«ОСАГО для IT»: почему страхование киберрисков еще не стало обязательным

Статьи СберСтрахование

Кибератак становится все больше и больше. Однако страхование до сих пор не стало обязательным. Одна из причин — фирмы часто скрывают данные об утечках. Что мешает ввести «ОСАГО для IT», рассказывает Владимир Новиков, директор по рискам «СберСтрахования»

Фото: Rolf Vennenbernd / Global Look Press

По данным Positive Technologies, в 2022 году количество обнаруженных киберинцидентов выросло на 50% по отношению к 2021 году, а за девять месяцев 2023 года — еще на 76%. Речь идет об уничтожении онлайн-инфраструктуры компаний, установке вредоносного ПО, удалении значимой информации и других действиях. Отдельная проблема — утечки персональных данных пользователей. По данным Роскомнадзора, за 2023 год в сеть попали более 300 млн записей о россиянах.

Наказание за утечки пока очень мягкое

Сейчас утечки пользовательских данных грозят бизнесу в основном репутационными потерями. Максимальный размер штрафа составляет до 100 тыс. руб., а практика получения компенсации через суд развита слабо. Тем не менее законодательство в этой сфере постепенно ужесточается. Так, в январе прошло первое чтение поправки к КоАП РФ: по ней за незаконную передачу данных нескольких тысяч человек бизнесу грозит штраф от 3 млн до 5 млн руб. Еще строже наказываются утечки данных спецкатегорий (к ним относится, например, информация о здоровье) — от 10 млн до 15 млн руб.

Страхование от утечки персональных данных начали обсуждать в Минцифры еще в 2022 году, инициативу поддержали в Совете Федерации. К лету 2023 года инструмент получил название ОКРУГ (сокращение от «обязательное киберстрахование рисков и угроз»). Что именно будет покрывать полис и в пределах каких сумм, пока обсуждается. В феврале 2024 года в Совете Федерации разработали законопроект о страховании ответственности операторов персональных данных. Закон должен обеспечить пострадавшим компенсацию вреда в случае утечки их персональных данных.