Мир Знаний

Страхование информационных рисков в кредитно-финансовой сфере деятельности (стр. 2 из 3)

В США и Западной Европе информационное страхование стало предлагаться в качестве особого приложения к полису комплексного страхования финансовых институтов от преступ-лений с участием персонала и третьих лиц - полису ВВВ. Западные страховщики часто не идут на отдельное страхование информационных рисков, так как привязка к ВВВ повышает ответст-венность страхователя, заставляет его искать виновных в "проколах" компьютерных систем, более ответственно подходить к системам защиты. Новые полисы предлагаются как дополни-тельные к основному, они предоставляют возмещение в случаях потерь от компьютерных виру-сов, взлома информационной защиты и сбоев в информационном обеспечении, требуют страхо-вых взносов, составляющих от 2 до 8% страховой суммы. В случае продажи такого полиса страховая компания часто требует, чтобы была проведена проверка системы информационной безопасности покупателя, это обходится от $4,5 до $50 тыс.

Полисы, дополнительные к генеральному банковскому полису страхования, предоставля-ют также страховое покрытие ущерба от несанкционированного списания денежных средств с банковского счета путем вторжения в компьютерные сети банка, а также мошенничества и дру-гих преступных действий с кредитными карточками. Некоторые полисы страхования информационных рисков исключают из страхового по-крытия возможные потери от любых действий террористов, но есть и такие, которые обещают компенсацию в случае ущерба от деятельности "информационных террористов". Признается, что доказать, проник ли вирус в компьютер случайно или в результате умышленных действий террористов, чрезвычайно сложно. По данным журнала "Бизнес Уик", за 2001 г. продажа "до-полнительных полисов", предоставляющих целевое страхование информационных рисков, уд-воилась. К началу 2002 г. западными страховщиками выдано около 5 тыс. полисов страхования информационных рисков. По оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд.
Приобретение полиса страхования от компьютерных преступлений не является обязатель-ным ни в США, ни в странах ЕС. Однако уже сейчас практически нет ни одного крупного евро-пейского или американского банка, не застрахованного от риска компьютерных преступлений. Продаваемые западными страховыми компаниями полисы страхования информационных рис-ков стоят недешево, обычно это страховые платежи в сотни тысяч долларов ежегодно. При этом возмещение ущерба не превышает несколько десятков миллионов долларов. "Страхование от огня обходится гораздо дешевле, чем страхование от хакеров", – признают западные эксперты.

Самой крупной компанией, действующей на мировом рынке информационного страхова-ния, сегодня является американская AIG действующая примерно в 130 странах мира, на нее приходится примерно 70% этого рынка; к началу 2002 г. компания продала около полутора ты-сяч полисов страхования информационных рисков. С 2000 г. компания AIG продает полисы "Net Advantage", по которым предоставляется страхование от компьютерных вирусов и угроз информационной безопасности. Так как ставки страховых взносов зависят от используемого программного обеспечения и средств его защиты, компания AIG влияет на формирование стан-дартов безопасности "софта". Возможность определять, какие именно средства защиты инфор-мации наиболее предпочтительны – одно из конкурентных преимуществ, приобретаемых ком-панией – лидером страхования информационных рисков.

Так, компания AIG предлагает покупателям полисов "Net Advantage" 10-процентную скидку при использовании определенных средств защиты информации. Один из руководителей компании AIG говорит: "Мы изучаем существующие средства защиты информации и иное про-граммное обеспечение и рекомендуем страхователям те, которые уменьшают информационные риски".
Кроме AIG, на мировом рынке страхования информационных рисков выделяются еще две компании Chubb (CB) и Zurich North America (ZFSVG), каждая из которых разработала и пред-лагает страхователям свои собственные полисы.
Существуют также полисы Ллойда, по которым выделяются следующие объекты покрытия:

- несанкционированный вход в компьютерные системы банка;

- компьютерные системы банка от компьютерных вирусов;

- электронные данные и их носители;

- операции с ценными бумагами на электронных носителях;

- юридическая ответственность от получения по компьютерным сетям мошеннического по-ручения.

Минимальный лимит ответственности по этому полису составляет $5 млн., соответствен-но, страховые взносы начинаются с сотни тысяч долларов. Максимальный лимит ответственно-сти для очень крупных банков – $100 млн.
В отличие от английского полиса Ллойда, его американская версия состоит фактически из одного параграфа, в котором содержится информация о том, что по данному полису покрыва-ются убытки страхователя, понесенные им в результате получения несанкционированного дос-тупа третьих лиц к его компьютерной системе с целью мошенничества.

Одной из особенностей страхования информационных рисков является "плотная" работа страховщика, страхователя, разработчика АБС, а также экспертов, определяющих величину по-терь, премий, стоимости страхуемой информации и сюрвейерских компаний, оценивающих со-стояние банковских систем безопасности. "

AIG" установила партнерские отношения с компанией "PIP Tech", предоставляющей средства защиты информации. Фирмам, страхующим информационные риски в компании "Zurich Financial Services Group", рекомендуется работать с ее партнером, компанией "Tru Secure", занимающейся информационной безопасностью. Lloyd's устанавливает гораздо более низкие ставки платежей для страхователей, приобретающих средства информационной защиты у фирмы "Counterpane's Schneier".

Страхование ответственности разработчиков АБС

Западные страховые компании предлагают также страхование ответственности разработ-чиков программного обеспечения, в том числе - разработчиков автоматизированных банков-ских систем. Покрытию подлежит ответственность разработчиков за потенциальный матери-альный или финансовый ущерб, который может быть нанесен в процессе эксплуатации клиен-тами их продукции. В соответствии с условиями западных страховщиков, страхование ответст-венности разработчиков программного обеспечения является одним из видов покрытий, пре-доставляемых в рамках страхования профессиональной ответственности (страхование ответст-венности за ошибки и упущения). Покрытию подлежат убытки страхователя, которые он несет в результате предъявления к нему претензий в результата ошибок, упущений или небрежных действий страхователя (в том числе, ошибок при программировании, при установке и обслужи-вании программного обеспечения) в процессе осуществления своей профессиональной дея-тельности. По полису страхования устанавливается общий лимит ответственности (например, $1 млн. в год), также могут быть установлены подлимиты по отдельным случаям (например, один убыток не может превышать $500 тыс.)
Перенести западный опыт комплексного страхования информационных рисков банков, на наш взгляд, в существующем виде пока невозможно в связи с полной неготовностью к ком-плексному страхованию самих страховщиков, исключительной сложностью определения стра-ховых сумм, отсутствием накопленной репрезентативной информации по страховым случаям (количественным параметрам информационных рисков), отсутствием авторитетных экспертов и сюрвейерских компаний.
Вместе с тем, следует отметить, что в России создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом направлении уже сделаны. Но пока страхование информационных рисков – практически сво-бодная ниша на российском рынке.

Потенциальный объем страхового поля информационных рисков оценивается в несколько миллиардов долларов, и существуют все предпосылки для занятия значительной части этого поля российскими страховщиками. Более того, специфика страхования информационных рис-ков в банковской деятельности такова, что и западные страховые компании не смогут работать без российских партнеров – разработчиков АБС, экспертов в области информационной безо-пасности, экспертов-оценщиков стоимости информационных ресурсов и ущерба и других структур, включая, разумеется, АРБ. Если западные страховщики, исходя из своего опыта, ско-рее всего, будут предлагать банкам комплексные страховые полисы, аналогичные полису ВВВ и достаточно дорогие, то российские страховщики смогут предложить гораздо более дешевые полисы по страхованию отдельных информационных рисков.

Формируя новый рынок страховых услуг, мы предлагаем пойти по пути сегментации страхового поля, поэтапного предложения услуг по страхованию различных видов информаци-онных рисков, причем основным критерием на первых порах должна стать простота внедрения отдельных видов страхования. Конкретные предложения по страхованию отдельных видов ин-формационных рисков могут быть подготовлены только с участием разработчиков АБС. По-видимому, у разработчиков АБС есть определенная информация о вероятности тех или иных технических сбоев и отказов, частоте непредумышленных ошибок персонала банков в обслу-живающей сети АБС, иных рисках технических неисправностей. Банку – покупателю (пользо-вателю) АБС может быть предложен – по его выбору – пакет страховых полисов того или иного вида, охватывающий больший или меньший состав информационных рисков.