Российские компании, предприятия, интернет-магазины и иные организации, которые занимаются обработкой персональных данных, должны будут обезопасить себя от утечки данных путем страхования или финансовых гарантий. Такое предложение изложено в плане программы «Цифровая экономика» по направлению «Информационная безопасность», разработанном Сбербанком и InfoWatch.
Вопрос о необходимости обязательного страхования компаний на законодательном уровне будут рассматривать Роскомнадзор, Минкомсвязи и Министерство финансов, пишут «Ведомости». При подготовке законопроекта будет учтено мнение участников рынка.
Предполагается, что страховка или финансовая гарантия потребуются, например, при краже денежных средств с банковской карты, либо при утрате персональных данных компанией по заявлению граждан.
Бизнес-сообщество не разделяет оптимизма законодателей. По их мнению, мера по страхованию от утечки данных чрезмерна. Она не только добавит финансовую нагрузку на компании, но и сыграет на руку страховщиков. Более того, на данном этапе не понятно, как будет определяться ущерб от утечки и как выявлять виновного.
Как Вы оцениваете идею по введению обязательному страхованию рисков утечки персональных данных?
Подобные требования, наряду с высочайшими штрафами, будут являться дополнительным отягощением для компаний. Скорее всего, подобные инициативы являются результатом работы страхового лобби, которое уже много лет нуждается в новых продуктах, и, желательно, обязательно-принудительных для бизнеса. Практической пользы от подобных продуктов для представителей реального сектора экономики нет, а мошенники, которые компрометируют персональные данные, не будут подчиняться действию закона о страховании
Как Вы оцениваете идею по введению обязательному страхованию рисков утечки персональных данных?
Во-первых, сама постановка задачи требует уточнения. В плане мероприятий по направлению "Информационная безопасность" программы "Цифровая экономика Российской Федерации" сказано: "Проработать вопрос нормативного закрепления обязанности операторов персональных данных иметь финансовую гарантию ответственности или страховать свою ответственность (в случае утечек ПДн, или получения претензий) в соответствии с классом информационной системы по обработке персональных данных и уровнем защищенности ПДн (для высококритичных классов информационных систем)". В качестве финансовой гарантии могут быть использованы: собственные средства, банковская гарантия, полис страхования. Предложения позволят издать НПА, закрепляющие ответственность оператора персональных данных. Нормативное закрепление ответственности обеспечит гарантию компенсации субъектам персональных данных в случае инцидентов. Также это повысит степень ответственности операторов персональных данных, а также стимулирует приобретение полисов страхования киберрисков. Работа поручается Минкомсвязи, Роскомнадзору и Министерству финансов, начиная с марта 2018 года.
В постановке "проработать вопрос" задача имеет совсем другое звучание. Вопрос будет проработан. Другое дело, будут ли приняты соответствующие решения? Вот в этом можно сильно сомневаться. Готовы ли страховые компании оценивать риски и страховать возможные утечки персональных данных (ПДн) граждан? Отвечаю заранее: не готовы. У нас нет развитых методик менеджмента рисков для операторов ПДн различного подчинения. Страховые компании не смогут в короткие сроки разработать такие методики с учётом российской специфики. Если, как обычно, оценки рисков будут весьма приблизительные и страховые взносы слишком высокие, то встанет другой вопрос: "Готовы ли в свою очередь операторы ПДн платить (заранее понятно) немалые средства страховым компаниям?" Ответ будет также отрицательный.
Как Вы оцениваете идею по введению обязательному страхованию рисков утечки персональных данных?
Рынок страхования от киберугроз в России только формируется. Общего стандарта по киберстрахованию нет как в России, так и в мире. И благодаря программе мы как раз можем выработать стандарты и общепринятые практики именно для российской действительности, сформировать инфраструктуру, состоящую не только из страховых компаний, но и организаций по ИТ аудиту, расследованию и минимизации последствий кибер-инцидентов.
Существующие сейчас на российском рынке киберпродукты во многом, как правило, базируются на переработке европейского или американского продукта. Они больше направлены на страхование гражданской ответственности от претензий, которые предъявляются со стороны регулирующих органов, клиентов. Между тем, сейчас, на наш взгляд, основная тяжесть убытков связана не с третьими лицами, когда, например, происходит кража или раскрытие персональных данных, а связана с восстановлением инфраструктуры и поддержанием работоспособности компании даже в случае «замораживания» или шифрования ее информационных систем. В настоящий момент главное, что требует российский потребитель, на наш взгляд - чтобы при переходе с обычных технологий на цифровые не возникла ситуация, когда предприятия становится заложником в руках электронных мошенников. И мы для себя видим приоритет в этом – защитить сначала собственность предприятия.