Страхование информационных рисков в кредитно-финансовой сфере деятельности

Самой крупной  компанией, действующей на мировом  рынке информационного страхова-ния, сегодня является американская AIG действующая примерно в 130 странах мира, на нее приходится примерно 70% этого рынка; к началу 2002 г. компания продала около полутора ты-сяч полисов страхования информационных рисков. С 2000 г. компания AIG продает полисы "Net Advantage", по которым предоставляется страхование от компьютерных вирусов и угроз информационной безопасности. Так как ставки страховых взносов зависят от используемого программного обеспечения и средств его защиты, компания AIG влияет на формирование стан-дартов безопасности "софта". Возможность определять, какие именно средства защиты инфор-мации наиболее предпочтительны – одно из конкурентных преимуществ, приобретаемых ком-панией – лидером страхования информационных рисков.

Так, компания AIG предлагает покупателям полисов "Net Advantage" 10-процентную скидку при использовании определенных средств защиты информации. Один из руководителей компании AIG говорит: "Мы изучаем существующие средства защиты информации и иное про-граммное обеспечение и рекомендуем страхователям те, которые уменьшают информационные риски".  
Кроме AIG, на мировом рынке страхования информационных рисков выделяются еще две компании Chubb (CB) и Zurich North America (ZFSVG), каждая из которых разработала и пред-лагает страхователям свои собственные полисы.  
Существуют также полисы Ллойда, по которым выделяются следующие объекты покрытия:

• несанкционированный вход в компьютерные системы банка;
• компьютерные системы банка от компьютерных вирусов;
• электронные данные и их носители;
• операции с ценными бумагами на электронных носителях;
• юридическая ответственность от получения по компьютерным сетям мошеннического по-ручения.

Минимальный лимит  ответственности по этому полису составляет $5 млн., соответствен-но, страховые  взносы начинаются с сотни тысяч  долларов. Максимальный лимит ответственно-сти для очень крупных банков – $100 млн.  
В отличие от английского полиса Ллойда, его американская версия состоит фактически из одного параграфа, в котором содержится информация о том, что по данному полису покрыва-ются убытки страхователя, понесенные им в результате получения несанкционированного дос-тупа третьих лиц к его компьютерной системе с целью мошенничества.

Одной из особенностей страхования информационных рисков является "плотная" работа страховщика, страхователя, разработчика АБС, а также экспертов, определяющих величину по-терь, премий, стоимости страхуемой информации и сюрвейерских компаний, оценивающих со-стояние банковских систем безопасности. "

AIG" установила  партнерские отношения с компанией  "PIP Tech", предоставляющей средства защиты информации. Фирмам, страхующим информационные риски в компании "Zurich Financial Services Group", рекомендуется работать с ее партнером, компанией "Tru Secure", занимающейся информационной безопасностью. Lloyd's устанавливает гораздо более низкие ставки платежей для страхователей, приобретающих средства информационной защиты у фирмы "Counterpane's Schneier".

Страхование ответственности  разработчиков АБС

Западные страховые  компании предлагают также страхование  ответственности разработ-чиков  программного обеспечения, в том числе - разработчиков автоматизированных банков-ских систем. Покрытию подлежит ответственность разработчиков за потенциальный матери-альный или финансовый ущерб, который может быть нанесен в процессе эксплуатации клиен-тами их продукции. В соответствии с условиями западных страховщиков, страхование ответст-венности разработчиков программного обеспечения является одним из видов покрытий, пре-доставляемых в рамках страхования профессиональной ответственности (страхование ответст-венности за ошибки и упущения). Покрытию подлежат убытки страхователя, которые он несет в результате предъявления к нему претензий в результата ошибок, упущений или небрежных действий страхователя (в том числе, ошибок при программировании, при установке и обслужи-вании программного обеспечения) в процессе осуществления своей профессиональной дея-тельности. По полису страхования устанавливается общий лимит ответственности (например, $1 млн. в год), также могут быть установлены подлимиты по отдельным случаям (например, один убыток не может превышать $500 тыс.)  
Перенести западный опыт комплексного страхования информационных рисков банков, на наш взгляд, в существующем виде пока невозможно в связи с полной неготовностью к ком-плексному страхованию самих страховщиков, исключительной сложностью определения стра-ховых сумм, отсутствием накопленной репрезентативной информации по страховым случаям (количественным параметрам информационных рисков), отсутствием авторитетных экспертов и сюрвейерских компаний.  
Вместе с тем, следует отметить, что в России создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом направлении уже сделаны. Но пока страхование информационных рисков – практически сво-бодная ниша на российском рынке.

Потенциальный объем страхового поля информационных рисков оценивается в несколько  миллиардов долларов, и существуют все предпосылки для занятия  значительной части этого поля российскими  страховщиками. Более того, специфика  страхования информационных рис-ков в банковской деятельности такова, что и западные страховые компании не смогут работать без российских партнеров – разработчиков АБС, экспертов в области информационной безо-пасности, экспертов-оценщиков стоимости информационных ресурсов и ущерба и других структур, включая, разумеется, АРБ. Если западные страховщики, исходя из своего опыта, ско-рее всего, будут предлагать банкам комплексные страховые полисы, аналогичные полису ВВВ и достаточно дорогие, то российские страховщики смогут предложить гораздо более дешевые полисы по страхованию отдельных информационных рисков.

Формируя новый  рынок страховых услуг, мы предлагаем пойти по пути сегментации страхового поля, поэтапного предложения услуг  по страхованию различных видов  информаци-онных рисков, причем основным критерием на первых порах должна стать простота внедрения отдельных видов страхования. Конкретные предложения по страхованию отдельных видов ин-формационных рисков могут быть подготовлены только с участием разработчиков АБС. По-видимому, у разработчиков АБС есть определенная информация о вероятности тех или иных технических сбоев и отказов, частоте непредумышленных ошибок персонала банков в обслу-живающей сети АБС, иных рисках технических неисправностей. Банку – покупателю (пользо-вателю) АБС может быть предложен – по его выбору – пакет страховых полисов того или иного вида, охватывающий больший или меньший состав информационных рисков.

Ставки страхования, например, возможного ущерба от неумышленных ошибок персонала банков, работающего с АБС, безусловно, будут находиться в зависимости от уровня подготовки этого персонала. И у банков, и у разработчиков АБС появятся дополнительные стимулы к по-вышению качества подготовки персонала.

Гораздо сложнее  страхование рисков, связанных с  предумышленными действиями персо-нала, хакеров и иных внешних для банка лиц, посягающих на его информационную безопас-ность. Стоимость страховки неизбежно будет зависеть от степени информационной защищен-ности банка, обеспечиваемой, в том числе, и сотрудничеством со структурами, специализи-рующимися на предотвращении преступлений со стороны персонала и их раскрытии. Уже под-готовительная работа к внедрению страхования такого рода рисков повысит степень защищен-ности и надежность работы АБС.

По некоторым  видам информационных рисков банкам могут первоначально предлагаться чрезмерно высокие ставки страховых взносов, однако конкуренция заставит разработчиков снижать величину ожидаемого ущерба.

Что дает страхование  информационных рисков разработчикам  АБС?

• анализ страховых случаев подтолкнет к повышению информационной защищенности и, значит, качества АБС, что, в свою очередь, приведет к увеличению сбыта;
• возрастет объем рынка АБС в целом (за счет большей надежности для пользователей – банков) и объем рынка специальных средств защиты банковских информационных ресурсов (от качества таких средств защиты будут зависеть платежи по страхованию);
• финансовая ответственность разработчиков АБС перед банками будет делиться со страховыми компаниями.

Потенциальный выигрыш банков от страхования информационных рисков видится в следующем:

• работа по изучению информационных рисков, предшествующая их страхованию, неиз-бежно приведет к повышению информационной защищенности банков – благодаря новым раз-работкам производителей АБС, экспертов, самих банков;
• будет компенсирована часть финансовых потерь банков, связанных с неизбежными сбоями в функционировании АБС, ошибками персонала, несовершенством АБС;
• повысится эффективность функционирования АБС, возрастет доверие к банкам со стороны их партнеров;
• еще по одному параметру деятельность российских банков приблизится к мировым стандартам, что повышает их конкурентоспособность;
• страхование информационных рисков повышает информационную прозрачность банков.

При страховании  информационных рисков чрезвычайно велика роль экспертов. Действи-тельно, и стоимость информационного ресурса, и возможный ущерб при его искажении оце-нить несопоставимо сложнее, чем, скажем, стоимость строения и ущерб от пожара. В мировой практике пока нет общепризнанных эффективных методик объективной оценки стоимости ин-формации, но для ряда частных случаев методики, устраивающие и страховщика, и страховате-ля, разработаны, в том числе – Финансовой Академией и Всесоюзным научно-исследовательским институтом проблем вычислительной техники и информации (ВНИИП-ВТИ). Во многих случаях страхователь и страховщик не смогут договориться напрямую, без посредника: так, страховщик, чтобы получить большую премию, объективно заинтересован в преувеличении ущерба, а страхователь – в его преуменьшении. Независимые эксперты в роли посредников – обязательные участники сделок по информационному страхованию. Существенно также и то, что эксперты получат доступ к информационным ресурсам и системам защиты пользователей.

Эксперты должны будут пройти соответствующую подготовку, сдать квалификационный экзамен. Фирмы, претендующие на роль экспертов, не могут работать без аккредитации, осу-ществляемой официальным органом, состоящим из представителей АРБ, Всероссийского стра-хового союза, представителей ведущих фирм – разработчиков АБС, научно-аналитических структур (типа ВНИИПВТИ).

Разрабатываются алгоритмы работы по страховым ситуациям. По мнению авторов, насту-пление страхового случая должно подтверждаться независимыми экспертами, а размер компен-сации  – если не найдено иного решения – должен определяться в ходе состязательного процесса специальным арбитражем, также учрежденным совместно АРБ, ВСС, разработчиками АБС, исследовательско-аналитическими структурами.

Заключение

Возможные выгоды страхования информационных рисков пока плохо осознаются как банками, так и разработчиками АБС. Целесообразно было бы отработать несколько наиболее простых (с точки зрения учета интересов сторон) полисов страхования информационных бан-ковских рисков и дать им широкое освещение в СМИ, использовать как первый шаг в алгорит-ме "втягивания" банков в этот вид страхования. В качестве опытной площадки могли бы выступать коммерческие банки, разработчики АБС, ВНИИПВТИ – как аналитическая структура, занятая отработкой всего пакета документов по страхованию, НМЦ "Сатурн" - как консалтинговая, экспертная, оценочная компания, "Страховой Сервис" - совместно со страховыми компаниями как страховщик, ОКБ САПР - как разработчик системы защиты компьютерной информации, покупателю которой предоставляются страховые гарантии. Патронаж этой работы, осуществляемый АРБ, позволит решать многие проблемы быстрее и эффективнее.