Николай Галушин, глава Национального Совета Информационной Безопасности (НСИС), представил ключевые принципы эффективного страхования киберрисков. Он подчеркнул, что на текущий момент страховой рынок не предлагает достаточного покрытия и лимитов для удовлетворения потребностей в этой области.

Комплексный Подход к Киберзащите

Добровольность и Возмещение Ущерба

Галушин считает, что страхование киберрисков должно носить добровольный характер. Оператор информационной системы должен иметь инструменты возмещения ущерба, связанного с требованиями третьих лиц (владельцев персональных данных). Договор страхования может быть одним из таких инструментов, но при условии достаточного уровня покрытия и страховой суммы, а также набора застрахованных рисков.

Доказательство Факта Утечки Данных

Базовым условием наступления ответственности информационной системы является доказательство самого факта утечки персональных данных. Это важно учитывать, поскольку значительный объем данных уже находится в открытом доступе, в том числе из-за того, что сами владельцы персональных данных свободно размещают информацию о себе в Интернете.

Причинно-Следственная Связь и Индивидуальный Ущерб

После подтверждения факта утечки персональных данных из конкретной системы, должна быть доказана причинно-следственная связь между этим фактом и понесенным ущербом (материальным, физическим, моральным) у конкретного владельца персональных данных, чьи данные утекли. При этом ущерб должен быть установлен только в отношении конкретного пострадавшего лица, а не по самому факту утечки данных.

Освобождение от Ответственности

Глава НСИС убежден, что должно действовать освобождение от ответственности в случае, если информационная система выполнила все требования регулирующих и надзорных органов, приняв все необходимые меры для охраны персональных данных и защиты информации.

Исключения в Страховом Покрытии

В случае действия страхового покрытия по договору страхования должно быть предусмотрено только одно исключение, при наступлении которого страховая выплата не будет производиться - доказанные умышленные действия оператора информационной системы.

Размер Страхового Покрытия

Страхование должно быть осуществлено на сумму максимально возможного реального ущерба, который может быть нанесен владельцам персональных данных. При отсутствии достаточной емкости на страховом рынке, покрытие должно быть ограничено предельной суммой емкости, при этом ущерб сверх этой суммы не возмещается оператором информационной системы.

Субсидиарная Ответственность Подрядчиков

Николай Галушин также убежден, что должна быть предусмотрена субсидиарная ответственность подрядчиков, которые осуществляли работы на инфраструктуре и программном обеспечении в области информационной безопасности. Их ответственность должна быть аналогична ответственности оператора информационной системы.

Синхронизация Условий Страхования

В условиях ограниченного рынка перестрахования, помимо емкости Российской Национальной Перестраховочной Компании (РНПК), может потребоваться внутренняя пуловая емкость российских страховщиков кибер-рисков. При этом очень важно, чтобы условия страхования были синхронизированы между страховыми компаниями.