Asigurarea cibernetică ( polița de asigurare a riscului cibernetic cyber insurance ) este un produs de asigurare pentru protejarea întreprinderilor și persoanelor fizice de riscurile asociate utilizării Internetului, stocării și procesării datelor în formă electronică și lucrului cu infrastructurile IT.
Polita acoperă de obicei pierderile cauzate de piratare și/sau distrugere, extorcare cibernetică sau furt de date. Acesta acoperă, de asemenea, întreruperile de afaceri și pierderile de profit cauzate de incidente cibernetice, răspunderea companiei față de terți în cazurile în care compania nu a reușit să protejeze datele.
În plus, asigurarea completă poate include verificări de securitate IT după incident ale clientului, cheltuieli pentru investigarea incidentelor și relații publice.
Asigurarea cibernetică poate fi definită și ca o metodă de management al riscului. Este un serviciu prin care riscurile utilizatorilor IT sunt transferate unui asigurător în schimbul unei prime de asigurare .
Originile asigurărilor cibernetice sunt adesea atribuite lui Stephen Haas, care în 1997 a scris primul document „Internet Security Responsibility Policy” împreună cu American International Group, Inc. (AIG) [1] . Un document similar a fost elaborat în 2000 de către compania de asigurări Lloyd's din Londra .
În 2018, costul mediu al criminalității cibernetice în Statele Unite a fost estimat la 27,37 milioane de dolari. Estimările sunt mult mai mici în alte țări. Astfel, în Japonia, prejudiciul mediu s-a ridicat la 13,57 milioane de dolari, în Germania - 13,12 milioane, în Marea Britanie - 11,46 milioane. Mai puțin de 10 milioane de dolari a fost prejudiciul mediu dintr-un atac cibernetic în Franța, Singapore și Canada.
Începând cu 2017, 34% dintre companiile din SUA aveau o poliță de asigurare separată pentru riscul cibernetic . Alte 44% dintre companii au raportat apoi că au discutat despre achiziționarea unei astfel de polițe cu un broker [2] .
Raportul privind dezvoltarea pieței globale de asigurări cibernetice [3] precizează că volumul acesteia ar trebui să ajungă la 21,4 miliarde de dolari până în 2025, în timp ce creșterea anuală în această perioadă va fi de 27,2%. Dezvoltarea asigurărilor cibernetice, atât în stadiile incipiente, cât și adesea chiar acum, este îngreunată de lipsa datelor actuariale fiabile pentru calcularea primelor și de gradul scăzut de conștientizare a managerilor companiei.
Astăzi, cele mai importante companii de asigurări cibernetice din străinătate includ American International Group, Inc. (AIG) , Allianz Group , Berkshire Hathaway, Inc. , Lockton Companies, Inc., Chubb Limited, Munich Re Group , AXA XL SA, Zurich Insurance Group și Lloyd's Group of London Ltd .
Deoarece acoperirea asigurărilor cibernetice în multe țări este încă mică în comparație cu majoritatea altor produse de asigurare , rolul acesteia în combaterea amenințărilor cibernetice în creștere este dificil de cuantificat. Cu toate acestea, impactul pe care atacurile cibernetice îl au asupra oamenilor și afacerilor este foarte vizibil și larg răspândit, iar companiile de asigurări dezvoltă servicii care ar putea oferi aceeași protecție largă.
Beneficiile acestor evoluții sunt vizibile în plățile pe care asigurătorii le fac pentru incidentele din spațiul cibernetic. În cazul unui hack pe scară largă, polița de asigurare oferă finanțare, astfel încât compania să se poată recupera din pierderi și să se întoarcă la muncă cât mai repede posibil.
În același timp, orice asigurare se bazează pe statistici și calcule actuariale . În cazul sferei cibernetice, astfel de calcule sunt dificil de făcut, deoarece există foarte puține date statistice despre evenimentele asigurate . Nu există standarde comune de dezvoltare a produselor pentru asigurători. Fiecare companie se bazează pe expertiza sa și oferă propria sa versiune de asigurare cibernetică, adică, în fiecare caz, trebuie să studiezi cu atenție condițiile, extinderile și excluderile din acoperire.
Ca și alte programe de asigurare, asigurarea cibernetică exclude de obicei daunele din operațiunile militare. Acest lucru este important dacă compania a devenit victima unui fel de război cibernetic internațional sau a unui atac al unei organizații teroriste. Așadar, în 2018, mai multe țări occidentale au acuzat Rusia că este implicată în atacurile NotPetya, după care asigurătorii au spus că nu au acoperit astfel de incidente .
Interesul pentru acest tip de asigurări în Rusia a crescut semnificativ după atacurile în masă ale virușilor ransomware WannaCry și Petya din 2017 [4] . În același an, s-a raportat că, conform programului guvernamental „Economia digitală”, se pregătește crearea unei piețe de asigurări cibernetice la scară largă în Federația Rusă [5] . S-a planificat ca polița de asigurare a securității informațiilor să devină obligatorie pentru industriile importante din punct de vedere strategic în 2020.
Astăzi, pe piața rusă există o serie de companii care oferă polițe de asigurare cibernetică. Unul dintre primii care a făcut acest lucru a fost AIG rus , o subsidiară a American International Group, Inc. (AIG). Produsul ei a ajuns pe piață în 2013. De asemenea, acest tip este realizat în prezent de Alliance , Sberbank Insurance (din 2017), Ingosstrakh (din 2017), AlfaStrakhovanie (din 2018), SOGAZ (din 2018). Brokerii sunt, de asemenea, activi pe această piață, de exemplu, Marsh, AON, Willis, Sealine și Greco International.
Până acum, dezvoltarea asigurărilor de risc cibernetic în Rusia este evaluată ca slabă. După cum a prezis compania de asigurări Sberbank, piața de asigurări cibernetice din Rusia poate crește până la 8-10 miliarde de ruble până în 2025 [6] . Spre comparație, la jumătatea anului 2019, volumul pieței a fost estimat la zeci de milioane de ruble.
Uniunea All-Russian a Asigurătorilor (VSS) a format un grup de lucru pentru asigurarea împotriva incidentelor cibernetice, care dezvoltă o metodologie. Grupul interacționează cu Camera de Comerț și Industrie a Federației Ruse . În același timp, VSS constată că colectarea și analiza informațiilor este dificilă, deoarece companiile sunt reticente în a face schimb de date privind protecția infrastructurilor lor IT [7] .