Анализ подходов к страхованию рисков киберпреступлений

Размещено на http://www.allbest.ru/

1

1

Хабаровский Государственный Университет Экономики и Права

Анализ подходов к страхованию рисков киберпреступлений

Оводов Р.Р; Бадюков В.Ф.

В последние годы трудно удивить таким понятием, как киберпреступность. Каждый день, по новостным каналам или новостям, то и дело слышно о пропаже крупных сумм со счетов именитых компаний и банков, а так же о поимке известного хакера.

Под термином «киберпреступность» принято подразумевать хищение ценной информации или денежных средств, а так же ценных бумаг со счетов при помощи обхода или взлома системы безопасности. С развитием прогресса деньги имеют не только наличную, но и безналичную форму, следовательно, возможность их хищения в результате кибератак в разы увеличилась. Получить доступ к счету или учетной записи гораздо проще и безопаснее, нежели ворваться в хранилище и уйти, не оставив следа.

Мировая статистика преступлений, составленная консалтинговой компанией PriceWaterhouseCoopers UK, показывает, что в настоящее время киберпреступность, по частоте совершения преступлений, уступает только незаконному присвоению активов. Если быть точнее, то 38% преступлений, совершенных в финансовом секторе, приходится именно на киберпреступность. Согласно статистике, жертвами киберпреступности в США в 2013 году стало более 1 миллиона человек ежедневно, а пострадало от хакерских атак более 3 000 американских компаний. При этом общие потери в совокупности составили более 2.0млрд. долларов США[3]. Что касается России, то ущерб от кибератак в 2013 году составил 2.5млрд. долларов, т.е. больше, чем в США. Рассмотрим потери Российского бизнеса от киберкриминала в таблице 1 [4].

Таблица 1

Динамика потерь российского бизнеса от киберкриминала 2011-2013 гг., $млрд

В таблице 1 представлены данные последующим видам мошенничества:

- Интернет-мошенничество (мошенничество, совершенное в сфере сети интернет. Например, действие фишинговых сайтов)

- Внутренний рынок С₂С (преступления, совершаемые на торговых площадках посредниками между продавцом и покупателем. Например, получение денежных средств за несостоявшуюся сделку).

- Кардинг (Мошенничество с банковскими картами или их реквизитами без участия владельца. Например, покупка в интернет-магазине с помощью номера карты и cvv-кода без участия держателя карты).

- Спам (ненужные адресату письма, содержащие рекламную информацию. В данном случае рассматривается спам с рассылкой на фишинговые сайты).

- DDoS-атаки (Хакерская атака на вычислительную систему с целью выведения её из строя. Например, остановка деятельности интернет-магазина или отказ работы платёжных систем фирмы).

На основании Таблицы 1 можно сделать следующие выводы:

1. За три года общие потери выросли на 21,7%

2. Потери от интернет-мошенничества монотонно уменьшились на 39,9%

3. Потери на внутреннем рынке монотонно выросли на 25,2% 4. Потери от спама практически не изменились (рост составил 1,3%).

5. За три года потери от DDoS-атак уменьшились на 13,1%.

6. Иные виды киберпреступлений демонстрируют слабое монотонное падение (8,9%).

7. Большие суммарные потери указывают на актуальность развития теории и практики страхования рисков киберпреступлений.

Не вся деятельность хакеров связана с причинением именно финансового ущерба. Так, например, взлом страницы случайных пользователей в социальных сетях и размещение от их имени порочащей информации весьма трудно выразить в материальной форме, тем более - в стоимости морального ущерба.

Поэтому, в настоящее время, страхуют не только риски, которые связаны с хищением реальных ценностей. Говорят, что тот, кто владеет информацией - владеет миром. Это действительно так, ведь информация в современном мире представляет ту же ценность, что и деньги, но достоверно оценить её не всегда возможно.

Подавляющее большинство пострадавших это участники финансового сектора:

• Банки;

• Инвестиционные компании;

• Страховые компании;

• Участники рынка ценных бумаг; ? Электронные платежные системы.

Но это далеко не полный перечень лиц, которые находятся в зоне риска. Множество организаций могут нести колоссальные убытки в результате утраты важной производственной информации, например, ноу-хау; коммерческой информации, которая может повлиять на котировки акций компании; личных данных сотрудников. Все эти утраты могут быть соразмерны прямому хищению денежных средств.

Помимо хищения информации кибератаки могут привести к прекращению работы сайта, а ущерб здесь может варьироваться от незначительного (остановка деятельности сайта интернет-магазина) до колоссального (например, хакерская атака на систему электронного контроля за голосованием на выборах президента).

Универсальной защиты от киберпреступлений на данный момент не существует, но практика страхования данных рисков потихоньку нарастает, т.е. не только страховые компании, но и сами клиенты, учатся предугадывать, выявлять и осуществлять страхование от наступления возможных рисков методом проб и ошибок.

Стоить отметить несколько рисков, которые являются основой для разработки системных способов страховой защиты от киберпреступности. Приведем ниже наиболее популярные практические инциденты по следующим рискам. страховой защита киберпреступность бизнес

Рассмотрим риск нелояльности сотрудника. Например, один из клерков компании присвоил конфиденциальную информацию, которая затрагивает конкурентов компании. Страховщик возместил ее убытки. Сумма страхового возмещения составила около 200 000 долларов.

К риску «взлома системы безопасности» можно отнести следующую ситуацию: хакеры получили доступ к компьютерным системам 26 отелей и могли получить имена и номера кредитных карт примерно 480 000 клиентов.

Страховые выплаты на урегулирование последствий инцидента составили более $980 000.

В результате наступления риска «Халатность» одна из американских организаций по вине сотрудника выложила на своем сайте персональные данные 42 000 студентов. Компанию начали преследовать исками о защите пава на частную жизнь. В итоге, страховая выплата по судебным издержкам составила около 250 000 долларов.

Ярким примером риска «утрата оборудования» является следующая ситуация: застрахованный потерял носители с информацией о медицинской страховке и номерах социального страхования. Страховое возмещение на расходы по содержанию call-центра и мониторинга репутации застрахованного составило $400 000.

Каждая ситуация индивидуальна и не носит системного характера, а размер страхового возмещения складывается из расходов, понесенных на возмещение вреда, а не из стоимости утраченной информации[5].

Сегодня в страховании разработан ряд групп рисков, позволяющих полностью или частично получить страховую защиту:

• Риск кражи и дальнейшего использования конфиденциальных данных сотрудниками компании;

• Риск несанкционированного доступа к счетам клиентов компании или к информации о кредитных картах;

• Риск утраты денежных средств в результате кибератак со счетов в банке или ценных бумаг со счета в депозитарии;

• Риск хищения данных кредитных карт и средств с них;

• Риск разглашения или утраты информации по вине сотрудника;

• Вынужденная остановка деятельности предприятия, его компьютерной сети, его сайта в результате хакерских атак;

• Убытки, понесенные в связи распространения на сайте страхователя недействительной информации или информации, имеющей характер диффамации (распространение не соответствующих действительности порочащих сведений);

• Риск утраты материального носителя с сохранённой на нём конфиденциальной информацией.

Некоторые страховые компании (например, зарубежная компания «AIG» и российская компания «АрсеналЪ») работающие как на зарубежном, так и на российском страховом рынке, предлагают различные комплексные программы страхования, позволяющие компенисировать потери от киберрисков, в которые, кстати, входят несколько из перечисленных выше страховых случаев.

Наиболее сложным вопросом при наступлении страхового случая является вопрос достоверной оценки стоимости утраченной информации.

Западные оценочные компании имеют достаточно большую практику правильной и достоверной оценки активов, выраженных в виде информации. Российские оценщики имеют усеченную методику оценки нематериальных активов и составить достоверную оценку стоимость информации, которая вполне могла бы устроить как страховую компанию, так и клиента, могут не всегда.

Сложность достоверной оценки информации, как нематериального актива, состоит в том, что могут возникнуть проблемы с нашим налоговым законодательством, при этом страховые возмещения, превышающие страховую стоимость, будут рассматриваться как прибыль, соответственно, будут облагаться налогом. Четкого регулирования на уровне Министерства Финансов эта проблема ещё не получила.

Не совсем ясным остается вопрос, связанный с выплатой страхового возмещения, которое рассчитывается как размер расходов, понесенных на восстановление нарушенного права. Доказать важность того или иного расхода или его размер довольно сложно, поэтому примерный перечень таких расходов, а так же пределы их стоимости необходимо обговаривать ещё во время заключения договора страхования.

Хоть страховые компании и предлагают страховую защиту от большого перечня рисков, которые могут возникнуть в результате деятельности кибермошенников, охватить их все не представляется возможным. Это обусловлено тем, что способов овладения нематериальным активом достаточно много и каждый день злоумышленники находят новые.

В результате наступления страховых случаев может возникнуть множество расходов, среди которых указываются:

• Расходы на расследование инцидента;

• Кризисный PR (комплекс мероприятий, направленный на борьбу с кризисом и/или его использования для выгоды предприятия);

• Расходы на восстановление данных.

Так же следует учитывать и судебные издержки, а так же расходы, связанные с падением курса акций в результате атаки киберпреступников и расходы, связанные с упущенной выгодой из-за срыва контрактов, и так далее. В любом случае, каждый заключенный договор будет носить сугубо индивидуальный характер.

Подводя итог, стоит отметить, что качественный услугу, которая предоставила бы клиенту защиту от киберпреступлений готовы предложить не многие страховые компании.

Основную сложность представляет отсутствие практики выплат и плохо разработанная система оценки нематериальных активов, что не даёт возможность объективной проверки страхового случая и видов покрытия на комплексные ошибки.

Существенно тормозит развитие этой отрасли отсутствие законодательной базы и судебной практики, так как поймать хакера по горячим следам и предъявить обвинение, доказывая его причастность, проблематично.

Однако можно смело сказать, что развитию данной отрасли положено начало и уже в ближайшем будущем данный вид страхования станет обычным явлением.

Список источников

1. http://www.forbes.ru/sobytiya/finansy/78317-globalnye-riski-2012.

2. https://www.pwc.co.uk/forensic-services/assets/gecs/gecs-uk-brochure-2016.pdf.

3. https://www.pwc.co.uk/forensic-services/assets/gecs/gecs-uk-brochure-2016.pdf.

4. http://www.cnews.ru/reviews/security2014/articles/poteri_mirovoj_ekonomiki_ot_kiberprestuplenij_vyrosli_v_15 5. http://forinsurer.com/news/12/10/31/28382.

Размещено на Allbest.ru