Блиц-интервью агентству "Интерфакс-Украина" директора департамента андеррайтинга страховой компании "ИНГО" Андрея Семченко.

- Насколько страхование кибер-рисков в Украине востребовано. Существует ли интерес у ваших действующих и потенциальных клиентов на данный вид страхования.

- Был определенный всплеск после вируса Petya. Сейчас добровольных осознанных запросов немного. Зачастую обращаются, когда это требование по условиям финансирования, необходимое для прохождения верификации у западных контрагентов страхователя или требования материнских структур.

Например, когда речь идет о транснациональных компаниях, то это покрытие автоматически включено в полисы по международным программам страхования в определенном лимите.

Как это работает. Например, я большой автомобильный производитель из США и меня страхует местная крупная компания международного уровня. И эта же страховая компания по всему миру страхует все мои активы. Где-то напрямую, а где-то через местных страховщиков, которые обратно возвращают ей часть премий и почти всю ответственность. У нас много подобных проектов.

Но задача застраховаться в данном случае вмененная материнской структурой, а не добровольное желание менеджмента на местах.

Бывает, что хотят застраховать свои кибер-риски при полном отсутствии элементарной кибер-защиты внутри предприятия, переложить всю ответственность на страховую компанию. Это неправильно. Нужно полноценно развивать процедуры риск-менеджмента и управлять риском – минимизировать его самостоятельно, делать частичный трансфер риска на страховую компанию.

И вообще кибер-страхование, это не классическое страхование, а больше продажа сервиса по реакции на инцидент. Если что-то произошло, то задача страховой компании оперативно привлечь специально обученных специалистов внешних подрядчиков для защиты страхователя и его данных. Их оперативного восстановления, защиты репутации страхователя и восстановления его бизнес-процессов.

- Производили ли вы актуарные расчеты по возможной убыточности, прибыльности, охвате этим видом страхования?

- Актуарных расчетов в Украине нет. Это рулетка в чистом виде, где только можно срезать уровень убыточности путем перестрахования.

Если у страховой компании есть излишек капитала, она может предоставить емкость для защиты кибер-рисков. У местных страховщиков нет такого капитала, поэтому используется привлеченный в виде перестрахования (другие страховщики, в основном, из США, Великобритании и Германии). Таких рисков в Украине страхуется настолько мало, что какой-то однородный портфель сложно сформировать. Поэтому почти все перестраховывается, чтобы один большой или череда мелких убытков не убила финансовый результат по этой линии бизнеса на несколько лет вперед.

Сейчас этим видом страхования целесообразно заниматься исключительно для того, чтобы получить опыт, определенные навыки и компетенции.

А если вернуться к перестраховщикам, которые дают капитал для игры в этой рулетке, то их из года в год становится все меньше. Основная причина - очень высокий уровень убыточности, который объективно сложно смоделировать. Именно поэтому, я так грубо и говорю, что рулетка. Перестраховочных рынков все меньше, а цены на подобное страховое покрытие все выше.

- Сколько приблизительно может стоить такая страховка?

- Ежегодно стоимость растет из-за высокой убыточности и отсутствия большого количества желающих. Ориентировочно, ставки стартуют от 0,5% лимита ответственности. И сам лимит ответственности может быть ниже, чем запрашивает потенциальный страхователь. Например, посчитали, что необходимая сумма для покрытия риска составляет $10 млн, однако рынки готовы предоставить не более $5 млн, так как капитала уже не хватает для удовлетворения спроса.

- Почему этот вид страхования еще не активен в Украине?

- Для развития кибер-страхования не хватает законодательной базы. Особенно большой пробел в процессе урегулирования убытков. Сегодня, даже если страховщик проведет страховую выплату по факту убытка, то ему потом сложно подтвердить проверяющим органам обоснованность ее размера и самого факта принятия решения о выплате. Это все нужно прописывать на законодательном уровне, потом в правилах страховщика, и, наконец, в полисах.

Традиционно нужные изменения в законодательстве происходят после накопления критического уровня проблемы. Кибер-угрозы пока еще не реализовались и не вылились в громкие убытки на объектах критической инфраструктуры. Например, на ТЭЦ или гидроэлектростанциях. Правда, был кейс, когда хакеры поигрались с электричеством, хаотично отключая его на отдельных участках сети, но должных уроков из этого пока не извлекли, как, впрочем, и после вируса Petya.

Также еще не было судебных исков относительно несанкционированного доступа к персональным данным учреждений финсектора, телеком-операторов, электронных коммерческих площадок и т.д.

До сих пор на предприятиях нет адекватной защиты от кибер-атак, стоит нелицензированный софт. Непонятно сколько стоят персональные данные, и какие последствия ожидают предприятие за их утрату, нет адекватных процедур риск-менеджмента и процедур реакции на инцидент.

- Если можно, ваш прогноз развития кибер-страхования в Украине, что необходимо, чтобы он стал востребован у клиентов?

- Прежде всего, необходимо на законодательном уровне закрепить требования к данному виду страхования, урегулированию страховых случаев, стоимости данных. Описать процедуру реагирования компетентных органов, перечня документации, необходимой для подтверждения факта наступления убытка и его стоимости.

Важно ввести обязательное требование страхования объектов критической инфраструктуры. Нужна информация о паре-тройке громких убытков и крупных штрафов за утечку данных. И несколько успешный кейсов от страховщиков, которые помогли восстановиться страхователям после кибер-атаки.

Можно предположить, что через два-три года отраслевой портфель рисков для крупного бизнеса будет уже сформирован. Особенно в тех отраслях, где самая высокая экспозиция наступления убытков и нужна поддержка со стороны страховых компаний. Ориентировочно, в эти же сроки будут решения для малого и среднего бизнеса, где будет ограниченное страховое покрытие и небольшие лимиты, что вполне будет соответствовать спросу.