Компьютер-Информ || Архив || Рубрики || Поиск || Подписка || Работа || О "КИ" || Карта
Лет 20 тому назад, сдавая экзамены в аспирантуру, я утверждала (под воздействием новых веяний), что информация ≈ это товар особого свойства. А экзаменатор, следуя советским учебникам, упирался: нет, не товар и не имущество. Однако за 20 лет сформировалось новое понятие ╚информационное общество╩ и информационные технологии стали заметно влиять на жизнь развитых стран мира. Теперь без споров понятно, что информация ≈ это тоже имущество. И если мы страхуем свою квартиру и материальные активы от каких-то противоправных действий, пожаров, разрушений, то естественно позаботиться и о своем нематериальном имуществе ≈ БД, документообороте, архивах. Разрушение может произойти при проникновении вирусов, произведении атак через Интернет или от использования плохих аппаратно-программных решений.
Тематика страхования техногенных рисков для информационных технологий только начинает обсуждаться в нашей стране. Мы обратились за консультациями в одну из ведущих городских страховых компаний, занимающихся страхованием техногенных рисков,≈ ╚Эко-Сфинкс╩, которая недавно совместно с петербургской компанией ╚Эврика╩ впервые приступила к разработке комплексной программы управления рисками и страхования рисков при функционировании корпоративных компьютерных сетей и систем управления БД. На наши вопросы любезно согласился ответить юрист компании ╚Эко-Сфинкс╩ Максим Кузнеченков.
(Гл. редактор ╚КИ╩ Ольга Андронова )
Какие техногенные риски страхует ╚Эко-Сфинкс╩ и в чем специфика такого страхования? Чем это отличается от страхования квартиры, автомобиля, дачи?
╚Эко-Сфинкс╩ пытается соответствовать опыту западных страховых компаний, которые традиционно подразделяют техногенные риски на так называемые инженерные риски, связанные с поломкой, разрушением, с фактическими последствиями для какого-то имущества, начиная от компьютера и кончая турбинными лопатками, и ответственность организаций, производящих и эксплуатирующих указанные сооружения и изделия. Необходимо понимать, что в России страхование сегодня во многом развивается только в тех сферах, в которых страхователю либо выгодно страховаться, либо он обязан это делать по закону. Рынок добровольного страхования техногенных рисков развивается довольно вяло, потому что зачастую отсутствует интерес в страховании.
Что вы имеете в виду под интересом в страховании?
Интерес в том, чтобы платить деньги за возможный риск. Причина в том, что имущество и основные фонды некоторых предприятий получены, в основном, в ходе приватизации и за них, как правило, не платили деньги. Потому и риски, связанные с их повреждением, часто недооцениваются нынешними владельцами. Как следствие, большинство страховых компаний России, страхующие техногенные риски, занимаются именно страхованием ответственности предприятий в той части, в которой предприятия обязаны это делать в соответствии с различными российскими законами.
╚Эко-Сфинкс╩ традиционно занимается страхованием 3-х категорий юридических лиц. Первая категория ≈ это юридические лица, которые занимаются эксплуатацией предприятий ≈ источников повышенной опасности. Это разнообразные котельные, козловые краны и т. п. То есть, это такого рода сооружения, которые в соответствии с законом представляют собой источники повышенной опасности, и застраховать которые предприятие обязано, иначе оно не получит лицензий для осуществления своей деятельности. Это наиболее распространенный вид страхования техногенных рисков в Российской Федерации. Мы им достаточно активно занимаемся и были одной из первых страховых компаний в Петербурге, которая получила лицензию на страхование такого рода рисков.
Вторая категория рисков связана с причинением вреда окружающей природной среде вследствие эксплуатации различных сооружений или объектов, начиная от гидротехнических сооружений, заканчивая нефтеналивными судами. В частности, ╚Эко-Сфинкс╩ очень активно занимается страхованием источников ионизирующего излучения, и является в этой области лидером на рынке Северо-Запада.
А ЛАЭС?
ЛАЭС страхуется компаниями, входящими в Российский ядерный страховой пул. Наша компания в него входит.
Третья категория ≈ страхование гидротехнических сооружений.
Страхование такого рода вещей связано с ответственностью. Важно понимать, что мы страхуем не какие-то огромные мифические цифры, а те суммы, которые позволяет страховать наш уставный капитал и наши активы. И этого достаточно, ведь мы входим в группу ведущих страховых компаний Петербурга по размеру этих средств.
А страхуются ли компьютерные системы?
Страхование рисков чисто имущественных (не ответственности, а имущества), например, повреждения компьютеров, развито очень слабо.
Мы надеемся внедрить страхование такого вида имущества, которое имеет более или менее точно определяемую рыночную стоимость. Если мы страхуем БД или компьютеры, то мы должны определить, сколько это реально стоит.
Идея состоит в том, чтобы совместить экспертную работу собственно со страхованием. Кстати, очень часто путают страхование и прямое финансовое возмещение ущерба от любых неприятностей. Страхование начинается только там, где имеет место чистый риск. Страховая компания возмещает только те убытки, которые носят действительно внезапный характер ≈ то, что в гражданском праве называется форс-мажором, но только в локальном масштабе. В остальных случаях это может быть все, что угодно ≈ финансовая схема, что-то еще, но не страхование. Поэтому страхование техногенного риска в информационных технологиях возможно только в том случае, если есть экспертная организация, которая подтвердит ≈ да, при прочих равных условиях возникновение вот такого риска, вот такого убытка носит внезапный катастрофический характер. Объединение 2-х этапов ≈ экспертного и страхового ≈ позволяет предложить правдоподобное решение, найти рынок, на котором можно будет зарабатывать деньги с выгодой для страхователя и страховщика.
Есть ли какой-либо иностранный опыт?
Важно понимать, что страховщики на Западе ≈ Zurich Re, перестраховочное общество, ≈ которые говорят о значимости такого рода страховки, пока что во многом занимаются такого рода страхованием, прежде всего, в рекламных целях. Операционализировать риск при поставке системы уровня сложности, например, SAR R/3 практически невозможно. И страховщик выступает страховщиком именно ответственности производителя на случай, например, умышленного введения сотрудником компании-разработчика в программу какого-то такого кода или такой недоделки, которая потом приведет к катастрофическому сбою в указанных системах.
То есть это страховка от возможной вины производителя, а не от внешнего происшествия?
В этих случаях страхуется не имущество и не абстрактные возможные убытки, а ответственность. То есть, если будет убыток, и будет доказано, что этот убыток является прямым следствием нарушения технологий или указаний заказчика исполнителем, то они понесут ответственность. Но важно понимать, что все компьютерные программы ≈ это вероятные вещи. Они не имеют 100% верного характера. И если даже такая крупная компания как Microsoft признает наличие в своих программах ошибок и всячески пропагандирует сервисные пакеты, то, что говорить про более мелких производителей. Речь может идти о катастрофических убытках именно когда техническое задание на производство работ было таким-то, а от него было отступление и вследствие этого отступления была сгенерирована ошибка, которая привела к убыткам.
А судьи кто?
Экспертами могут выступать такие же софтверные компании. Но, например, компания Swiss Re (Цюрих) занимается не страхованием таких рисков, а их перестрахованием. Нужно понимать, что эти риски являются нетрадиционными. Это не имущество и не жизнь. Рынком для такого рода рисков являются строго ограниченные места, где их можно застраховать. Допустим, рынком для такого рода рисков является Lloyd▓s of London или ряд универсальных финансовых компаний наподобие AXA или Allianz. А уж цюрихская компания перестраховывает риски. И очень часто страховые компании имеют очень опосредованное понятие о том, какие экспертные оценки ложатся в основу тех или иных тарифов в такого рода ситуациях. Потому что у западных компаний есть, например, Lloyd▓s, который страхует тысячи нетрадиционных рисков, начиная от риска срыва концерта и заканчивая рисками проигрыша спортивных соревнований. Поэтому для Lloyd▓s возможно и страхование разнообразных компьютерных рисков. В классической страховой компании застраховать такие риски практически невозможно. Перспективы страхования технических рисков именно в страховании ответственности производителя ПО.
Насколько велик рынок страхования риска от компьютерных сбоев?
Объем мне назвать сложно, но могу сказать, что этот рынок очень сильно расширяется. Это следствие того, что ╚новая экономика╩ развивается в значительной мере за счет так называемых компьютерных компаний. Они сейчас формируют очень серьезный платежеспособный спрос на эти услуги. И если пока этой услуги нет в том виде, в котором существует традиционное страхование жизни и недвижимости, она бесспорно возникнет. Страховщик может застраховать любой риск ≈ для него это вопрос тарифа. За 99 руб можно застраховать любой риск на страховую сумму в 100 руб. И очень часто страховые тарифы составляют огромные суммы. Допустим, по сложным техническим рискам, носящим катастрофический характер, например, по спутникам, тарифы могут составлять 30-50% страховой суммы.
Как вообще возник рынок страхования ответственности?
Родина рынка страхования ответственности и самый большой рынок страхования ответственности ≈ 70-80% от мирового ≈ США. Этому есть одно объяснение: США ≈ это страна, где каждый боится, что на него подадут в суд. Поскольку существует возможность, что на тебя подадут в суд, независимо от основания, постольку существует страхование. Страховые компании выступают операторами судебных тяжб и урегулирования исков. В США это последняя инстанция для любого активного человека или компании, от которой может прийти защита от судебного преследования. Поэтому абсолютно все крупные компании-производители США имеют страховые полисы на страхование ответственности. Лимиты этих страховых полисов исчисляются сотнями млн долларов. Поэтому когда выносится решение о взыскании денег, то плачут в страховой компании. И динамика убыточности такова, что тарифы будут серьезно пересматриваться, потому что общая тенденция на мировых рынках сводится к повышению убыточности страхования ответственности. Выплачивается до 90-95% от сумм, полученных в качестве премий.
Правильно ли я вас понимаю, что страховая компания является тем барьером, за которым ответственность не перекладывается на производителя?
Да. Это выгодно для производителя софтверных решений.
А что же покупатель ≈ владелец?
Это и есть вторая сторона, интересы которой также должны быть учтены ≈ потребитель, который стал собственником некоего продукта, интеллектуальной собственности, нематериальных активов. И они могут быть разрушены не по вине производителя, а по неким внешним причинам, которые можно минимизировать.
Здесь стоит напомнить о таком понятии, как управление рисками. Управлять рисками можно по-разному. Можно их минимизировать различными техническими способами, а можно страховать риски. Например, при защите имущества от пожара можно построить пожарную лестницу для эвакуации оборудования, а можно застраховаться, если лестницу строить дороже. То же и при страховании компьютеров. Если будет дешевле и быстрее компенсировать убытки не от предъявления исков человеку, который произвел вирус, а просто получить деньги от страховой компании, то и будут страховать.
В этом случае главная проблема в том, чтобы понять, является ли этот риск чистым. То есть, нет ли тут воли участников компании либо других аффилированных лиц, направленной на то, чтобы незаконно получить деньги. Надо понимать, что любой страховой тариф в России обычно бывает велик не потому, что велика статистика страховых случаев, а потому, что велик риск мошенничества. Поэтому выход не в том, чтобы предлагать огромные страховые суммы. Реально распространение такого вида страхования на небольшие суммы размером в $10 √ 50 тыс. с перестраховочной поддержкой и с экспертным обеспечением. При этом стоимость экспертного заключения будет составлять для страхователя примерно половину стоимости страховки. Даже если БД стоит $100 000, то предельный лимит, который выплатит страховая компания, составит $50 000. Очень важно, что в рисках такого рода страховая компания всегда будет предлагать некоторое участие в убытках потребителя. То есть, часть убытков потребитель оплачивает сам. Чем больше субъективных факторов наступления страхового случая, тем больше будет доля, оплачиваемая самим потребителем. Тогда потребитель будет заинтересован, чтобы страховой случай не наступил.
Это ваш первый опыт страхования софтверных решений?
Да.
Кто еще занимается страхованием таких рисков?
Судя по прессе, ≈ Ингосстрах. Хорошо, что этой темой занимаются несколько компаний, и в том числе столь крупная ≈ значит, рынок будет развиваться и будет перестраховка рисков.
В том варианте страхования риска, который предлагает ╚Эко-Сфинкс╩, как будет выглядеть страхование для клиента компании, обладающей информационной системой?
Весь пакет рисков ╚огневого страхования╩ ≈ пожар, взрыв, протечки и т. п. стандартен, не представляет сложности и всегда подлежит страхованию.
Второй пакет ≈ это риски, связанные со сбоями в электрических сетях. Тут тоже можно определить факт наличия такого события и его случайность, например, по записи Энергонадзора. Причем в принципе этот риск легко устраним, потому что существуют системы беспрерывного питания. Хотя, в центре города очень устаревшие электрические сети, и постоянно происходит отключение питания на срок более 6-7-8 часов.
Третья группа рисков ≈ это именно враждебная воля. Здесь важно соблюдение 3-х условий. Это следование внутреннему протоколу или регламенту фирмы об использовании Интернет, наличие политики внутренней безопасности фирмы и внесение вируса (за который страховая компания выплатит деньги) в официальные каталоги Лаборатории Касперского или ДиалогНаука.
А если вред нанесен не вирусом, а враждебными действиями конкретного человека? В истории нашей страны есть даже прецедент судебного приговора за вред, нанесенный программистом. Будет ли это считаться страховым случаем?
Нет, от такого риска наша компания не страхует. Здесь нет случайности.
Ведь, нанимая сотрудника на работу, мы предполагаем, что он не будет воровать, например, стаканы, компьютеры и т. п. Тем не менее, у компании есть понятие материальной ответственности и некоторой дисциплины выдачи и учета техники и других материальных ценностей. То же касается и нематериальных активов, т. е. информационных ценностей. Критически важная информация не должна валяться в компьютерах, где ни попадя. В организации должна существовать система безопасности.
А вот, например, когда были украдены БД с номерами сотовых телефонов или справочная база адресов и телефонов всех жителей СПб, продающиеся на пиратских дисках? От такого происшествия можно застраховаться?
Это значит, что кто-то в организации имел возможность их украсть. Так же и кассир, которому сдали деньги, может их украсть. Это не техногенный риск, а ответственность того органа, который допустил прием на работу вороватого сотрудника. Занимаясь управлением рисками, предприятие должно прислушиваться к советам экспертов по разработке политики безопасности и их минимизировать. Ведь тариф, который предложит страховая компания, будет гораздо менее выгоден, потому что в него будет заложен риск. Это менее выгодно, чем следование советам экспертов.
Поскольку вирусы приходят из Интернет через Интернет-провайдера, обсуждается ли возможность ответственности провайдера?
Любой полис ответственности, который может предложить страховая компания, достаточно дорого стоит. Я полагаю, что нужно работать в этом направлении, поскольку, если хоть однажды мы докажем, что любая крупная компания ≈ провайдер услуг Интернет, является причиной (с правовой точки зрения есть понятие причины) заражения конкретного клиента, то появятся убытки и появится рынок. На первом этапе такое страхование может работать как маркетинговая акция.
Вы считаете, что пока российский рынок оказания услуг в Интернет настолько мал по деньгам, что, грубо говоря, ему не до такого уровня сервиса?
Да. Мне кажется, что при столь жесткой ценовой конкуренции между провайдерами (хотя сам по себе бизнес интересный), есть большое количество технических новинок, инвестиции в которые на нынешнем этапе позволят расширить клиентскую базу и увеличить их прибыль. Для них пока ответственность не является ограничителем роста.
Кто в России будет вашими клиентами по страхованию техногенных рисков в ИТ?
С нашей точки зрения, клиентами для страхования таких техногенных рисков являются системные интеграторы на рынке страхования ответственности, а клиентами по страхованию от вирусной атаки и такого рода вещей будут консервативные учреждения, в которых исторически сложилась определенная жесткая корпоративная культура. И, прежде всего, это кредитные учреждения, где все очень регламентировано. Это финансовая сфера, государственные учреждения, организации оборонного профиля.
А торговля? Ведь сейчас многие из них рвутся в Интернет и используют ИТ?
Все, что связано с торговлей ≈ не в первую очередь. Потому что корпоративная культура торговли построена на других принципах, нежели в финансовых учреждениях. При прочих равных условиях она будет в большей степени способствовать умышленным действиям.
Хотя понятно, что эта услуга буде предлагаться неограниченному количеству пользователей, и если они по формальным критериям будут соответствовать, то смогут ею воспользоваться.
Будет ли в России такая ситуация, при которой надо будет обязательно страховать свои информационные ресурсы? Может быть, после признания законности цифровой подписи?
Немножко пофантазируем. Если будет обеспечена устойчивость документооборота, устойчивость правовых отношений, построенных с использованием цифровой подписи, бесспорно, приоритетное значение будет иметь случайность вирусного вторжения в эти цифровые коды, в подпись. Сегодня ведь никто не страхует ответственность тех лиц, которые выпускают традиционный бумажный документ с печатью и подписью. Страхуют от риска пожара, но не оттого, что печать, поставленная на документе, будет не того цвета. А в случае электронного документа есть злонамеренная сила: например, вирус, который не поддается вычислению заранее. По всей видимости, в этом случае можно говорить о возникновении нового рынка страхования. Но Россия в этом деле явно будет идти вслед за рынком, созданным на Западе. Россия не будет тем рынком, на котором эта услуга возникнет впервые и будет апробирована. Хотя развитие Интернет в России, безусловно, имеет огромные перспективы, т. к. здесь при наших расстояниях и дорогах, кроме как с помощью коммуникационных каналов невозможно передать информацию.
Может, появление страхования рисков для ИТ подтолкнет пользователей к использованию политики минимизации рисков?
Да, страховая компания, прежде чем застраховать риски, должна потребовать, чтобы все возможные риски были минимизированы. Техника должна быть проверена, оттестирована, сертифицирована, должны применяться аппаратно-программные решения сохранения информации. Должны быть применены надежные средства хранения информации, например, электронные архивы типа MediaStream производства компании ╚Эврика╩. И обязательно должна быть разработана политика безопасности теми организациями, где есть соответствующие силы, средства и опыт решения подобных задач. Например, есть лицензия ФАПСИ.
Повторяю, риски, связанные с потерей информации или ее повреждением, нарушением безопасности компьютерных систем, можно застраховать. Но прежде, чем страховать, оптимизируйте страхуемую сумму. Необходимо просто позаботиться о своей безопасности. Тогда можно застраховать и покрыть свои реальные убытки. А если использовать плохие решения, то страховая сумма будет непомерно большой.
Анкета || Рубрики || Работа || Услуги || Поиск || Архив || Дни рождения
О "КИ" || График выхода || Карта сайта || Подписка
Главная страница
Сайт газеты "Компьютер-Информ" является зарегистрированным электронным СМИ.
Свидетельство Эл ╧ 77-4461 от 2 апреля 2021 г.
Перепечатка материалов без письменного согласия редакции запрещена.
При использовании материалов газеты в Интернет гиперссылка обязательна.
Телефон редакции (812) 118-6666, 118-6555.
Адрес: 196084, СПб, ул. Коли Томчака, д. 9
Пейджер 238-6931(аб.3365)
e-mail:
Для пресс-релизов и новостей