Выступал сегодня (еще сегодня ;-) на конференции "e-5: e-banking, e-trading, e-insurance, e-commerce, e-funding" (http://e-5.abcforum.ru/). Вещал про стратегию защиты онлайн-транзакций. А после мены выступал представитель Ингостраха с темой страхования информационных рисков. Я уж думал, что она совсем загнулась, а тут опять. Причем в рассказе Ингосстраха прозвучало несколько занятных вещей, о которых я и хотел бы рассказать.
1. Под страхованием информационных рисков страховая компания воспринимает защиту, в основном, материальных активов - оборудования, ПО, баз данных и т.д. Страхуются они... или по балансовой стоимости или по некоему лимиту, например, на восстановление информации. Отсюда, кстати, вытекает отказ от страхования нелицензионного софта.
2. На вопрос, а как страховать утечку базы, когда сама СУБД не пострадала, но нанесен ущерб репутации, есть снижение курсовой стоимости акций или был отказ от каких-либо контрактов вследствие такой утечки. Во всех этих случаях Ингострах отказывается страховать информационные риски. Либо пытается их перевести в совершенно иные риски.
3. Сюрвей, как и расследование наступления страхового случая проводится иностранными компаниями. Это сильно отличается от того, что говорилось еще 3-4 года назад. Тогда в качестве сюрвейеров выбирались российские специализированные ИБ-компании. Что меня удивило, так это срок проведения сюрвея - 2-3 дня. Причем его проводить один человек и только путем устных бесед с руководителями ключевых отделов. Как за это время можно оценить риски, мне не совсем понятно. Также возникает вопрос с подтверждением страхового случая. В ОСАГО - это делает МВД, в медстраховке - поликлиника или больница. В ИБ это по идее должен делать уполномоченный госорган, которого у нас пока нет (и не факт, что появится в обозримом будущем). Что касается компании, которая принимает решение о наступлении страхового случая, то она должна удовлетворять все стороны.
Вот собственно и все. С таким подходом этот рынок будет о-о-о-чень долго развиваться. Особенно учитывая отношение страховых компаний. На вопрос представителю Ингостраха, а не планируют ли они выходить на правительство с инициативой развития этого сегмента, страховая компания ответила, что нет ;-( Какой тогда смысл выступать и рассказывать про такой страховой продукт мне не совсем понятно?
ЗЫ. Ни одного страхового случая в истории Ингостраха так и не наступило по данным его предстаителя.
Спасибо, поржал.
ОтветитьУдалитьНу это грустно ;-( Страхование - это как раз то, чего нам не хватает. Это позволило бы не зависеть от разработчиков и их решений, интеграторов и качества их услуг, регуляторов и их требований. Но этот сегмент рынка у нас так и не развился, хотя первые проекты постановлений правительства по страхованию информационных рисков были разработаны еще в конце 90-х годов.
ОтветитьУдалить1. Иногда забавно вспомнить, где живешь. А ведь Ингос еще из продвинутых.
ОтветитьУдалить2. В любой компании есть многие десятки рисков, которые некому пристроить, и приходится уходить/уменьшать/принимать и т.п., так что обрабатывать один лишний - не бог весть какая трагедия. Нельзя же из-за каждого расстраиваться-то.