Владимир Кремер: «Мошенничество в интернете — наиболее массовый и прибыльный вид преступлений»

Международная статистика свидетельствует о том, что число преступлений в IT-сфере ежегодно растет. В 2012 году в России зарегистрировано на 28% больше высокотехнологичных преступлений, чем в 2011 году. Чтобы защитить себя в от такого типа преступлений, страховые компании предлагают новый для России вид страхования — страхование кибер-рисков. Одна из таких компаний — страховая компания ЗАО «АИГ». Руководитель отдела страхования финансовых рисков ЗАО «АИГ» Владимир Кремер рассказал ПАСМИ об основных схемах мошенничества в интернете, а также о кибер-рисках, с которыми мы сталкиваемся в повседневной жизни.

— Страхование кибер-рисков больше американская тенденция, наш русский менталитет очень отличается от американского, как такое страхование восприняли в России? Насколько востребовано сегодня на рынке страховых услуг в нашей стране?

— Такое страхование новое и для российского потребителя непонятное. Можно сказать, что сейчас мы выполняем образовательную функцию, знакомим рынок с новыми видами страхования, которыми международное сообщество пользуется широко и успешно. В России этот продукт был запущен только в октябре 2012 года. Сейчас наши клиенты — в основном компании, от которых требуют такое страхование их международные контрагенты. Но мы предполагаем, что интерес и у других компаний тоже возникнет.

— Что входит в понятие кибер-риски, какими они бывают, каковы их разновидности, с какими кибер-рисками мы чаще всего сталкиваемся в повседневной жизни?

— К кибер-рискам можно причислить любые случаи нарушения данных. К нарушению относятся потеря, искажение, неправильная обработка данных, которая привела к убытку. К данным мы относим как персональные, так и корпоративные данные, которые в силу сделок или каких-то экономических отношений, передаются компании для обработки. При этом нарушение данных может быть как в результате нарушения безопасности компьютерных сетей, например, заражение вирусами, несанкционированный доступ, физическая кража или утеря аппаратного обеспечения и многое другое, так и в результате утраты данных на бумажных носителях. Если, например, какой-то массив данных был распечатан, и в таком виде утерян сотрудниками, то это тоже является, в нашем понимании, кибер-риском, хотя никакой электронной составляющей здесь нет. Для нас нет разницы какие данные и каким образом были нарушены.

— Каким образом страхуются кибер-риски? Как давно такая услуга существует в России, каковы основные игроки на этом поле на международном и российском рынке?

— Страхование кибер-рисков впервые появилось в Америке около 15 лет назад. «АИГ» страхует кибер-риски с 1999 года. В России такая программа запущена в октябре прошлого года. Элементы этого страхования есть и у других компаний в нашей стране, но у них все завязано на способах оценки информации, т. е. информацию, которая страхуется, нужно каким-то образом оценить, а это всегда большая проблема. Мы страхуем не саму информацию, а ответственность за потерю этой информации. В основном страхование кибер-рисков включает в себя такие покрытия как убытки в связи с требованием третьих лиц в отношении нарушений данных, расходы на программно-техническую экспертизу, расходы на восстановление репутации, расходы на уведомления субъектов данных, расходы на мониторинг и расходы на восстановление электронных данных, т.е. разнообразные доходы, с которыми столкнется наш клиент в случае реализации кибер-рисков. Дополнительно могут быть также докуплены покрытия убытков от сбоя работы в сети, когда возвращается недополученная прибыль, которую страхователь мог получить в период вынужденной остановки работы в сети по причине нарушения ее безопасности до момента ее полного восстановления. В нашей практике, например, был случай, когда розничная сеть по продаже одежды столкнулась с 48-часовым сбоем в системе прямо перед выходными днями. В результате сбоя стали невозможными операции по кредитным картам, осуществление заказов и обратной связи с клиентами. Мы, в сотрудничестве с клиентом, наняли бухгалтера – криминалиста, который установил, что данный простой нанес компании убыток в размере примерно $1.4 миллиона, который был компенсирован по полису. Также мы покрываем убытки от деятельности в области мультимедиа, т. е. если в результате публикации информации страхователь нарушит авторское право, патент, права третьих лиц, то «АИГ» будет возмещать сумму требования к страхователю в связи с данной публикацией. Также дополнительно можно застраховать убытки от виртуального вымогательства.

— Расскажите об основных схемах мошенничества в Интернете.

— Самая основная схема — фишинг, т. е. выявление или выманивание паролей, либо использование не очень хорошо защищенных каналов и терминалов. В нашей Российской практике мы пока не сталкивались с кибер-рисками, было бы, наверное, печально, если бы запустив в октябре программу, мы бы уже что-нибудь заплатили по ней. Однако в международной практике, собирая где-то порядка 80 миллионов долларов страховой премии в год, мы выплачиваем около 28 миллионов долларов. Случаются и крупные убытки. В частности, был случай, когда в результате взлома сети оператора онлайн игр произошла утечка данных, которая затронула более 1 миллиона клиентов. В суд было подано 7 классовых исков в отношении данного взлома сети. Это стоило нашей компании 1,5 миллиона долларов.

Мошенничество и кража денежных средств со счетов граждан и организаций с использованием компьютерных и телекоммуникационных технологий являются наиболее массовыми и прибыльными видами преступлений. В 2012 году подразделением «К» МВД России на всей территории страны зарегистрировано 3645 подобных преступлений. Для сравнения в 2011 году их было 2123.

— Что относится к финансовым рискам?

— Если говорить о финансовых рисках, то тут можно застраховать бизнес от нечестности сотрудников и мошеннических действий третьих лиц, свою профессиональную ответственность, т. е. ответственность за ошибки и упущения, допущенные в ходе профессиональной деятельности, которые могут вызвать финансовые убытки у клиентов компании. Кроме этого, к финансовым рискам мы относим страхование ответственности директоров и должностных лиц, т. е. действия членов Совета директоров, которые могут нанести ущерб компании или третьим лицам. Это в международном понимании и есть страхование финансовых рисков. Эти виды страхования актуальны, как для коммерческих компаний, так и для компаний с государственным участием. И с каждым годом мы видим возрастающий спрос на данные виды страхования, количество полисов увеличивается.

— В чем отличие финансового риска от бизнес-риска?

— В нашей терминологии бизнес-риск — это тот риск, который в принципе страхованию не подлежит. Это тот риск, который предприниматель несет, ввязываясь в то или иное предприятие. Например, вы решили инвестировать деньги в какую-нибудь компанию, и, соответственно, вы вкладываете деньги в акции этой компании. Такая сделка несет в себе риск, который как раз и является бизнес-риском. Его нельзя застраховать, вы не можете купить акции и одновременно купить страховку на то, что в случае, если что-то случится — вам вернут деньги. Это ваш собственный риск — выбор партнера по бизнесу. С другой стороны, мы часто сталкивались с тем, что под бизнес-риском подразумевают не риск предпринимателя, а риск, связанный с бизнесом. Допустим, если речь идет о производственном предприятии, то у него есть риск того, что он сгорит. Иначе такой риск можно назвать операционным. Поэтому, есть смысл просто договориться о терминологии.

— Как часто от финансовых рисков страхуются государственные компании? Защищают ли они себя от потери денег?

— Государственные компании пока нам не присылали запросы на страхование кибер-рисков. Однако как раз для них такое страхование должно быть актуально, в силу того, что уже более пяти лет действует закон «О Персональных данных». И, соответственно, закреплена ответственность за нарушение этого закона. Сейчас эта ответственность выражается в виде неких штрафов. Может быть, пока она не очень серьезная, но государство таким образом поставило некую планку и обозначило вектор, в направлении которого мы все собираемся двигаться. Государственные компании, в определенном смысле, должны показать пример остальным компаниям, что этот риск у них застрахован. Они имеют еще больший доступ к персональным данным, которые они обрабатывают, и которые еще сильнее нуждаются в защите. Но в силу того, что государство — довольно тяжелая машина, мы не рассчитываем, что государственные компании ринутся покупать полисы страхования от кибер-рисков.

Алина Тимофеева