На главную / Интервью/ Информационные риски стоят особняком
29.04.13

Информационные риски стоят особняком

советник генерального директора Финансовой корпорации «Открытие» Михаил ЛЕВАШОВСвоей точкой зрения на проблемы страхования рисков информационной безопасности в банковской сфере в интервью НБЖ поделился глава комитета по страхованию рисков в сфере информационной безопасности в финансовых организациях НП ABISS, советник генерального директора Финансовой корпорации «Открытие» Михаил ЛЕВАШОВ.

- В рамках вашего выступления на «круглом столе», который был организован редакцией НБЖ в феврале 2013 года, вы сказали, что возглавили в некоммерческом партнерстве «Сообщество пользователей стандартов по информационной безопасности АБИСС» (ABISS) комитет по страхованию рисков в сфере ИБ в финансовых организациях. Расскажите, пожалуйста, подробнее, каковы главные цели работы комитета?

- Комитет был создан с целью регулирования бизнес-деятельности организаций, которые работают или собираются работать в этой сфере. Регулирование должно осуществляться посредством правил и различных механизмов.

Тематика страхования информационных рисков возникла не на пустом месте, а в силу требований стандарта СТО БР ИББС. В нем рекомендуется использовать механизм страхования, когда бизнес, с одной стороны, не может принять подобные риски, а с другой стороны, не намерен вкладывать денежные средства для их уменьшения до приемлемых уровней. Информационные риски - это очень специфичная область, они стоят особняком среди остальных рисков. Известно, например, что значительную часть информационных рисков можно включить в операционные риски, которые понятны всем риск-менеджерам. Но там существует другая терминология, другие правила, другие формулы расчета. У информационных рисков есть определенная специфика, которая не совсем укладывается в рамки операционных рисков.

Некоторые специалисты по ИБ в своих организациях сумели слить подразделения по информационной безопасности с подразделениями по управлению рисками. И таким образом построить единое пространство управления рисками. Но это исключение.

Так вот, возвращаясь к комитету, который я возглавляю в ABISS. Он формировался практически одновременно с созданием НП ABISS, потому что направления, которыми организация должна заниматься, продумывались заранее. Основной целью комитета является содействие партнерству в разработке и реализации стандартов, правил и методик предпринимательской деятельности в области страхования рисков информационной безопасности (информационных рисков), а также организация взаимодействия со страховыми компаниями и общественными объединениями страховщиков. Комитет должен стать площадкой для обсуждения сложных вопросов, которые сопровождают информационные риски. И когда комитет был создан, нашлось достаточно много желающих работать в нем. В него сразу же вошли две страховые компании и несколько коммерческих организаций (членов ABISS), которые, будучи интеграторами, оказывают услуги в сфере информационной безопасности.

Небезынтересен тот факт, что когда мы начали изучать вопрос страхования рисков ИБ более глубоко, учитывая иностранный опыт и имеющиеся западные страховые продукты, которые российские страховые компании тоже развивают (а известно, что совладельцами многих наших крупнейших страховых компаний являются соответствующие западные страховщики), то выяснилось, что в чистом виде страхование информационных рисков неинтересно бизнесу.

- Неинтересно бизнесу страховых компаний?

- Нет, страхователю. На Западе были разработаны страховые продукты для финансовых операций, например ВВВ, которое включает страхование очень многих вещей, в том числе связанных с информационными рисками. Речь идет о страховании некоторых ИТ-объектов - серверов, баз данных и т.д.

- Я читала, что этот продукт очень дорогой.

- Продукт дорогой, но зато какое страховое покрытие! Ведь страховщику просто неинтересно, чтобы покрытие было маленьким, именно на этом строится его бизнес, поэтому стоимость продукта высокая.

Для страхования каких-то событий, включающих в себя информационные риски, нужно провести некую предварительную работу. Например, сделать мини-аудит, чтобы понять, как обстоят дела у страхователя по обеспечению информационной безопасности. За чей счет проводится этот аудит? Понятно, что страхователь не будет за это платить. Поэтому вполне естественно, что страховая компания сама проводит или организует аудит: приглашает независимых специалистов из соответствующих организаций. Конечно, это стоит денег, и страховщики их платят. Для того чтобы возвратить средства, величина страхового покрытия должна быть большой, и страховая премия должна быть соответствующей. Во всяком случае, она должна покрыть понесенные страховщиком затраты, в том числе и на аудит.

Страховая премия на типичные страховые продукты обычно составляет 5-7% (диапазон может колебаться от 1% до 10%). Поэтому у страховщиков даже минимальное страховое покрытие, которое они готовы оплачивать, достаточно большое. Например, франшизы западных страховых компаний начинаются от 50 тыс долларов, меньшие суммы им просто неинтересны.

Мы же хотим, в частности, чтобы были созданы продукты, которые станут интересны рядовым участникам процесса - физическим лицам. Обычно с их счетов воруют порядка нескольких тысяч рублей. Поэтому, естественно, франшиза в 50 тыс долларов их не устроит.

Здесь возникает очень много вопросов. И, наверное, главный из них -как организовать процесс так, чтобы он был интересен и страховщикам, и страхователям. В этом заключается главная трудность. По оценкам экспертов, в страховании исключительно информационных рисков пока не наблюдается событий, которые могли бы поднять этот бизнес на должную высоту. Безусловно, есть какие-то отдельные случаи, например, кто-то хочет застраховать базу данных. Но это единичные случаи, которые интересны исключительно участникам конкретного процесса. Если говорить о более или менее массовых явлениях, то интерес вызывает все-таки страхование неких событий, в которые информационные риски входят как составная часть.

Представляется, что эффективными в этой области будут предложения страховать события, составной частью которых являются информационные риски. И здесь перед комитетом и экспертами в сфере информационной безопасности возникает ряд задач, главная из которых - обеспечить четкое обоснование страховой премии.

Продукты, предлагаемые западными страховщиками, используют результаты мини-аудита, который фактически представляет собой вопросник, состоящий из 15-20 достаточно простых, лежащих на поверхности любого аудита ИТ-безопасности вопросов. И в некоторых ситуациях этого вполне достаточно. Но есть сложные случаи, когда речь идет о больших суммах и большом страховом покрытии. Здесь необходимо точно оценивать состояние ИБ-страхователя, чтобы понять, какую страховую премию с него запросить.

Есть ряд задач, которые нужно решать в связи с возникновением различного рода споров и разбирательств. Например, у одной стороны возникли претензии по отношению к другой. Конечно, можно обратиться в суд. Но в цивилизованном мире распространена практика досудебных рассмотрений разного типа. Для этого нужно подготовить медиаторов, которых весь рынок признает достаточно опытными, мудрыми и способными принимать объективные решения.

Другая задача, стоящая перед комитетом, связана с регулированием проведения учебных мероприятий с целью подготовки сертифицированных специалистов, в том числе медиаторов.

Следующая наша задача - это ре-кламно-пропагандистская работа, связанная с привлечением к работе и страховых компаний, и страхователей. На «круглом столе», организованном НБЖ, активно обсуждались последствия вступления в силу девятой статьи Федерального закона «О национальной платежной системе». Я считаю, что ничего страшного в 2014 году не произойдет. А страшные, апокалипсические истории, связанные с тем, что все в едином порыве ринутся воровать деньги, а затем требовать от банков компенсации - всего лишь плод фантазии.

Наше законодательство и сейчас позволяет привлекать банки к ответственности, если они виновны, и требовать от них компенсации. А если кредитная организация не хочет платить, то на нее можно подать в суд, который, в случае невиновности клиента, примет решение в его пользу.

- А сейчас суммы хищений с карт невелики? Миллионами не воруют?

- Я не располагаю такой информацией, знаю только, что воруют обычно относительно небольшие суммы. И потом, что значит воруют? Кража в чистом виде - это снятие денег с карты, перечисление на другую карту или счет и обналичивание.

Гораздо более распространенными являются ситуации, когда некоторые сервисные компании незаконно и безосновательно блокируют на длительное время иногда значительные суммы. Тем самым человек лишается возможности пользоваться своими деньгами на большой период времени, который может достигать 45 дней. Конечно, блокировка карты минимизирует риски таких компаний, но доставляет серьезные неудобства клиентам. С этим подходом надо бороться, и за это надо наказывать.

- А если у нас страховой бизнес не очень развит, то возникает вопрос: можно ли осуществлять страхование банковских рисков не через страховые компании, а через другие механизмы?

- В принципе, да. Возможно, данный механизм не будет называться страхованием, но он будет аналогичен страхованию. Если произойдет всплеск мнимого воровства с банковских карт с целью получения денег от банка, то банк все равно переложит свои убытки на клиента или же застрахует их классическим образом.

Во всяком случае, бурных перспектив страхования информационных рисков в чистом виде я пока не вижу. Если данное страхование и будет развиваться, то достаточно вяло и в ограниченных масштабах. А вот страхование комплексных рисков, в которых информационные риски занимают значительную часть (например, страхование рисков ДБО), будет развиваться. И объясняется это данными о резком росте хищений в электронном банкинге. Причем достаточно тревожная ситуация складывается не только в России, но и в Юго-Восточной Азии, Европе, да и во всем мире. Здесь мы являемся органичной частью мирового сообщества. Объемы мошенничества в e-banking растут. С другой стороны, клиенты, у которых украли деньги, учатся отстаивать свои интересы в суде. Число подобных судебных разбирательств растет. Потребность в юридическом сопровождении сторон процесса увеличивается.

- Можно предположить, какой процент этих судебных процессов заканчивается в пользу клиентов?

- У меня нет такой статистики. Но, думаю, что большинство процессов заканчивается в пользу банков.

- А говорят, что суды сейчас клиенто-ориентированные.

- На самом деле ситуация тут следующая. В арсенале банков всегда имеются опытные юристы, которых многие клиенты не могут себе позволить, договоры с клиентами составляются не совсем симметричным образом. Клиент, как зависимое звено, подписывает такой договор, потому что у него не хватает знаний, опыта, уверенности в защите своих интересов. Конечно, у многих банков проект договора -это не догма, и если клиенту не нравятся какие-то отдельные пункты, то некоторые кредитные организации готовы эти пункты изменить. Тем не менее банк выступает в этом вопросе как старший товарищ, на стороне которого огромные ресурсы и возможности. Как правило, суд признает организацию виновной, если проверка электронной подписи спорного документа показала, что это не та подпись или не тот документ. Если же подпись правильная (корректная), то клиенту будет очень трудно выиграть процесс. В этом случае для продолжения борьбы ему понадобится очень опытный юрист, хорошо ориентирующийся в законодательстве, связанном с защитой информации. Но это никак не гарантирует для него положительный результат.

Одна из задач нашего комитета - способствовать подготовке таких юристов, которые могли бы квалифицированно участвовать в процессах на любой стороне.

Сложно сказать, что будет актуальным завтра. Возможно, со следующего года снова на повестку дня встанут карточные риски, которые были известны задолго до развития мошенничества в e-banking. Но эти риски уже известны, и эксперты не первый год с ними работают. Карточные риски тесно связаны с рисками мошенничества в e-banking: воруют деньги со счетов юридических лиц, а переводят на счета, как правило, физических лиц и затем обналичивают через банкомат.

- Банки активно обмениваются между собой информацией о хищениях, мошенничествах, или же это тайна за семью печатями?

- Действительно, раньше кредитные организации не стремились делиться подобной информацией. Сейчас в этом вопросе наметился определенный прогресс, правда, он очень небольшой. Пожалуй, здесь можно привести в качестве примера Сбербанк, который раскрывает хоть какую-то информацию о себе. В частности, он рассказал о том, сколько средств было похищено в 2011 году через системы ДБО. Насколько эти сведения соответствуют действительности - другой вопрос. Остальные банки подобной информации о себе не публикуют.

- Конечно, я не математик, но думаю, чтобы правильно оценить риски и систематизировать их, надо обладать статистикой.

- Конечно. В сфере безопасности вообще и ИБ в частности со статистикой дела обстоят туго. Вы же понимаете - там работают известные люди из известных ведомств, у них в крови заложено аккуратное отношение к информации. С одной стороны, обмен информацией полезен, статистика необходима. А с другой стороны, на рынке существует жесткая конкуренция, и в таких условиях трудно требовать раскрытия какой-либо негативной информации о банке. Это очень «интимная» область, где не принято «сбрасывать с себя все одежды».

Конечно, справедливости ради стоит отметить, что гораздо более развит внутрикорпоративный обмен информацией, которая в прессу не просачивается. Например, при таком обмене данными можно узнать дополнительную полезную информацию.

- Последний вопрос, который хотелось бы задать, - вы сказали в начале нашей беседы, что изучаете западный опыт, а обмен информацией о состоявшихся хищениях и мошенничествах - это «священная корова» только у нас или на Западе тоже?

- У меня нет прямых связей с какими-то конкретными западными специалистами, которые работают в крупных банках. Но даже исходя из опыта наших московских коллег, работающих в западных «дочках», можно сделать вывод о том, что «священной коровой» для них является не только обмен информацией о состоявшихся хищениях и мошенничествах, но и построение ИТ-систем, внутрикорпоративные регламенты и т.д. Получается, что на Западе практически любая информация является конфиденциальной. Я думаю, что там действуют более строгие требования к конфиденциальности информации, чем в России.

Беседовала Анастасия Скогорева

Источник
NBJ 

Главная О проекте Реклама Контакты Карта сайта
© 2008 - 2021 Bank-RF.ru - При использовании материалов гиперссылка на Bank-RF.ru обязательна.