Федор Анатольевич, данные по количеству атак на российские компании всегда разнятся: то их становится больше, то меньше. Какова же действительность?
— Здесь надо понимать, что конкретно подразумевается под атаками, на какие сектора, какие именно берутся показатели. Хотя в большинстве случаев любая статистика будет носить довольно субъективный характер, общая тенденция такова, что количество кибератак все-таки увеличивается. При этом нельзя сделать четкие выводы о том, что есть какой-то всплеск, как это случилось в 2022-м году, просто цифровизация экономики России продолжается, парк ИТ-инфраструктуры и сервисов увеличивается, поэтому и под атаки попадает большее число компаний.
Соответственно, пропорционально должно вырасти и количество успешных атак?
— В какой-то степени да, ведь помимо хорошо защищенных сервисов, например, «Госуслуг», есть огромное число условных незначительный порталов, где пользователи также оставляют чувствительные данные — от паспортных до финансовых. Именно с таких сервисов обычно и происходят утечки. Затем данные компилируются и продаются тем, кто будет осуществлять различные мошеннические действия и кибератаки.
— А если говорить именно про атаки на бизнес, а не «бытовое» мошенничество? На Финополисе в Сочи активно обсуждают вопросы, связанные с устойчивостью инфраструктуры к любым видам атак.
— Может быть, кто-то удивится, но использование подобных баз для атак на корпоративный сектор — один из популярных способов. Каждый пользователь где-то работает, и вполне может оказаться, что для регистрации на незначительном сервисе он указывает корпоративную почту. Имея эти и ряд других данных, злоумышленники могут попробовать провести атаку на другие сервисы, в том числе и корпоративные.
Почему киберстрахование малопопулярно
Получается, что число атак растет, при этом, по разным данным, бизнес наращивает инвестиции в ИБ в среднем на 20−40%. Однако в то же время одна из частей ИБ-рынка — киберстрахование — составляет мизерные 500 млн рублей, хотя общий объем страховых премий исчисляется триллионами. Что не так с киберстрахованием?
— Нельзя говорить, что с ним что-то не так, просто есть объективные причины, по которым этот сегмент пока не развивается семимильными шагами. Например, на мой взгляд, не существует такой денежной компенсации, которая могла бы покрыть ущерб от масштабной атаки, а ведь именно от этого стоит страховаться в первую очередь. Представим, что крупный банк имеет страховку, и происходит кибератака, в результате которой падает вся ИТ-инфраструктура. А это десятки тысяч устройств. Восстановление займет не меньше месяца плюс будут потеряны клиентские данные. Вопрос: какова должна быть достаточная денежная компенсация и согласится ли на нее страховая?
Но перед заключением контракта проводится аудит безопасности, на основе которого — и ряда других параметров — согласовываются все суммы.
— Безусловно. Но давайте обратимся к более развитым рынкам страхования, например, автомобилей. Если хочешь КАСКО и страхуешься от угона, то в договоре будет пункт — установить сигнализацию. Иными словами, есть условия минимальной защиты страхуемого объекта. Так и в киберстраховании: компания должна обеспечивать необходимый минимальный уровень безопасности. Но здесь мы сталкивается со сложностью измерения: как установить, что компания занимается информационной безопасностью надлежащим образом?
Надо отметить, что за рубежом есть стандарты безопасности, например, ISO 27001, которые подтверждают ИБ-уровень, работают специальные компании-аудиторы, имеющие необходимые знания, и так далее. В России подобные истории зависят от отрасли. Например, есть стандарт Банка России по информационной безопасности, но в целом у нас отсутствует какой-то всеобъемлющий стандарт по ИБ, а также аудиторы, которые работали бы в этом направлении.
Поэтому многие организации пока держатся от киберстрахования в стороне, потому что, во-первых, нет четких стандартов и опорной регуляторной базы, во-вторых, для заключения договора необходимо пройти сложный и долгий процесс аудита ИБ-инфраструктуры, в-третьих, размер премии и страховые компенсации друг другу не всегда соответствуют.
Почему?
— Если не брать примеры с полным крахом ИТ-инфраструктуры, которые случаются крайне редко, а, например, инцидент с небольшой утечкой данных, то денежная компенсация не будет очень большой — скорее всего гораздо меньше суммы, заплаченной за страховой полис. Получается, что страховать киберриски не очень выгодно.
Однако все вероятные страховые случи прописываются в договоре и они имеют свою цену, которую в любом случае получит компания.
— Если возвращаться к машинам, то в КАСКО есть две суммы — одна за «тотал», когда машина не подлежит восстановлению, вторая — за условную аварию. И размер компенсации за аварию определяет не договор, а авторизованный сервис, и страховая компенсирует ровно столько, сколько стоит ремонт. На рынке киберстрахования точно так же много условий, при этом размер компенсации может быть не так велик, а стоимость полиса и прочие риски — намного выше.
Для развития рынка необходимы подготовительные этапы
Что может изменить ситуацию и превратить киберстрахование в более популярный вид ИБ?
— Здесь мы приходим к тому главному драйверу, который двигает любой рынок России или другой страны мира: активная деятельность регулятора. Чем выше ответственность за утечки, чем больше оборотные штрафы, тем вероятнее, что компании займутся своей информационной безопасностью вообще и киберстрахованием в частности.
Законодатели разных уровней уже не раз выдвигали различные инициативы по обязательному страхованию, поэтому рано или поздно мы к этому придем.
То есть вы, как представитель ИБ-вендора, поддерживаете развитие этого сегмента?
— Да, это нужно хотя бы для того, что страховая будет проводить первоначальный аудит, а значит каждой компании придется обеспечить базовый уровень кибербезопасности. Кроме того, при анализе своей ИБ-системы организация может в итоге прийти к тому, чтобы вкладывать в нее больше, чем прежде.
Но сначала должны пройти подготовительные этапы, которые включают в себя в том числе развитие института репутации или иных форм, когда пострадавшие физические лица могут предъявить иск юрлицу за утечку данных.
Поэтому основную роль двигателя будет играть государство, которое вместе с рынком должно сформировать стандартны и регуляторную базу.
По прогнозам экспертов, уже буквально через два года рынок киберстрахования может достичь 3−4 миллиардов рублей. Реально ли это?
— На данном этапе нет предпосылок к такому серьезному росту. Сейчас киберстрахование — это удел компаний, которые уже инвестировали значительные средства в ИБ-конфигурацию и имеют высокий уровень зрелости (постоянные апдейты ПО, учения, четкие регламенты), поэтому могут усиливать отдельные направления за счет страхования. Для остальных компаний страхование киберрисков — это не панацея. Гораздо насущнее то же импортозамещение, то есть замена огромного парка копившихся годами оборудования и ПО.
Если киберстрахование станет обязательным, ведь все чаще звучат мнения о необходимости государственного регулирования и появления что-то вроде ОСАГО, то не пострадают ли от этого как раз те «маленькие» компании, которые не могут одновременно инвестировать и в ИБ, и в полис, который стоит не малых денег?
— Государство, формируя новые стандарты, всегда привлекает экспертов соответствующих отраслей и представителей компаний, поэтому, если обязательное страхование киберрисков появится, то оно будет учитывать интересы всех игроков рынка. И в первую очередь тех, кто не может отнести себя к гигантам или «богатым» лидерам.
