфіку даних видів страхування, досить обмежене. Отже, бажано закріплювати правовідносини зі страхування кіберризиків окремим договором.
В сучасних умовах страхові компанії швидко змінюються. На разі стрімко розвивається InsurTech, що передбачає технології машинного навчання та передові розробки у сфері кібербезпеки, технологію блокчейн та аналіз великих даних. Це дозволяє формувати для споживачів дійсно актуальні продукти зі страхування кіберризиків.
Проте страхувальникам зі свого боку теж потрібно чітко усвідомлювати, якого саме покриття вони очікують за договором. Як правило, розробляється договір кіберстрахування з індивідуальними умовами на основі побажань клієнта та специфіки його бізнесу. Аналізуючи актуальні пропозиції від українських страховиків, можна говорити про можливості включення до договору основного та додаткового покриття.
Основне покриття може охоплювати:
- реагування на кіберінцидент: компенсацію витрат на послуги експертів безпосередньо для припинення кібератаки;
- відшкодування втраченого прибутку в результаті порушення IT-інфраструктури компанії, знищення та/ або крадіжки даних, тимчасової зупинки в роботі компанії після кібератаки;
- викупну суму, сплачену вимагачам за дешифрування заблокованої інформації;
- судові витрати, зокрема – задоволення позовних вимог від третіх осіб, які зазнали збитків в результаті інциденту.
Додаткове покриття може передбачати:
- компенсацію витрат на розслідування інциденту та проведення експертиз – технічної та юридичної для виявлення причин атаки та оцінки масштабів завданої шкоди;
- антикризовий PR та відновлення репутації після кібератаки;
- відновлення втрачених чи пошкоджених в результаті інциденту електронних даних;
- покриття штрафних санкцій, які накладено державою за недотримання компанією вимог закону щодо здачі звітності й таке інше.
В Україні стосовно кіберсфери ще зарано робити узагальнення, оскільки статистичних даних щодо страхових випадків мало. Формуючи пропозиції для клієнтів, кожна компанія спирається здебільшого на свою експертизу та пропонує свій пакет кіберстрахування. Страхувальникам необхідно в кожному випадку ретельно вивчати умови, розширення та виключення з покриття. І тоді цей новий на ринку страхування продукт зможе виправдати себе та принести користь бізнесу.
