Президент Всероссийского союза страховщиков (ВСС), Евгений Уфимцев, оценил страховую емкость в сегменте киберстрахования, доступную российским страховщикам после принятия закона на эту тему, на первом этапе в размере до 10 миллиардов рублей. Однако, по оценкам экспертов, сама потребность в такой защите в стране составляет значительно большую сумму — до 40 миллиардов рублей. В настоящее время годовой объем сборов на рынке добровольного страхования киберрисков составляет всего лишь 1 миллиард рублей. Полисы в настоящее время предоставляют защиту оборудования и программного обеспечения от ущерба, вызванного кибератаками.
Уфимцев поддерживает правильность выбранного подхода разработчиками законопроекта из Совета Федерации, который предусматривает создание финансовых гарантий для операторов, работающих с персональными данными граждан, и возмещение ущерба, причиненного утечкой персональных данных. Пока речь идет только о ответственности перед гражданами за такие утечки.
«Информация становится стратегическим товаром, эта тенденция будет только усиливаться, — заявил Уфимцев. — Таким образом, подход, избранный законодателями, правильный — клиентоцентричный».
Президент Всероссийского союза страховщиков (ВСС) подчеркнул, что представленный законопроект не вводит обязательное страхование рисков утечки данных, но требует обязательного создания финансовых гарантий операторами. Он отметил, что страховой полис является наиболее выгодным и удобным инструментом для операторов, однако необходимо определить ключевые позиции договора, что пока не было сделано.
На пресс-конференции автор законопроекта, член комитета Совета Федерации по конституционному законодательству и государственному строительству, пояснил, что в качестве инструментов для финансовых гарантий операторы данных также могут выбрать создание собственного финансового резервного фонда или использование банковских гарантий. Предусматривается, что создание финансовых гарантий будет обязательным как для государственных структур, работающих с персональными данными граждан, так и для бизнеса, что потребует определенных расходов из бюджетов.
Он также отметил, что уже было проведено множество обсуждений по законопроекту. В ходе этих обсуждений были высказаны следующие пожелания: операторам, обрабатывающим большое количество персональных данных, следует пройти специальную аккредитацию, дающую право на такую работу; необходимо развивать институт независимой оценки информационной защищенности объектов и предусмотреть контрольный орган, а также порядок контроля наличия такого обеспечения у операторов. Для реализации законопроекта потребуется выделение дополнительных бюджетных средств в России.
Сенатор выразил мнение, что требования к страхованию, предусмотренные обсуждаемым законопроектом, могут быть разработаны отдельно внутренним стандартом, устанавливающим условия договора страхования.
Существуют спорные вопросы, по словам сенатора, относительно того, на какие категории компаний следует распространять требования закона, а также определения страхового случая — является ли им факт утечки персональных данных, заявление по этому поводу от человека или судебное решение, подтверждающее причинение ущерба и его размер. Также обсуждаются вопросы компенсации морального вреда, включая определение категорий вреда в зависимости от степени ущерба и исключения из страхового покрытия.
Согласно Шейкину, в условиях обсуждения в России законопроекта о введении оборотных штрафов для операторов, нарушающих условия сохранения персональных данных, введение страхования ответственности не означает только дополнительную финансовую нагрузку в виде уплаты страховых премий, но также обеспечивает гарантированную финансовую помощь при возникновении ответственности оператора.
Сенатор объяснил, что операторы несут ответственность за утечки персональных данных в соответствии с Кодексом об административных правонарушениях РФ, и на данный момент в Государственную Думу был внесен законопроект, усиливающий ответственность операторов за такие утечки, и я являюсь одним из соавторов этого законопроекта.
Президент ВСС добавил, что по оценкам рабочей группы экспертов ВСС тариф на страховку «не будет чрезмерно высоким», при условии четкого определения границ ответственности и лимитов выплат. Однако для компаний, которые не соблюдают требования по защите персональных данных, стоимость страхового полиса может быть значительно выше или страховые компании вообще могут отказаться страховать такую компанию. «Возможно, такой компании вообще следует избегать работы с персональными данными, если она не соблюдает правила безопасности, установленные законом и регулятором», — продолжил Уфимцев. Подробное обсуждение тарифной политики, в том числе на площадке РСПП, планируется провести страховщиками на более поздних этапах рассмотрения документа, пояснил он.
Уфимцев сообщил, что предварительные консультации ВСС показали, что держатели больших объемов персональных данных, такие как банки, проявляют интерес к новому виду страхования, если их собственная ответственность будет законодательно определена.
Однако Шейкин обратил внимание на еще один аспект. Если страхователь соблюдает все требования законодательства и регуляторов по защите данных, но все же происходит взлом системы из-за неполадок в программном обеспечении или оборудовании со стороны поставщика, то страхователь будет иметь право на требование возмещения убытков у ответственных сторон (при этом решение остановится судом). В связи с этим сенатор предположил, что поставщикам оборудования и программного обеспечения также будет полезно страховать свою ответственность, но это уже последствия принятия закона, который пока обсуждается, и это будет страхование «второго уровня». Сенатор полагает, что принятие законопроекта станет стимулом для операторов по улучшению системы защиты данных, а также для развития сегмента страхования киберрисков.