Как ответственные ведомства придумывают всё новые поборы и создают очередные кормушки, прикрываясь благими намерениями о защите персональных данных

Киберкормушка для киберстраховщиков

Можно сколько угодно долго спорить о том, есть ли какая-то реальная польза от цифровизации экономики и в чём именно она заключается, но тот факт, что цифровые решения стали очень даже хорошим источником дохода для огромного количества компаний и организаций – факт несомненный. На построении киберпанка зарабатывают все – софтверные компании, онлайн-школы, общественные организации, банки, многочисленные конторы, которые ведут не менее многочисленные реестры.

Вот и страховое сообщество решило, что грех не поучаствовать в этом празднике жизни. И на днях Минцифры России, с очевидной подачи крупного страхового бизнеса, выкатило инициативу по страхованию рисков утечки персональных данных! Действительно, зачем соблюдать дисциплину в работе с информацией, вести кропотливые расследования и бороться с чёрным рынком, где продают базы данных. Гораздо проще обложить операторов данных ещё одним побором, который, разумеется, в дальнейшем ляжет на плечи конечных пользователей.

Для нового механизма уже придумали и красивое название – «киберстрахование». Сейчас страховщики уже осваивают перспективный рынок, правда, объёмы пока маловаты. В России услуги «киберстрахования», как называют их сами компании, предоставляют «АльфаСтрахование», «Согаз» и «СберСтрахование». По данным компании «Союз Страхование», спрос на страховое покрытие киберрисков со стороны российских компаний за последние два года вырос более, чем на 20%, а в течение следующих трёх-пяти лет сегмент может вырасти до 8-10-ти миллиардов рубликов. Понятно, что с учётом российской бизнес-модели для страхового рынка приоритетным считается страхование не добровольное, а принудительное – и здесь-то потребуется участие министерских чиновников.

Впрочем, даже те пока не могут толком объяснить, как будет работать предлагаемый механизм. Нет, то что все компании, которые хранят данные пользователей, обложат данью в пользу страховщиков – это понятно. Очевидны и основные бенефициары всей инициативы. Вопрос в другом – каким образом будут доказываться и оплачиваться страховые случаи?

Эксперты Минцифры пока отделываются маловразумительными комментариями о том, что мол, будут рассматриваться механизмы возмещения вреда субъектам персональных данных вследствие утечек, к которым «относится страхование операторов данных от указанных рисков». Непонятно, каким образом субъект, например, специалист НРС, паспортные данные которого внезапно оказались в общем доступе, будет доказывать, что его данные были слиты именно одной, а не другой организацией? Каким образом будет подсчитываться нанесённый ему ущерб – по каким-то общим правилам, или по факту, когда не него уже оформят два-три кредита и пять-шесть подставных фирм?

На эти вопросы кибер-министерство ответа не даёт. Зато бодро рассуждает на тему внесения новых поправок в КоАП, согласно которым компания, допустившая инцидент, может быть оштрафована на 1% от годового оборота. Размер штрафа вырастет до 3%, если компания попыталась скрыть проблему. Мысль, вроде бы, благая – наказать компанию рублём за кражу и слив информации. Хотя по факту очевидно, что после этого те окончательно перестанут признаваться в утечках.

Скептики говорят, что Минцифры некритично протаскивает на российскую почву американские стандарты киберстрахования, где оно уже давно развивается бешеными темпами. Сталкиваясь, впрочем, с такой же критикой и такими же проблемами. При этом о российской положительной практике, которая, вроде бы, уже должна быть, пока ничего не известно. Такие услуги пока нереализуемы из-за непредсказуемости угроз, в том числе поскольку ландшафт угроз в моменте крайне нестабилен.

Неясен и правовой потенциал киберстрахования. Так, законом запрещены выплаты вымогателям, а это один из самых распространённых методов кибермошенников на данный момент. Так что страховая компания не будет покрывать инцидент, если клиент перевёл средства хакерам.

Сложно даже определить понятие «страховой случай», так как киберриски находятся на стыке с другими операционными рисками и ранее не входили в сам страховой пакет. Сложно раскрыть, сложно доказать, поэтому страховщики, с высокой вероятностью, ничего выплачивать пострадавшим так и не будут. Что, разумеется, делает всю схему для них ещё более привлекательной. А также, добавим, и для лоббирующих новые нормы чиновников.

Между тем, о путях реально, а не имитационной борьбы с утечкой данных говорилось уже неоднократно. Они просты и общеизвестны. Это, прежде всего, ограничения на выдачу онлайн-кредитов без личного участия клиента или, хотя бы, возможность для человека запретить такого рода кредиты. Жёсткий контроль над компаниями, предоставляющим услуги IP-телефонии и сотовыми операторами. Сокращение бездумного перевода «в цифру» всего и вся.

Словом, разумное ограничение тотальной цифровизации, чтобы, даже получив доступ к персональным данным, злоумышленники не имели возможности существенно навредить человеку. Такие предложения выдвигаются регулярно, однако встречают бешеное сопротивление, прежде всего, со стороны банковского сообщества и не доходят до законодательного уровня. Вместо этого ответственные ведомства придумывают всё новые поборы и создают очередные кормушки.