«ОСАГО для IT»: почему страхование киберрисков еще не стало обязательным
По данным Positive Technologies, в 2022 году количество обнаруженных киберинцидентов выросло на 50% по отношению к 2021 году, а за девять месяцев 2023 года — еще на 76%. Речь идет об уничтожении онлайн-инфраструктуры компаний, установке вредоносного ПО, удалении значимой информации и других действиях. Отдельная проблема — утечки персональных данных пользователей. По данным Роскомнадзора, за 2023 год в сеть попали более 300 млн записей о россиянах.
Наказание за утечки пока очень мягкое
Сейчас утечки пользовательских данных грозят бизнесу в основном репутационными потерями. Максимальный размер штрафа составляет до 100 тыс. руб., а практика получения компенсации через суд развита слабо. Тем не менее законодательство в этой сфере постепенно ужесточается. Так, в январе прошло первое чтение поправки к КоАП РФ: по ней за незаконную передачу данных нескольких тысяч человек бизнесу грозит штраф от 3 млн до 5 млн руб. Еще строже наказываются утечки данных спецкатегорий (к ним относится, например, информация о здоровье) — от 10 млн до 15 млн руб.
Страхование от утечки персональных данных начали обсуждать в Минцифры еще в 2022 году, инициативу поддержали в Совете Федерации. К лету 2023 года инструмент получил название ОКРУГ (сокращение от «обязательное киберстрахование рисков и угроз»). Что именно будет покрывать полис и в пределах каких сумм, пока обсуждается. В феврале 2024 года в Совете Федерации разработали законопроект о страховании ответственности операторов персональных данных. Закон должен обеспечить пострадавшим компенсацию вреда в случае утечки их персональных данных.