Власти могут заставить компании страховать риски утечки персональных данных
Это может затронуть почти все российские компанииФинансовая гарантия или страховка могут стать обязательными для компаний, обрабатывающих персональные данные. Это нужно на случай их утечки, говорится в плане мероприятий программы «Цифровая экономика» по направлению «Информационная безопасность».
К июлю ведомства должны решить, имеет ли смысл законодательно обязывать операторов персональных данных, которыми являются практически все компании, иметь страховку или финансовую гарантию (собственные средства либо банковскую гарантию). Вопрос должны проработать Минфин, Минкомсвязи и Роскомнадзор.
Это будет касаться компаний, информационные системы персональных данных которых входят в класс «высококритичных», следует из документа. Однако требование классификации таких систем было отменено в 2011 г., говорит консультант по безопасности Cisco Алексей Лукацкий. Такого термина не было и раньше, замечает он, поэтому сейчас нельзя однозначно сказать, каким компаниям нужно будет иметь гарантию или страховку.
Какие организации затронет новое регулирование, будет определяться при подготовке законопроекта, говорит руководитель рабочей группы направления «Информационная безопасность» и президент InfoWatch Наталья Касперская. Профильные ведомства изучат детали, обещает представитель Сбербанка (является центром компетенций направления «Информационная безопасность»).
Фактически требование страховать риски может коснуться всех – от онлайн-магазинов до банков, говорит заместитель гендиректора Mains Insurance Brokers & Consultants Павел Озеров.
Если бы норма действовала сегодня, то страховым случаем стала бы, например, кража средств с банковской карты в результате утечки данных, поясняет Озеров. Претензию со стороны лица, чьи персональные данные были утрачены, тоже можно будет трактовать как страховой случай, поясняет вице-президент Всероссийского союза страховщиков Светлана Гусар.
213 утечек
по данным InfoWatch, произошло в 2016 г. в России. В 2015 г. было 118 таких случаев. Всего в 2016 г. были скомпрометированы 128 млн записей данных, рассказывает аналитик InfoWatch Сергей Хайрук. Чаще всего в России утекают персональные данные и платежная информация, а в числе лидеров по утечкам – госорганы, высокотехнологичные компании, образовательные учреждения и банки, перечисляет он
ЦБ постоянно следит за финансовой устойчивостью банков, поэтому дополнительные требования для них избыточны, считает зампред правления «Ренессанс кредита» Сергей Королев. Если этот вопрос и рассматривать, то скорее в отношении операторов персональных данных, которые не являются финансовыми институтами, говорит он. Но даже это слишком, оговаривается Королев: требования по охране персональных данных сейчас и так достаточно жесткие. А все дополнительные расходы лягут на потребителя, предупреждает он.
Закон гарантирует безопасность персональных данных (размещение серверов в России, требования к оборудованию и т. д.), говорит сотрудник крупного непродовольственного ритейлера. Обязательную страховку игроки будут рассматривать как финансовое бремя бизнеса в интересах страховых компаний, считает он. Кроме того, непонятно, как оценивать ущерб от утечек и определять виновного, ведь данными потребителя располагает масса компаний, говорит собеседник «Ведомостей».
Перед тем как заставлять операторов персональных данных страховать ответственность на случай возможных утечек или претензий, нужно изучить, насколько массовая это проблема, действительно ли люди сталкиваются с тем, что их персональные данные используются ненадлежащим образом и им отказывают в компенсации ущерба, отмечает представитель Ассоциации торговых компаний и производителей электробытовой и компьютерной техники Антон Гуськов. О таких массовых случаях ему не известно.
У подавляющего большинства компаний, имеющих персональные данные хоть в каком-либо виде, страховок сейчас нет, а институт финансовых гарантий вовсе не развит, говорит Озеров.
Но и массового страхового полиса, который защищал бы от рисков утечек данных, сейчас нет – страховщики не предлагают клиентам такой продукт, поскольку нет спроса, указывает замдиректора департамента страхования финансовых линий СК «Альянс» Вадим Михневич. У компании такой полис пока никто купить не пытался, замечает он. Готовность страховщиков предложить такой вид страхования минимальна: это потенциально убыточный сегмент, есть риски мошенничества, говорит председатель Российского антитеррористического страхового пула Александр Гульченко. «И если клиент реально попытается застраховаться, то он столкнется с низкими лимитами, с высокими ценами и осторожностью страховой компании», – считает он. В США и Европе такой вид страхования практикуется и стоимость полиса для операторов персональных данных там дифференцирована, рассказывает Михневич. Более того, такие страховки покрывают даже штрафы, которые могут предъявить местные регуляторы, указывает он.
Инструмент гарантий интересный, он приносит банкам стабильный комиссионный доход, говорит директор департамента по работе с корпоративными клиентами Бинбанка Андрей Кузнецов. С запуском подобного продукта проблем быть не должно, в то же время в части гарантий по персональным данным пока недостаточно информации для детального изучения вопроса, указывает он.
Страховка [или гарантия] – это механизм компенсации, а не защиты, указывает Гуськов: вероятно, в случае введения страхования операторов целесообразно ослабить требования к защите, так как все вместе это чрезмерная нагрузка, в том числе и финансовая.
Гарантийный механизм только для возмещения одного вида ущерба, а именно утечки персональных данных, выглядит необоснованным, считает Королев.
Минфин уже начал работать над этой инициативой, сообщил его представитель, а представитель Роскомнадзора говорит, что ведомство готово участвовать в ее проработке, ответственный исполнитель – Минкомсвязи. Идея принадлежит центру компетенций, «а именно Сбербанку и компании InfoWatch», сказал представитель Минкомсвязи, министерство предложение концептуально поддержало и ждет от бизнеса информацию по деталям. План – консолидированная точка зрения экспертного сообщества России, а не позиция Сбербанка, поэтому конфликта интересов он не видит («дочка» Сбербанка предлагает услуги страхования киберрисков, а другая его компания – Bi.Zone – продает в том числе услуги IT-аудита). Благодаря программе можно будет выработать стандарты киберстрахования, применимые именно к российской действительности, сформировать инфраструктуру, состоящую не только из страховых компаний, но и организаций, специализирующихся на IT-аудите, расследованиях и т. д., заключает директор по рискам «Сбербанк страхования» Владимир Новиков.