Как защититься от информационных рисков

версия для печати

Алексей Лукацкий

Что делать, если вас атаковали хакеры или вашу сеть поразила эпидемия нового опасного вируса, и вашим ресурсам нанесен серьезный материальный урон? Кто возместит вам потери и на каком основании? Как в будущем защититься от риска стать жертвой Internet-угроз? На все эти вопросы ответит страхование информационных рисков.

Что такое страхование информационных рисков?

В последнее время много говорят о страховании информационных рисков, но до конца мало кто понимает, что это за услуга и с чем ее едят. Попробуем разобраться с ней, касаясь при этом моментов, которые обычно остаются за пределами рекламных материалов страховых компаний.

До недавнего времени компании, тесно связанные с информационными технологиями если и пользовались услугами страховых компаний, то только с целью страхования своего имущества от различного вида стихийных бедствий - пожаров, наводнений, воздействий воды при тушении пожара (например, конденсация пара и выведение из строя) и т.д. Кроме того, популярностью пользуется и страхование оборудование от скачков напряжения и других ситуаций, приводящих к нарушению функционирования и даже уничтожению сетевого и иного оборудования. Из последних нашумевших случаев такого рода угроз можно назвать пожары в компании "Инфосистемы Джет" (http://www.jet.msk.su/) и в здании телефонной станции на улице Щепкина, 51, принадлежащей Замоскворецкому узлу связи ОАО "МГТС" (http://www.mgts.ru/). В последнем случае из строя вышли 4 АТС и около 40000 абонентов оказались без связи, а также пострадали компании "AMT", "Телмос", "Комстар" и "МТС".

Однако угрозы компаниям не ограничиваются только стихийными бедствиями. Как известно, абсолютной защиты не существует, и создать систему со 100%-ой гарантией от различных угроз невозможно. А число этих угроз растет с космической скоростью. Если не со второй, то с первой уж точно. Различные статистические отчеты, с завидной регулярностью появляющиеся на свет, предрекают постоянный рост вирусов, червей, троянцев и DoS-атак, которые угрожают абсолютно любой компании, имеющей выход в Интернет. Казалось бы в здании нет пожара и сервера работают нормально, но данные на них уничтожены вследствие вирусной эпидемии. Что делать? Страхование имущества здесь не поможет, т.к. удар нанесен по информационным активам компании. Следствием такой атаки может служить простой в деятельности и неспособность предоставления пострадавшей компанией услуг своим клиентам. А это не только недополученная прибыль, отток клиентов и расходы по восстановлению деловой репутации, но и возможные иски со стороны клиентов, акционеров и других лиц. Одним из элементов защиты от такого рода угроз является страхование информационных рисков, которому начинает уделяться внимание в настоящий момент во всем мире и в России.

В отличие от страхование имущества, страхование информационных рисков распространяется на:

• программное обеспечение, в т.ч. биллинговые системы, Web-сервера, ERP-системы и средства защиты;
• электронные данные, находящиеся в базах данных, на файловых серверах и других носителях (CD-ROM, DVD, стриммерные ленты и т.д.);
• финансовые активы в электронной форме, в т.ч. в системах клиент-банк.

Если объект страхования не представляет никакой тайны, то события, приход которых знаменует наступление собой выплаты со стороны страховой компании, до поры до времени остаются темной лошадкой и пора перейти к понятию "страхового случая". Его стараются предотвратить все - и страховая компания, не желающая расплачиваться за чужие ошибки, и страхователь, бизнес которого все равно страдает, несмотря на возмещение понесенных убытков. Не надо забывать, что любые поползновения на активы компании несут с собой и неконтролируемые убытки, такие как, потеря деловой репутации, падение стоимости акций компании, сокращение заказов и отток клиентов, уголовное преследование и персональная ответственность руководства компании.

Что такое страховой случай?

Названные выше убытки являются страховыми случаями, к которым можно отнести уничтожение или повреждение застрахованных активов, описанных выше, вследствие наступления следующих событий:

• Действие вирусов, червей и троянских коней. Это самый распространенный вид информационных угроз, с которым сталкиваются по разным данным от 85 до 93% всех компаний. Эти же угрозы приносят и максимальные убытки для компаний.
• Компьютерные атаки со стороны внешних злоумышленников (хакеров). Надо заметить, что некоторые страховые компании (например, ОАО "Ингосстрах") относят к этому событию не только сами атаки, но и угрозы их совершения.
• Хищение денежных средств в электронной форме внешними злоумышленниками. Такое хищение может происходить как с помощью сфальсифицированного финансового поручения посланного электронным способом страхователю или от имени страхователя, так и путем модификации программного обеспечения (например, атака "салями") и даже путем непосредственного ввода команд, например, в системе "Интернет-банк".
• Несанкционированные действия со стороны собственных сотрудников компании.
• Сбои систем по причине ошибок при их проектировании, разработке, создании, установке, настройке и эксплуатации. В данное событие очень четко вписываются различные ошибки персонала (в т.ч. и непреднамеренные), которые сводят на нет все мероприятия по защите корпоративных ресурсов.

Страховым случаем также является временное прекращение деятельности вследствие любого из вышеперечисленных страховых случаев.

Как проводится страхование информационных рисков?

Страхование реализуется в виде последовательного выполнения 5 обязательных шагов:

1. переговоры, определяющие условия страхования
2. разработка и согласование предложений по страхованию
3. проведение экспертизы страхователя
4. выполнение рекомендаций, полученных в результате экспертизы
5. подписание договора о страховании.

Прежде чем страховая компания примет на себя риски страхователя, она должна убедиться, что сеть страхуемой компании не является дырявым решетом, и первая же атака не приведет к наступлению страхового случая. Другими словами, непременным условием страхования информационных рисков является проведение специальной экспертизы по анализу рисков страхового объекта. Эта экспертиза, по-русски звучащая также как и по-английски - "сюрвей" (от английского "survey" - "осмотр"), проводится экспертами в области информационной безопасности, которые и выносят свой вердикт об уровне защищенности страхуемой компании.

Особенность этой экспертизы в том, что совершается она независимыми специалистами, неработающими ни в страхуемой, ни в страховой компании. Считается, что это позволит страховой компании получить более точную картину о страхователе, а последнему - оценить свою систему защиты с точки зрения независимого незаинтересованного эксперта. Надо помнить, что привлечение российских экспертов обходится в несколько раз дешевле их западных собратьев, предпочитающих почасовую оплату труда. Половина стоимости такого сюрвея компенсируется страховой компании при заключении соответствующего договора страхования.

Однако предстраховая экспертиза не является гарантией заключения договора. Дело в том, что по результатам проведенного анализа может потребоваться реализация дополнительных технических и организационных защитных мер, снижающих риски нанесения ущерба корпоративным ресурсам. Не все компании могут пойти на дополнительные затраты, а без них договор страхования заключаться не будет, т.к. вероятность наступления страхового случая становится слишком высокой. Как говорит начальник управления информатизации "Промышленно-страховой компании" И.В. Парафейников: "Мы готовы страховать такие риски, но в этом случае страхователю предъявляются требования провести ряд организационно-технических мероприятий для сокращения нашего риска, а это, естественно, резко повышает цену вопроса, поэтому многие компании считают, что страховать информационные риски себе дороже".

Как только наступает страховой случай, страховая компания выезжает на место и проводит оценку нанесенного ущерба, после чего наступает момент выплаты страхового возмещения. Однако выплаты производятся не единовременно, а в течение срока действия страхового полиса (как правило, 1 год).

Сколько это стоит?

Какова цена вопроса? Это, пожалуй, самый трудный вопрос, на который нет точного ответа. Стоимость этой услуги рассчитывается индивидуально для каждого клиента, но обычно не превышает 5% от установленного в полисе страхования лимита ответственности страховой компании. В качестве параметров, влияющих на ставку страхования, используются:

• Стоимость застрахованных ресурсов. Чем она выше, тем ниже ставка страхования. Например, компания Lloyd определяет страховой взнос в 20000 долларов (т.е. 5%) при стоимости информации в 1 миллион долларов и 75000 долларов (т.е. 0,75%) при возрастании стоимости информации до 10 миллионов долларов.
• Используемые средства защиты. Чем известнее система защиты, тем ниже ставка страхования.
• Статистика атак для аналогичных компаний отрасли.

Однако данная ставка страхования может быть снижена до 3% и даже 1,5%. Для этого достаточно реализовать рекомендованные в результате экспертизы защитные меры.

Самое сложное - это определить лимит ответственности, т.е. ту сумму, которую будет обязана выплатить страховая компания в результате наступления страхового случая. В свою очередь, эта сумма делится на 2 составляющих:

• стоимость информационных ресурсов
• размер убытков от прекращения деятельности в результате наступления страхового случая.

Необходимо добавить, что многие страховые компании устанавливают нижнюю границу страховой суммы, ниже которой она опускаться не может. Например, у Ингосстраха эта сумма равна 50000 долларов США, у западных компаний эта планка значительно выше, что связано с увеличением накладных расходов на проведение различных страховых мероприятий. Верхняя граница возмещаемого ущерба никем не ограничивается, хотя существует негласная граница (например, на Западе она равна 100 миллионам долларов), превышение которой требует более тесного контакта со страховой компанией и четкой проработки всех юридических и технических моментов. В среднем же, лимит ответственности на западном рынке страхования информационных рисков составляет от ста тысяч до 5 миллионов долларов. Для России эта цифра пока не определена ввиду отсутствия необходимой статистики.

Ситуация в мире

Широкое распространение данный вид страхования получил в 90-х годах прошлого века в связи с повсеместным использованием средств вычислительной техники и сети Интернет во всех областях деятельности человека. В настоящий момент услуги по страхованию информационных рисков предлагают многие страховые компании, в частности:

• Lloyd - услуга Internet Asset and Income Protection Coverage от Lloyd (http://www.counterpane.com/pr-lloydswp.html).
• AIG - услуга netAdvantage Suite (http://www.aignetadvantage.com/).
• Marsh - услуга Net Secure (http://risksolutions.iss.net/).

При этом сложилась практика, согласно которой страховые компании работают в тесном контакте с разработчиками средств защиты и компаниями, специализирующимися в области информационной безопасности. После проведения сюрвея эксперты рекомендуют страхователю применять средства защиты (в России это могут быть сертифицированные Гостехкомиссией или иными регулирующими органами решения) разработчика, имеющего соответствующие отношения со страховой компанией. В случае применения таких средств ставка страхования снижается по сравнению с типовой, например, с 2,5% до 1,5%. Разумеется, страховая компания рекомендует не любые средства защиты, а только хорошо известные и зарекомендовавшие. Например, такой альянс существует между компанией Internet Security Systems (http://www.iss.net/) и Marsh (http://www.marsh.com/), между Counterpane Internet Security (http://www.counterpane.com/) и Lloyd (http://www.lloyds.com/) и т.п.

Как правило, клиентами страховых компаний становятся крупные и не очень фирмы, пожелавшие защитить себя от возможных потерь в результате наступления страхового случая. Частные лица не входят в область интересов страховых компаний и это закономерно - прибыли мало, а затрат на ведение сделки предостаточно.

Однако не все страховые компании думают аналогичным образом. Относительно недавно две японских компании Nippon Intelligence и AIU (филиал AIG) предложили частным пользователям персональных компьютеров услугу по страхованию их информации от вирусной активности и проделок хакеров. Услуга, которая распространяется через Интернет-провайдеров, будет стоить клиенту 5-6 долларов в месяц (600-700 йен). К концу 2004 года компании планируют довести число своих клиентов до 400 тысяч. Однако, на сегодняшний день, это, пожалуй, исключение из правил - страховые компании неохотно работают с частными лицами. Только в случае большого числа потенциальных клиентов страховая компания не только окупит расходы, но и получит прибыль по формированию рынка страховых услуг для частных лиц. В России же число обладателей компьютеров, да еще и платежеспособных, невелико и не стоит ожидать прихода к нам услуг страхования информационных рисков для частных лиц ранее, чем через несколько лет.

А что в России?

В России информационными рисками заинтересовались в конце прошлого века. В частности при содействии Минсвязи России в середине 90-х годов был проведен ряд работ по изучению западного опыта и разработке правовой и методической базы для страхования этого вида рисков в России. В работе принимали участие специалисты разных организаций, в т.ч. Ассоциации российских банков (http://www.arb.ru/), Межбанковского финансового дома (http://www.mfd.ru/), ВНИИПВТИ и т.д. Однако, несмотря на почти десятилетний юбилей, для России - это по-прежнему новый вид бизнеса. Страховые компании, получившие соответствующие лицензии, можно пересчитать по пальцам одной руки. Одним из пионеров был Ингосстрах, который еще в 1999 году подписал с Минсвязи "Соглашение о сотрудничестве в области страхования информационных рисков". В настоящее время Ингосстрах разработал программу страхования информационных рисков и предлагает ее широкому кругу организаций, активно использующих информационные технологии в своей деятельности.

Аналогичные услуги предлагают компании "Согласие" (ранее известная, как "Интеррос-Согласие"), "Инфистрах" (http://infistrakh.by.ru/im.htm), "АФМ Страховые консультанты и брокеры" (http://www.afm.ru/our_serv_bank/comp/). Первая (http://www.interros-soglasie.ru/inserv/3-1/mid13.html) предлагает комплексное страхование банков (в его основе лежат обязательства по страховому покрытию банков, известные в мире как Bankers Blanket Bond, BBB), в т.ч. и страхование от электронных преступлений и порчи данных на электронных носителях. Вторая компания, являясь членом ассоциации "Сириус", заявляет о страховании ее членов. Лицензию на данный вид деятельности также планирует получить и РОСНО. Другие страховые компании пока не готовы предоставить данный вид услуг своим клиентам, ограничиваясь страхованием сетевого оборудования. Кстати, некоторые страховые компании заманивают к себе клиентов страхованием информационных рисков, понимая под ним именно страхование серверов, коммуникационного оборудования и т.п., т.е. страхование имущества.

Учитывая, что на сайте Ингосстраха (http://www.ingos.ru/) информации о предлагаемой им программе вы не найдете, я хотел бы упомянуть о некоторых разработанных ими страховых продуктах. Первый из них касается страхования удостоверяющих центров, которые активно создаются после принятия закона об электронной цифровой подписи. Но т.к. данные центры не имеют достаточных финансов, то их деятельность ставит под угрозу интересы, как самого удостоверяющего центра, так и владельцев сертификатов и организаций, их принимающих. Страховой полис Ингосстраха призван обеспечить финансовые гарантии этого развивающегося вида бизнеса.

Второй интересный страховой продукт связан со страхованием ответственности разработчиков средств защиты. Как заявил коммерческий директор НИП "Информзащита" (http://www.infosec.ru/) Виктор Попов на семинаре "Управление информационными рисками для профессиональных участников фондового рынка", проведенного 2 года назад НИП "Информзащита" и ОАО "Ингосстрах": "Мы (НИП "Информзащита" является разработчиком различных средств защиты - А.Л.) со своим уставным капиталом не можем идти ни в какое сравнение с нефтяной компанией, для которой мы поставляем средства защиты. Единственный выход из ситуации заключается в том, чтобы следовать по пути цивилизованных стран и страховать результаты работы". Поэтому данный вид страхования позволит защититься пользователям средств защиты от ущерба, возникшего по причине их обхода или наличия в них уязвимостей. В мае 2000 года были зафиксированы первые случаи такого страхования - им воспользовались компания ОКБ САПР (http://www.okbsapr.ru/), являющая разработчиком систем защиты семейства "Аккорд", и "Российские финансовые коммуникации". Компания "Лаборатория Касперского" (http://www.kaspersky.ru/) также не осталась в стороне и в сентябре прошлого года воспользовалась услугами компании "АФМ Страховые консультанты и брокеры", которая стала представлять интересы этой российской антивирусной компании. Кстати, "Лаборатория Касперского" работает и с "Ингосстрахом", предлагая клиентам совместный продукт по страхованию от вирусных атак.

В конце марта был запущен новый для России Internet-проект "Страховая биржа Онлайн" (http://www.inmar.ru/), на которой любой желающий может застраховать свои информационные риски (западный аналог такого ресурса расположен по адресу: http://www.safeonline.com/). Создателем проекта является брокерская компания "Страховой сервис", а свое участие в нем подтвердили "Ингосстрах", "Ресо-Гарантия", "Спасские ворота", "Альфастрахование", "Ренессанс-Страхование" и "Согласие".

Как регламентируется этот вид страхования в России?

Одной из первых попыток регламентации данного рынка послужил проект Указа Президента России "О порядке развертывания в Российской Федерации системы страхования информационных рисков", который был разработан еще в 1996 году Всероссийским научно-исследовательским институтом проблем вычислительной техники и информатизации (http://www.vniipvti.ru/). В 1997 данный проект был доработан и вместе с проектом Постановления Правительства "О мерах по развертыванию в Российской Федерации системы страхования информационных рисков" разослан в 33 заинтересованные организации федерального и регионального уровня. Однако до принятия и реальной апробации данного документа дело так и не дошло.

Следующая попытка была сделана в ноябре 1997 года, когда была проведена коллегия Минсвязи по данному вопросу, а уже в 1999-2001 годах между Минсвязи и страховыми компаниями "Ингосстрах" и "Инфистрах" было подписано соглашение о сотрудничестве. В 2000 году была принята "Доктрина информационной безопасности РФ", в которой также было уделено внимание созданию системы страхования информационных рисков. Существуют и другие нормативные акты, в которых упоминается данная система страхования, однако сама система в России пока так и не создана.

Различные организации, в частности, уже упомянутый ВНИИПВТИ, рабочая группа "Минимизация информационных рисков" при Ассоциации документальной электросвязи (http://www.rans.ru/) и т.п. сейчас ведут работы по разработке документов, регламентирующих эту страховую услугу. В частности разрабатываются проекты:

• Закона об обязательном и добровольном страховании информационных рисков
• Перечня информационных ресурсов и систем, подлежащих обязательному страхованию
• Концепции страхования информационных рисков в отрасли связи
• Отраслевого стандарта "Классификация информационных рисков" для Минсвязи
• Документов по аккредитации страховых и экспертных компаний
• Методики оценки ущерба и суммы страхового возмещения
• И т.д.

Плюсы страхования

Плюсов у страхования много, причем для всех участников этого процесса. Самый главный плюс получает страхователь, который сможет возместить свои потери в результате любых воздействий на информационные ресурсы. На первый взгляд непонятна выгода страховой компании, которая должна будет выплачивать всем своим клиентам немалые суммы в случае наступления страхового случая. Однако не надо считать страховые компании альтруистами, готовыми по первому зову расстаться со своими деньгами. Все гораздо сложнее. Страховой полис заключается только с той компанией, которая выполнит ряд мер по защите своих ресурсов, что существенно снижает вероятность наступления страхового случая. В идеальной ситуации события, которое влечет за собой негативные последствия, может не наступить вообще и те несколько тысяч долларов, которые составляют ставку страхования, кладутся страховой компанией себе в карман. Конечно, необходимо компенсировать затраты на оформление договоров и экспертизу, но стоимость последней не превышает 2-3 тысяч долларов, что и обуславливает нижнюю планку лимита ответственности в 50000 долларов.

Экспертной компании, проводящей сюрвей, страхование предоставляет новых клиентов. При этом, экспертная компания в выигрыше в любом случае, т.к. ее услуги оплачиваются независимо от заключения договора страхования. Также в плюсе и разработчик средств защиты, который работает в альянсе со страховой компанией. Страхование информационных рисков позволит последним двум категориям освободить рынок от фирм-однодневок и фирм, "осваивающих" деньги заказчика без реального решения его проблем. Таких фирм, особенно в сегодняшних условиях, "пруд пруди", т.к. сдерживающих факторов практически никаких (особенно после перехода к новому законодательству в области защиты информации). Такие фирмы, не имея специалистов в своем штате, но имеющих финансовые ресурсы или мощное лобби в тех или иных структурах, могут "впаривать" клиентам некачественные решения и услуги. Страховая компания, опасаясь некачественной экспертизы и поставки "дырявых" решений, предпочтет иметь дело только с зарекомендовавшими себя компаниями.

Заключение

Я надеюсь, что я смог вкратце рассказать о страховании информационных рисков, новой услуге, которую начинают предлагать некоторые отечественные компании и которая, при правильном подходе, может явиться дополнительной мерой защиты корпоративной сети от внешних хакеров и внутренних злоумышленников.

Статью "Как защититься от информационных рисков" Вы можете обсудить на форуме.