По данным экспертов, в даркнет-форумы и телеграм-каналы хакерской или мошеннической тематики слиты данные 59 % российских компаний. Как показывает практика, утечки данных пользователей случаются как у компаний-гигантов, так и в среднем и малом бизнесе. Новые законодательные нормы для многих компаний поставят вопрос ребром о необходимости сбора и обработки персональных данных пользователей и потенциальной возможности от них отказаться. Это может быть актуально для малого бизнеса. Конечно, ИБ-контур крупных корпораций будет усилен на фоне новой ответственности, но слабым звеном ещё остаются их подрядчики — более мелкие компании со слабой защитой и отсутствием ресурсов для её улучшения. Часто именно через них были организованы утечки персональных данных. Огромные корпорации могут себе позволить купить многоэшелонированную защиту и ИБ-компании на фоне огромного спроса уже не первый год отмечают рост выручки. Но человеческий фактор никто не отменял. По словам экспертов, можно хоть каждый месяц проводить киберучения, но избавиться от человеческого любопытства не получится и все равно от 2 до 5 % сотрудников откроют письмо и перейдут по вирусной ссылке.
Настанет день, когда перестанут иметь смысл отговорки, что слитая база — старая и штрафные санкции на этот случай не распространяются. Тогда бизнесу, который работает с персональными данными, независимо от отрасли так или иначе придётся выработать механизм страхования рисков, который мог бы максимально нивелировать последствия взлома и снизить потенциальный ущерб.
Предположим, что одним из таких решений может стать некий фонд, подобный тому, что когда-то организовало Агентство по страхованию вкладов (АСВ) для финансовых организаций. Но представить такую большую кубышку, куда бы все компании скидывались на киберриски практически невозможно. Создание такого фонда, с учётом огромного числа операторов персональных данных, представляется довольно утопичной идеей, не говоря уже о механизме контроля и распределения средств из него.
В апреле глава Минцифры России Максут Шадаев высказал идею о том, что обращаться за компенсациями граждане, пострадавшие от утечек, смогут через портал госуслуг, то есть может возникнуть способ простого предъявления претензий компаниям. Вместе с этим досудебное урегулирование будет расцениваться, как смягчающее обстоятельство, а выплата компаниями компенсации вычитаться из оборотного штрафа.
Но с учётом масштаба утечек, размеры компенсаций могут быть просто разорительными для бизнеса. Так возникла идея о киберстраховании. Сегодня по оценке участников рынка страхования, доля этого направления составляет не более 0,1 % от всего российского страхового рынка, такая услуга есть лишь у нескольких крупных компаний. Но это пока. Среди бизнеса можно слышать аргумент, что риски кражи персональных данных надо оценить, оцифровать, определить их некую стоимость и заложить в бюджет, а эти дополнительные расходы, конечном счёте, через цепочку стоимости оплатит конечный клиент. Страховщики радостно потирают руки, мало того, что их бизнес растёт и так по 20 % в год, а тут ещё появилось совершенно новое направление работы. При этом среди представителей страховых компаний, есть вопросы: как рассчитывать программы страхования, какова вероятность наступления страхового события? Такой практики нет, статистики за десятки лет, которая обычно используется в таких случаях, тоже не существует, рынок новый, риски неизвестны, а те, что рассчитаны могут быть скорректированы усилением защиты в компаниях. Кроме этого, если наступит страховой случай, с учётом оборотных штрафов, размеры выплат страховщиков могут быть настолько огромными, что ни одно перестрахование не поможет уже самому страховщику.
И последнее, когда санкции настолько велики, а возможные выплаты по страховке огромны открывается огромное поле для мошенничества и недобросовестной конкуренции. К обычным составам мошенничества со страховками может добавиться фиктивный слив ради получения страховой премии. А новым методом отжать бизнес может стать киберзаказ от конкурентов. Если раньше для нечестной борьбы и устранения конкурента использовались методы промышленного шпионажа: искали секреты и клиентские базы для себя, то теперь достаточно красть персональные данные и выкладывать их в сеть.
Мнение автора может не совпадать с мнением редакции.
