На свой страх и киберриск

Доля киберстрахования в России в структуре рынка практически ничем не отличается от мировой, кроме масштабов. Но есть один нюанс: если там это бизнес (прогноз в 80 млрд долларов к 2030 году с темпом роста 25% ежегодно), то у нас, как выразился один из участников дискуссии, это «поиск неуловимого Джо, которого все ищут, но найти не могут, поскольку на самом деле он никому не нужен».

Мнений о текущем состоянии этого сегмента рынка было высказано немало, а самую радикальную точку зрения продемонстрировала президент группы компаний InfoWatch, председатель правления АРПП «Отечественный софт» Наталья Касперская. Она отметила: «Страхование киберрисков сейчас есть и даже достигло у нас порядка 1 млрд рублей в 2024 году. Однако по сравнению со всем рынком страхования — это примерно 0,1% его объема, то есть почти ноль. И, на мой взгляд, пока не будет точного механизма и методик подсчета и оценки рисков, калькуляции страхового продукта — рынок киберстрахования развиваться не будет».

Две стороны одной медали

Многоопытная Наталья Воеводина, генеральный директор компании «Кибериспытание», партнер фонда «Сайберус», выступавшая в роли модератора, переводя дискуссию в более конструктивное русло, заняла промежуточную позицию. С одной стороны, она признала серьезные, а порой и критичные проблемы: «Между клиентом и страховщиком существует пропасть: клиент не готов впустить в инфраструктуру, а страховщик не готов страховать без объективных данных об уровне защищенности. Нужен медиатор, который способен дать понятную и прозрачную оценку защищенности компании». А с другой стороны, она считает, что не все так печально:

«Ключевая задача — выстроить диалог между всеми сторонами: бизнес должен четко формулировать запрос, страховщики — предлагать гибкие решения, а регуляторы — создавать понятные правила. Только так мы сможем добиться прорыва».

Анар Бахшалиев, исполнительный директор компании «СОГАЗ», развил эти тезисы: «Существующий «бутиковый рынок» не может быстро стать массовым и занять значимую долю без форсированного роста капитала со стороны страховщиков. Но необходимы простые, понятные продукты с очевидной клиентской ценностью. При реализации такого подхода рынок осознанного киберстрахования имеет все шансы удвоиться к 2027 году».

Помимо сказанного в качестве драйвера роста было названо формирование полноценных страховых портфелей с долевым участием в риске всех участников сделки, включая интеграторов и вендоров. В данном случае даже в условиях неопределенности и недостатка статистики уже можно вести бизнес. Но пока этот рынок является «бутиковым», про портфели говорить рано, а дела, за редкими исключениями, приходится вести, как это саркастически ни звучит применительно к страховщикам, на свой страх и риск.

Камень преткновения

Но с одной важнейшей проблемой все далеко не так просто. Ее название — персональные данные (ПДн). В ходе дискуссии стало окончательно понятно: «Слона надо есть по частям», т.е. необходимо решить для начала вопрос хотя бы в одной, наиболее продвинутой отрасли экономики в части ИБ.

Ассоциация банков России (АБР), как бы приняв эстафету PHDays, 28 мая 2025 года провела уникальное совместное заседание комитетов по банковскому законодательству, по ИБ, по комплаенс-рискам и ПОД/ФТ на тему «Новеллы законодательства в сфере защиты ПДн. Проблемы исполнения должностными лицами кредитной организации новых положений УК и КоАП, устанавливающих повышенную ответственность за утечку ПДн».

Как любая лавина в горах начинается с первого маленького камушка, так банкиры, не пройдя спокойно мимо внешне безобидных поправок в УК (ст. 272.1) и КоАП (ст. 13.11), вступивших в силу 30 мая 2025 года, создали прецедент реального успешного взаимодействия всей отрасли с несколькими регуляторами сразу.

Вполне возможно, что последствия данного заседания приведут к объединению усилий всех заинтересованных сторон и разрешению спорных моментов регулирования ПДн хотя бы в отдельно взятой отрасли. Почему в отдельной? По причине наличия собственного эффективно действующего регулятора, имеющего немалый вес и авторитет в системе органов государственной власти.

«Проблем со ст. 272.1 много; например, возникает некоторая неясность применения и в субъектном составе, и в функционале статьи. Неясен и вектор общего движения регулирования в корреспонденции с КоАП, а также с № 152-ФЗ о ПДн», — предельно дипломатично подвел к теме модератор заседания, президент АБР Анатолий Козлачков.

«Во-первых, криминализируются банальные операционные ошибки персонала. А, во-вторых, складывается опасная ситуация, когда из лучших побуждений компании защищаются, они могут оказаться под «уголовными репрессиями» из-за полученных «былыми хакерами» ПДн в ходе тестов», — ввел новый термин в юриспруденцию Игорь Соболь, вице-президент, заместитель начальника юридического департамента ГПБ.

А вот Станислав Кузнецов, руководитель комитета по ИБ АБР, заместитель председателя правления СберБанка, не стал скрывать эмоций и позволил себе дать регуляторам совет: «Рынку необходимы разъяснения. На первом этапе необходимо действовать осторожно и смотреть, чтобы не был нарушен главный принцип всей этой работы — вор должен сидеть в тюрьме, а те, кто плохо хранят ПДн, должны быть наказаны и изменить свое отношение к ответственному их хранению либо уйти с рынка».

В Сбере полагают: чтобы наказание непричастных стало невозможно, необходимо ввести такую практику, что если для конкретного банка установлен персональный минимальный уровень киберзащиты и он банком реализован, то в случае инцидента дальнейший ход событий должен регулироваться разъяснениями тех или иных трактовок нормативных актов, поскольку единого межотраслевого регулятора в области ПДн так и не создано.

Такая позиция крупнейшего банка страны обусловлена тем, что массовые утечки происходят не в финансовом секторе, а в ретейле, маркетплейсах и прочих звеньях, а все шишки в виде социальной инженерии и так далее летят в сторону банкиров. При этом сами кредитные организации соответствуют требованиям в сфере кибербезопасности, установленным Банком России. Вот к условной аптеке кто предъявляет требования о достаточности защиты? Никто! А безопасность не должна быть только в банках, она должна быть везде!

Станислав Кузнецов назвал еще несколько иных болевых точек, где можно и нужно что-то «подкрутить» в регулировании, чем вызвал оживленную дискуссию. В ее ходе завцентром уголовно-процессуального законодательства Института законодательства и правоведения Станислав Нудель вынужден был отметить: «Текущая конструкция нового законодательства чрезвычайно сложна, а также изобилует оценочными признаками, которые порождают правовую неопределенность, в связи с чем новеллы требуют корректировки». Коснулся он и проблем с № 152-ФЗ, которые являются реальной причиной криминализации деятельности «белых хакеров». Эти слова можно считать весьма значимым достижением АБР.

В итоге необходимо вернуться к PHDays, к докладу «Теневая экономика данных» Алексея Лукацкого, бизнес-консультанта по ИБ компании PT, где с цифрами доказано «затоваривание» криминального рынка ПДн, ведь, как сказал Станислав Кузнецов: «Украли уже почти всё». С практической точки зрения это означает ликвидацию хакерами неликвида и массового бесплатного слива на рынок баз данных ПДн.

Как ответят на это регуляторы? Как бы то ни было, процесс «наведения порядка с ПДн» в отдельно взятой отрасли начался. Возможно, его итогом станет пробуждение в ней сферы киберстрахования. А дальше будет видно!