Совет Федерации, работающий над законопроектом о страховании киберрисков для компаний, занимающихся обработкой персональных данных, планирует ограничить его применение только к рискам утечки информации. В рамках предложений операторам данных предстоит создать обязательный денежный фонд для компенсации ущерба гражданам, чьи данные были украдены, или заключить страховой договор для покрытия этого риска. Участники страховой отрасли приветствуют данную инициативу, но вместе с операторами данных призывают уточнить формулировки проекта.
«Страховой случай» ознакомился с законопроектом Совета Федерации, который предусматривает установление механизма финансового обеспечения компенсаций за риски, связанные с утечкой данных, как для компаний, так и для граждан. Речь идет о возмещении как морального, так и имущественного вреда, который может быть причинен субъектам персональных данных в результате утечки информации от операторов компаний. Предлагается внести соответствующие поправки в закон «О персональных данных» (152-ФЗ).
Согласно представленному документу, операторам персональных данных будет предписано принять одну из трех мер, обеспечивающих возмещение морального и имущественного ущерба гражданам, чьи данные попали в открытый доступ. Варианты включают создание резервного денежного фонда в размере, достаточном для компенсации ущерба, заключение договоров страхования, покрывающих такие риски, или обеспечение финансовых гарантий через банки.
В соответствии с последней информацией, полученной от Совета Федерации, речь идет о документе, выдаваемом банком клиенту, в котором банк обязуется погасить долг клиента перед третьим лицом. Для определения механизма компенсации ущерба, операторы предлагают создать отдельные ответственные федеральные органы исполнительной власти. Предоставление данных операторами связи будет осуществляться через Роскомнадзор. В случае принятия данного документа, он вступит в силу не ранее, чем через месяц с момента его публикации.
В пояснительной записке отмечается, что преступники активно используют украденные данные для продажи, мошеннических схем и кражи средств, при этом новые штрафы, которые предлагается ввести, не гарантируют компенсацию субъектам персональных данных за причиненный им вред. Речь идет о законопроекте, внесенном в Государственную Думу в декабре, который предусматривает введение оборотных штрафов для компаний, допустивших утечку данных.
Обсуждение инициативы запланировано на конец февраля, как сообщили представители Совета Федерации. Предполагается, что на обсуждении будут рассмотрены вопросы, связанные с обязательностью выполнения требований для различных операторов персональных данных. Об этом сообщил Артем Шейкин, заместитель председателя Совета по развитию цифровой экономики. Представители Роскомнадзора и Министерства цифрового развития отметили, что до настоящего момента к ним не поступил данный законопроект. Ответа от Центрального банка не поступило на данный запрос.
Общий объем премий по направлению киберстрахования в Российской Федерации за 2023 год увеличился на примерно 80%, достигнув отметки в 1,3 миллиарда рублей, как оценили в ПСБ. Однако в этом показателе банк учел не только страхование от различных видов киберрисков, включая последствия DDoS-атак.
Согласно информации, предоставленной Роскомнадзором на февраль, в реестре операторов персональных данных зарегистрировано 936,4 тысячи компаний.
По мнению генерального директора Национальной страховой информационной системы, Николая Галушина, имеет смысл сделать страхование от киберрисков обязательным. Однако он отмечает, что для этого необходимо решить несколько вопросов. Прежде всего, нужно определить страховую сумму, а также разработать подходы и принципы регулирования убытков и оценки ущерба, а также детализировать перечень рисков.
Катерина Якунина, председатель Совета Ассоциации профессиональных страховых брокеров, указывает, что компании, заинтересованные в защите от киберрисков, стремятся развивать собственные компетенции. Однако страхование в данной области воспринимается сдержанно, частично из-за необходимости раскрытия информации для оценки рисков.
В Ассоциации больших данных (АБД), в которую входят такие компании, как VK, «Яндекс», «Сбербанк», «Ростелеком» и другие, отмечается, что механизмы обеспечения потенциального ущерба являются важным инструментом для компаний, работающих с данными. Однако на данный момент отсутствуют общепринятые подходы к определению размера ущерба, который может быть причинен субъекту данных в случае утечек. Это обстоятельство делает процесс расчета обеспечения сложным и зависящим от множества факторов.
В АБД считают, что перед введением нового регулирования необходимо провести пробные испытания своих подходов в рамках саморегулирования. Например, через практику работы по Кодексу этики, который был принят в 2019 году и является сводом правил для саморегулируемых участников рынка данных.
