Страхование информационных рисков - тема в России популярная. Сегодня уже не надо никого убеждать в необходимости совершенствования механизмов защиты - у всех на слуху миллиардные цифры потерь от компьютерных преступлений, совершаемых по всему миру. Нет необходимости и доказывать важнейшую роль страхования в системе экономической безопасности современного предприятия.

За последнее время по проблеме информационных рисков много написано и немало сказано на публичных мероприятиях. Однако единственное, что объединяет эти публикации и выступления, так это термин «страхование информационных рисков», во всем остальном, даже в понимании этого термина, о единстве мнений говорить не приходится. В понятие «страхование информационных рисков» специалисты вкладывают разный смысл: от узкого - страхование рисков утраты или искажения информации до широкого - объединение видов страхования и страховых продуктов, ориентированных на сферу информационных технологий. Второй подход представляется автору статьи более правильным, поскольку позволяет рассматривать проблему в комплексе.

Довольно распространена точка зрения, что страховать информационные риски сейчас невозможно из-за отсутствия методик определения стоимости информации. Непонятно с чем связано такое утверждение, ведь во всем мире информация уже не один десяток лет страхуется по восстановительной стоимости, то есть в размере расходов, необходимых для ее воссоздания. Такой подход пришел еще из традиционного имущественного страхования, где помимо зданий и оборудования, можно было застраховать от пожара бухгалтерские документы, управленческую документацию, архивы и другую информацию на «традиционных» бумажных носителях. Кроме того страхование информационных рисков не сводится только к страхованию информации - страхуются вообще риски, связанные с информационными технологиями, а к ним относятся и риски утраты финансовых активов, и риски остановки коммерческой деятельности, и риски, связанные с возникновением гражданской ответственности.

Возможно, такое недопонимание обусловлено отсутствием квалифицированных материалов о зарубежной и отечественной практике в данной области. Действительно, за рубежом полисы, которые можно отнести к страхованию информационных рисков, получили наибольшее распространение в самом конце 1990-х гг. Рост их популярности совпал с технологическим бумом, а сейчас наблюдается некоторый спад интереса к страхованию информационных рисков в зарубежном бизнесе.

Виды страхования
Тем не менее многие виды страхования на Западе прижились и стали неотъемлемой частью страховой программы любой уважающей себя компании, использующей в своей работе информационные технологии вообще и Интернет в частности. Прежде всего, это страхование от компьютерных преступлений, которое предоставляет защиту от взлома информационных систем, как извне, так и со стороны сотрудников компании, действий компьютерных вирусов, случайной утраты носителей информации и финансового мошенничества с использованием компьютерных систем. Объектами страхования в этом случае являются «электронные» деньги, которые могут быть украдены, а также ценная информация, которая может быть утрачена. Как и в большинстве случаев, информация страхуется по стоимости восстановления. При таком подходе страховая компания возмещает расходы по оплате сверхурочной работы сотрудников предприятия, привлечению сторонних экспертов и аудиторских компаний, а также другие целесообразные расходы, направленные на восстановление утраченной информации. Некоторые виды информации, например патенты или проектная документация, могут страховаться по дополнительным соглашениям, предусматривающим особый порядок возмещения ущерба, - выплату страховой суммы без требования обязательного восстановления. Однако такие соглашения - исключение из правил, не отражающее общую практику.

Второй наиболее популярный вид страхования - это страхование профессиональной ответственности, то есть гражданской ответственности за ущерб, который может быть нанесен компанией ее клиентам/потребителям. Нанести такой ущерб и, соответственно, столкнуться с необходимостью выплачивать компенсацию можно вследствие предоставления некачественных услуг, перерывов в обслуживании, неквалифицированных действий персонала и многих других причин. Здесь может страховаться ответственность операторов связи, системных интеграторов, консультантов и программистов, регистраторов доменных имен и многих других участников рынка информационных технологий. Это страхование настолько прочно вошло в деловую практику, что без требований к страхованию профессиональной ответственности в развитых странах не обходится ни один серьезный тендер.

Довольно часто страхование от компьютерных преступлений и страхование ответственности предлагаются зарубежными страховщиками в едином пакете. Несмотря на то, что стоимость его за рубежом довольно высока и может достигать нескольких процентов от страховой суммы, этот продукт пользуется спросом.

Страхование и электронная коммерция
Специальные виды страхования созданы для операторов электронной коммерции. Как правило, такие полисы являются комбинированными и состоят из тех же двух секций: страхования от компьютерных преступлений и специального страхования гражданской ответственности. Секция компьютерных преступлений для операторов электронной коммерции несколько шире, и помимо традиционных рисков, уже описанных выше, включает в себя дополнительно страхование от хищения вычислительных ресурсов, DOS-атак, а также возмещение ряда дополнительных расходов, в том числе по защите репутации компании при наступлении страхового случая.

Содержание секции страхования ответственности зависит от законодательства страны, где заключается договор страхования. В американском варианте она может покрывать следующие виды ответственности:

• ответственность, возникающую в связи с ошибками и упущениями (перерывы в деятельности; плохая техническая поддержка клиентов; недостаточные меры по защите данных, принадлежащих третьим лицам; непреднамеренное разглашение конфиденциальной информации; ошибки в программах, вследствие которых наносится ущерб пользователям; ответственность по соглашениям об уровне обслуживания и т.п.);
• ответственность за нарушение прав на интеллектуальную собственность;
• ответственность, связанную с контентом и рекламой (клевета или распространение информации, порочащей честь и достоинство третьих лиц; нарушение прав на неприкосновенность частной жизни; нарушение антимонопольного законодательства; нанесение морального вреда при рекламе и т.п.).
  Наряду с общераспространенными видами страхования существуют и экзотические. Так, французская страховая компания AXA предлагает для операторов электронной коммерции проект FIA-NET (www.fia-net.com). Для того чтобы принять участие в программе, Интернет-магазин должен пройти предварительную экспертизу рискозащищенности и заключить своеобразный договор страхования. Такой договор предоставляет защиту как самому магазину, так и его клиентам. Например, потребитель, совершая покупку в Интернет-магазине, участвующем в программе, автоматически страхуется от ряда рисков, актуальных для электронной коммерции: мошенничества, недоставки товара или продажи товара ненадлежащего качества.

Чем дальше, тем более лояльными по отношению к страхователю становятся условия страхования. Уже сейчас можно найти предложения по страхованию рисков, которые раньше никогда не были предметом страхования. К их числу относятся сбои информационных систем, вынужденный перерыв в коммерческой деятельности компании, наступающий вследствие утраты ценной информации. Как правило, такие новые риски предлагаются как дополнение к уже опробованному на практике страховому полису.

Из истории страхования
Следует оговориться, что страхование специфических рисков, связанных с информационными технологиями, за рубежом возникло довольно давно и развивалось по другому сценарию, нежели в России. Первым специальным страховым полисом, предоставлявшим защиту от компьютерных рисков, в Европе принято считать полис страхования банков от электронных и компьютерных преступлений, разработанный и принятый в качестве типового в английской ассоциации Ллойдс в 1981 г.
К слову, страхование от компьютерных рисков за рубежом и сейчас иногда является частью других страховых программ. Не секрет, что в Европе и Америке страховой рынок развивался на протяжении веков, и страховая культура в предпринимательстве чрезвычайно высока, что означает наличие на каждом предприятии определенной страховой программы. Несколько расширить существующую страховую программу, включив туда один-два новых, пусть и непонятных страховщику рисков, всегда проще, чем сразу выпускать на рынок новый специальный продукт без четкого понимания перспектив продаж и возможных убытков. Например, распространенный продукт под названием комплексное или коммерческое страхование от преступлений (commercial crime/fidelity insurance) помимо традиционного страхования ценного имущества от грабежа и кражи дополнен рисками, связанными с мошенническим компьютерным переводом денежных средств и ценных бумаг, а также с хищениями со стороны сотрудников компании, которые могут быть совершены, в том числе, и с использованием информационных технологий.
В России начало страхованию компьютерных рисков было положено в 1997 г., когда «Ингосстрах» получил лицензию на страхование банков от электронных и компьютерных преступлений. Отечественный финансовый рынок - банки, брокеры, дилеры и депозитарии - сейчас является основным потребителем услуг по страхованию информационных рисков. На сегодняшний день застраховано несколько десятков банков и профессиональных участников фондового рынка со страховыми суммами от нескольких сотен тысяч до десятков миллионов долларов. Такие полисы предоставляют защиту от рисков взлома компьютерных сетей банков, подделки электронных поручений на перевод денег и ценных бумаг, распространения вирусов и т.п.

Российские перспективы
Не так давно в России появились и страховые полисы, ориентированные на нефинансовые организации - предприятия любых отраслей и видов деятельности. Для них страховая защита может включать в себя помимо упоминавшихся рисков атак хакеров и действий компьютерных вирусов также новые риски сбоев информационных систем, перерыва в коммерческой деятельности, возникновения дополнительных расходов на аренду резервных центров и защиту репутации пострадавшей компании. Особенно актуально такое страхование для промышленных предприятий, которые имеют комплексные автоматизированные системы, контролирующие критические участки деятельности компании: технологический цикл производства, сбыт, финансы. Это еще очень молодое направление страхового бизнеса, и пока таких полисов в России немного. По мере того как предприятия будут становиться все более зависимыми от надежности информационных технологий, популярность этого вида страхования будет расти.

Таким же благоприятным может быть прогноз для страхования различных видов ответственности, связанной с профессиональной деятельностью. Первыми клиентами отечественных страховых компаний по этому направлению были производители средств защиты информации и регистраторы доменных имен. Однако с момента выдачи в России первого полиса по страхованию профессиональной ответственности в области информационных технологий прошло уже больше трех лет, и сейчас список страхуемых видов деятельности значительно расширился.

Предлагаемые сейчас российскими страховыми компаниями услуги в области страхования информационных рисков часто представляют собой адаптированные под отечественную специфику варианты соответствующих зарубежных разработок. Нежелание изобретать велосипед продиктовано чаще всего необходимостью говорить с международным страховым рынком на одном языке - ведь потом эти риски необходимо будет перестраховывать за рубежом.

Тем не менее, не все западные страховые продукты можно привнести на наш рынок. Для того чтобы страхование успешно развивалось, нужны определенные условия - такие, как умеренная убыточность, возможность сбора доказательств и объективного подтверждения страхового случая, возможность определения размеров ущерба, а также наличие механизмов контроля страхового мошенничества. По различным объективным (законодательство, страховая культура, деловая практика) и субъективным (нежелание компаний вкладывать деньги в информационную безопасность) причинам в России не все эти условия сейчас имеются.
К примеру, наиболее сложный риск с точки зрения рассмотрения страховой компанией - это риск сбоя информационных систем. Сбой может длиться сотые доли секунды и нанести при этом убытки, исчисляемые миллионами. Зафиксировать факт сбоя, а уж тем более достоверно определить причины - задача чрезвычайно сложная. Она требует не только профессионализма экспертов страховой компании, но и наличия у клиента специальных технических средств обнаружения ошибок, развитых функций протоколирования операций, а также выполнения еще около десятка условий. 99,9% российских компаний такими возможностями не обладают. Здесь трудно предъявлять претензии к отечественному бизнесу - каждый считает деньги и пытается найти свой баланс между уровнем безопасности и размером вложенных средств. Тем не менее, для страховой компании отсутствие необходимой инфраструктуры сильно затрудняет работу.

Еще одним ярким примером может быть так называемое «страхование интеллектуальной собственности», о котором много говорится, но которое так и не нашло применения в отечественной страховой практике. Страхование в сфере оборота интеллектуальной собственности можно разделить на две части:

• страхование ответственности за случайное, непреднамеренное нарушение законодательства о защите интеллектуальной собственности;
• страхование непосредственно рисков самих владельцев объектов интеллектуальной собственности.

Страхование ответственности за непреднамеренное нарушение авторских прав, патентного законодательства и законодательства о торговых марках - это продукт, пользующийся особой популярностью практически во всех западных странах и, прежде всего, в США. На практике он предлагается страховыми компаниями под самыми разными названиями, в том числе как страхование кибер-ответственности, страхование ответственности за нарушение авторских прав, multimedia liability и т.д. Различия в названиях часто означают лишь, что услуги ориентированы на разные группы клиентов. Содержание полиса при этом остается примерно одинаковым.

Клиентом страховой компании может стать любое предприятие независимо от сферы деятельности. Заранее невозможно знать, что в том или ином новом продукте какой-либо элемент может быть похож на аналогичную разработку, уже защищенную патентом. Также трудно предвидеть, что дизайн Интернет-сайта будет иметь сходство с уже существующим сайтом какой-либо неизвестной его разработчикам компании. Все это может быть основанием для предъявления претензии, и замечательно работает в США, где судебная система настолько хорошо отлажена, что даже незначительное нарушение чьих бы то ни было прав становится основанием предъявления иска, на урегулирование которого могут потребоваться миллионы долларов. Известный случай, когда в 2000 г. британская компания British Telecom (BT) обнаружила действующий патент на гиперссылки, ярко демонстрирует непредсказуемость законодательства о защите интеллектуальной собственности. В соответствии с данным патентом, выданным в США еще в 1989 г. и благополучно с тех пор всеми забытым, все Интернет-провайдеры, а также простые пользователи сети должны были бы в течение всего срока действия патента выплачивать BT вознаграждение за каждый доступ к любой ссылке на Интернет-страницу. Естественно, никто не подозревал, что, путешествуя по Всемирной паутине, он становится должен определенную денежную сумму известной британской компании. Здравый смысл восторжествовал, и ВТ не предъявляла претензий к частным пользователям, но крупные Интернет-провайдеры пострадали.

В России, в отсутствии громких судебных прецессов и при имеющемся уровне развития правовой системы, убедить клиента в необходимости для него этого вида страхования крайне сложно.

Страхование рисков собственников патентов и других объектов интеллектуальной собственности - это отдельная, довольно обширная тема. Такое страхование дает возможность правообладателю компенсировать за счет страховой компании юридические расходы, направленные на судебную защиту нарушенного права в случае обнаружения фактов незаконного использования третьими лицами принадлежащих ему объектов интеллектуальной собственности. Другими словами, изобретателю, зарегистрировавшему патент, автору книги, владельцу Интернет-сайта возмещаются расходы по найму адвокатов для судебного преследования пиратов.

Возмещение, выплачиваемое страховой компанией, ограничено лишь компенсацией стоимости услуг адвокатов и судебных пошлин. Предполагается, что другие убытки, нанесенные правообладателю, должны быть компенсированы нарушителями по решению суда.

Казалось бы, такое страхование должно быть востребовано в России. Однако для того, чтобы оно начало работать, необходимо наличие юридической практики, позволяющей быстро и эффективно разрешать споры в сфере защиты интеллектуальной собственности, и страховых компаний, готовых страховать подобные риски. Ни одного из этих условий в России пока нет. Точка зрения страхового сообщества здесь понятна: в условиях, когда нарушение авторских прав, особенно в сфере технологий, превратилось в явление общепринятое, страхование этих рисков для страховой компании равноценно самоубийству. Создание в нашей стране хотя бы минимально работающей системы защиты авторских прав может стать мощным стимулом для развития такого страхования.

Очевидно, что у страхования информационных рисков в России большое будущее. Без соответствующих механизмов страхования невозможно построить защищенную инфраструктуру связи и информационных технологий. Страхование как часть общей деловой практики будет развиваться вместе с теми процессами совершенствования культуры корпоративного управления и условий ведения бизнеса, которые проходят сейчас в России.

Неиспользованный потенциал здесь огромен. Речь идет не только о новых, передовых страховых технологиях, но и о классическом страховании, значение которого часто недооценивается. А ведь пожары и аварии наносят не меньший ущерб отрасли, чем распространение компьютерных вирусов. Хочется надеяться, что придет время, когда каждое отечественное предприятие будет иметь собственную политику безопасности и планы восстановления бизнеса, предусматривающие, что даже традиционные риски необходимо страховать, не дожидаясь очередного пожара на каком-либо объекте связи общероссийского значения.