Киберриски · ФЗ «О персональных данных» №152; general data...

Александр Мисюрев

АО «АИГ»

Директор отдела развития бизнеса, к.э.н.

Tel +7 495 772 34 48

[email protected]

Страхование киберрисков: право на ошибку в информационной

безопасности (для финансовых учреждений)

Май 2018 года

Киберриски

mailto:[email protected]

2

CyberEdge

BBB / ECC

D&O / POSI

Cyber Liability Insurance – страхование киберрисков (страхование гражданской ответственности

и финансовых рисков при обработке персональных данных)

Bankers Blanket Bond (BBB) – страхование банка от мошенничества (Financial Institution Crime)

Electronic & Computer Crime Insurance – страхование от компьютерного мошенничества

Directors&Officers Liability Insurance (D&O) – страхование ответственности директоров

Public Offering of Securities Insurance (POSI) – страхование ответственности директоров

и должностных лиц связи с публичным размещением ценных бумаг

Страховые продукты для банков

CyberEdge

3

HIGHLY CONFIDENTIAL – DO NOT COPY 4

В отличие от традиционных рисков,

киберинциденты могут настигнуть Ваш

бизнес в любой точке мира и практически в

каждом бизнес-процессе. Вопрос только в

том, умеете ли Вы работать с

последствиями киберинцидентов и как

много готовы потерять?

Международный опыт страхования киберрисков

5

Этапы

Кто страхует

киберриски

Объемы

1990-е – первые упоминания о страховании киберрисков

1997 – 2000-е – впервые сформированы условия страхования киберрисков в США и Европе (синдикаты Lloyd’s)

2012 году страхование киберрисков запущено AIG в России

В мире: AIG, Allianz, Brit, Chubb (Ace), CFC, Beazley, Lloyd’s, QBE и другие

В России: AIG, Allianz, Ингосстрах, АльфаСтрахование…..

Топ 5 глобальных рисков (World Economic Forum 2008–2018, Global Risks Reports)

WannaCry затронул 300 000 компьютеров150 стран, новые угрозы…

Интернет вещей, автоматизация (автономные машины, умный дом и т.д.)

Государственная программа «Цифровая экономика»

ФЗ «О персональных данных» №152; General Data Protection Regulation (GDPR) c 25 мая 2018 г.

Актуальность

В мире: около $2,5 - 3 млрд (1,3 – 1,5 на США), а к 2022 около $14 млрд. (Allied Market Research)

В России: без оценки в силу отсутствия единого определения и подходов

HIGHLY CONFIDENTIAL – DO NOT COPY

Что такое страхования киберрисков в международной практике

Страхование ответственности

Убытки в связи с потерей данных 3-х лиц

(персональных / корпоративных)

в результате возникновения требований

против страхователя за нарушение

персональной и корпоративной информации

3-х лиц, в т.ч. из-за нарушения безопасности

компьютерной системы (заражение

вирусами, уничтожение, модификация или

удаление информации, физическая кража

или утеря аппаратного обеспечения и др.)

Ответственность за содержание

информации

Что входит в покрытие?

Сервисные расходы на внешних специалистов


Расходы на реагирование и программно-техническую экспертизу,

в т.ч. first response

Расходы на восстановление электронных данных и программ

Юридическая помощь (вкл. регуляторное расследование)

PR: минимизация репутационного ущерба

Расходы на уведомление субъектов данных

Расходы на мониторинг ИБ-инцидента

Расходы на снятие угрозы виртуального вымогательства

Убытки от сбоев в работе сети


Упущенная выгода (неполученная прибыль) страхователя до момента

восстановления работы сети

Network Interruption: Outsourced Service Providers (OSPs)

Network Interruption: System Failure


Расширения в других

страховых программах


Поломка машин вследствие

киберинцидента

Уничтожение или ущерб

зданиям/сооружениям или другому

имуществу

Перерыв в деятельности

(остановка производства) из-за

физического ущерба имуществу

вследствие киберинцидента

Ущерб здоровью работников

и третьих лиц

• Ущерб окружающей среде

Коробочные и партнерские

продукты


Готовые решения для клиентов

pre-underwriting products

Кобрендинговые продукты:

white label, сobranding products

Group-IB TDS & AIG CyberEdge

ESET NOD32 & AIG CyberEdge

Экзотика


Страхование электронных кошельков

Страхование физических лиц

(юр. расходы и программно-техническая

экспертиза)

Страхование информационных активов:

базы данных, электронные документы

Банковское страхование от убытков,

связанных с кражей денег

НЕ страхование киберрисков

Что такое страхования киберрисков в международной практике

Complimentary Tools and

Services

Cyber Mobile App

Предстраховое обследование

Proactive IP Blocking, Domain

Protection, and Training Services

Cybersecurity Information Portal


Умышленный вред

Кража данных

Отправка не тех

данных

Потеря переносных

устройств

Жертва фишинга

Хакерство/ кража

данных

D-Dos

Вредоносное ПО/

Вирусы

Облачные сервисы

Дата центры

Колл центры и т.д.

Умышленные

действия

сотрудников

Человеческий

фактор

Внешние угрозы Аутсорсинг Социальные сети

Instagram / Facebook

Linkedin / Twitter

Риски

Сбой IT инфраструктуры

Возможные сценарии киберинцидентов


СОТРУДНИК-МОШЕННИК

Сотрудник крупной организации (кредитное бюро)

крадет персональные данные о клиентах

Умышленные действия сотрудников

Оплачиваем:

Расходы на услуги программно-технической

экспертизы для установления, какие данные

и о ком были украдены

Расходы на уведомление клиентов-физ лиц,

данные о которых были украдены

Расходы на мониторинг в отношении

пострадавших лиц, во избежание их убытков

в результате кражи данных

Расходы на юристов-консультантов,

специализирующихся на киберинцидентах

для подготовки компании к административному

расследованию

Юр расходы и защита компании в рамках

судебной тяжбы

Расходы по возмещению ущерба компании

в соответствии с решением суда

Человеческий фактор Социальные сети

СОТРУДНИК ПОТЕРЯЛ ЖЕСТКИЙ ДИСК

Сотрудник крупной организации потерял жесткий

диск с базой данных клиентов

СОТРУДНИК РАЗМЕСТИЛ ДАННЫЕ О КЛИЕНТЕ

В СОЦИАЛЬНЫХ СЕТЯХ

Сотрудник компании разместил данные о компании-

клиенте в социальной сети

Оплачиваем: Оплачиваем:

Возможные сценарии киберинцидентов (1/2)


экспертизы для установления какие данные

и о ком были потеряны

Расходы на уведомление физ лиц, данные

о которых были потеряны


пострадавших лиц во избежание их убытков

в результате потери данных

Юр расходы и защита компании в рамках

судебной тяжбы

Расходы по возмещению ущерба компании

в соответствии с решением суда


специализирующихся на киберинцидентах,

для подготовки к проведению расследования

Расходы на PR-консультантов, привлекаемых

для сведения к минимуму репутационного

ущерба в результате инцидента


АТАКА ХАКЕРОВ НА СЕТЬ ОТЕЛЯ

Хакеры получили доступ к компьютерным системам

в 26 гостиницах, принадлежащих одной сети (под

угрозой оказались полмиллиона кредитных карт и

Ф.И.О. клиентов)

Внешние угрозы



экспертизы для установления какие данные


Расходы на уведомление физ лиц,

данные о которых были украдены






для подготовки компании к проведению

расследования




Вирусы-шифровальщики (Filecoder) Аутсорсинг

ВСЕ КОМПЬЮТЕРЫ В ОФИСЕ «ЗАШИФРОВАНЫ»

Из-за «любопытства» сотрудник открыл файл-

приманку (перешел по ссылке) на рабочем

компьютере, в результате все компьютеры в офисе

клиента поразил вирус-шифровальщик

ОБОРУДОВАНИЕ УКРАДЕНО У ПОСТАВЩИКА УСЛУГ

Почтовый сервер и диск с информацией,

принадлежащий клиенту, были украдены из

помещения другой компании – независимого

поставщика услуг

Оплачиваем: Оплачиваем:

Возможные сценарии киберинцидентов (2/2)


экспертизы для установления характера убытка и

разработки плана восстановления данных (если

дешифрование возможно)


специализирующихся на киберинцидентах, для

«безболезненного» урегулирования инцидента





экспертизы для установления, какие данные


Расходы на уведомление физ лиц, данные

о которых были украдены






для подготовки компании к проведению

расследования


для управления внешними коммуникациями со

СМИ в отношении инцидента


Важно помнить, что утечка и нарушение данных происходит

чаще, чем это можно себе представить. При этом, компании,

у которых происходят инциденты, связанные с данными,

страдают от ущерба репутации, перерывов в производстве,

требований от 3-х лиц, ограниченных знаний о том, как

действовать в кризисной ситуации и пр.


Вопросы?


Дополнительные материалы

BBB / ECC

14


Полис ВВВ / ECC является не заменой системы мер безопасности банка,а хорошим дополнением к ней.

Случай с одним из наших клиентов:

Клиент одного из крупных российских банков, получив кредит, взломал

систему банк-клиент (с целью обнуления операции) и в течение

6 месяцев снял из различных банкоматов около 3.5 млн. долл.,

оставаясь при этом незамеченным для служб безопасности банка.

Общие выплаты по полису составили 3.5 млн. долл.


Умышленные действия сотрудников


Страхователю возмещаются убытки,

непосредственно вызванные

мошенническими действиями его

сотрудников, преднамеренно совершенными

ими самостоятельно или в сговоре с другими

лицами с целью нанесения ущерба банку или

извлечения для себя незаконной финансовой

выгоды

P.S. по экспертным данным, порядка 70–80%

преступлений, совершаемых против банков и

других финансовых учреждений, связаны с

действиями их собственных сотрудников

Умышленные действия 3-х лиц Подделка документов


Страхование находящихся в помещениях

Страхователя или его корреспондентов

ценностей (наличных денег, слитков и

изделий из драгметаллов, драгоценных

камней, ценных бумаг, платежных документов

и т. д.) от ущерба в результате кражи,

ограбления, повреждения, уничтожения,

утраты

Страхование помещений и внутреннего

оборудования от убытков в результате

кражи, вандализма, других умышленных

действий

Страхование убытков, причиненных

подделкой платежных документов или

получением мошеннических платежных

поручений клиента (т. е. внесением

поддельных подписей или умышленных

противоправных изменений в чеки, векселя,

банковские тратты, банковские акцепты,

депозитные сертификаты, выданные

Страхователем)

Страхование убытков от работы с

фальшивыми ценными бумагами (ЦБ).

Убыток в ходе хозяйственной деятельности,

совершенных на основании ЦБ которые:

подписаны поддельной подписью, или несут в

себе мошенническое изменение, или

являются подделкой, или потеряны или

украдены

Страхование убытков в связи с принятием

фальшивых денежных средств

BBB / ECC (1/2)



Перевозка ценностей

Страхователю возмещается ущерб,

причиненный принадлежащим ему ценностям

во время их перевозки по поручению

Страхователя сотрудником Страхователя или

любым лицом, назначенным Страхователем

своим курьером или сотрудниками

инкассаторской компании на бронированных

автомобилях

P.S. Ряд инкассаторских компаний сами

страхуют свои перевозки, однако обычно

приобретаемое ими покрытие имеет низкие

лимиты ответственности, не обеспечивает

полной компенсации возможных убытков

Компьютерные преступления (1/2) Компьютерные преступления (2/2)

Мошенническим вводом данных или команд в

компьютерные сети банка, сервисной

компании, электронные системы перевода

средств или связи с клиентами

Компьютерными вирусами

Получением сфальсифицированных

поручений клиентов, передаваемых по

системам электронной связи

Ответственностью банка перед клиентами за

их платежи, осуществленные на основании

сфальсифицированных поручений банка

Ответственностью банка за проведение

центральным депозитарием операций с

ценными бумагами на электронных носителях

по сфальсифицированным компьютерным

командам банка

Осуществлением операций на основании

сфальсифицированных указаний клиентов

Страхователя, переданных по факсу или по

телефону

Преднамеренной порчей электронных данных

и их носителей при их хранении в банке, в

ходе записи или перевозки

BBB / ECC (2/2)

Оплачиваем: Оплачиваем: Оплачиваем:


Отличие CyberEdge от BBB / ECCУкрадено у Страхователя Украдено у 3-й стороны (клиента Страхователя)

Кража денег /

ценных бумаг

Мошенничест

во с

пластиковым

и картами

Управление

кризисной

ситуацией /

Восстановле

ние

репутации

Виртуальное

вымогательс

тво

Кража денег /

ценных бумаг

Мошенничест

во с

пластиковым

и картами

Кража

персонально

й или

корпоративно

й

информации

Ущерб

субподрядчи

ков

Нарушение

закона «О

персональны

х данных»,

GDPR

Деятельность

в области

мультимедиа

Сбой в

работе сети

Расходы на

ИТ -

расследован

ие /

администрати

вное

расследован

ие

Потеря

электронных

данных /

корпоративно

й

информации /

персональны

х данных

CyberEdge Компенсируются только расходы

на расследование (сумма самих

украденных денежных средств

исключается) в случае нарушения

безопасности системы или

нарушения конфиденциальности

данных

Оплачиваются

расходы на IT

Forensic, PR,

Legal advice

Да Компенсируются только расходы

на расследование (сумма самих

украденных денежных средств

исключается) в случае нарушения

безопасности системы или

нарушения конфиденциальности

данных

Да Да Да Да Да Да Да

BBB / ECC Кража

сотрудниками,

кража

имущества из

помещений

Банка, Кража

при перевозках,

Подделка

денежных

знаков, ценных

бумаг, чеков;

Несанкциониров

анный ввод

команд в

систему Банка;

Мошеннический

перевод с

помощью

инструкций и т.д.

Только если

такое покрытие

представляется

по покрытию

«Нечестность

сотрудников»

Нет Нет Да, при

условии, что

средства

находились на

ответственному

хранении у

Страхователя

или средства

были похищены

у клиента

Страхователя

по причине

несанкциониров

анного ввода

данных в

компьютерную

систему

Страхователя,

когда

Страхователь

занимался

обработкой

этих данных

Нет Нет Нет Нет Нет Нет Нет Да

D&O / POSI

19


Кто влияет на судьбу директора

Директор

Кредиторы

Сотрудники

Компания (Собственник)

Клиенты,

Поставщики

Конкуренты

Гос. органы

Директор, СД

Кредиторы



Клиенты,



Гос. органы Акционеры

Частная компания Акционерная компания


Кто влияет на судьбу директора

Директор, СД

Кредиторы



Клиенты,



Гос. органы

Мажоритарные акционеры

Миноритарные акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Акционеры

Публичная компания

Unknown

Сутяга

Зачем директорам страхование D&O / POSI?

22

Ответственность

Уверенность

Защита

Директор несет ответственность за все действия компании и подчинённых, в т. ч. если он сам не принимал участия в принятии решений, не знал о совершении от имени компании действий или соответствующие действия / бездействия были допущены другими должностными лицами компании, или лицами, имеющими доверенность.

Двойственная позиция директоров – с одной стороны, они являются представителями выдвинувших их акционеров, с другой стороны должны действовать исключительно в интересах компании и несут перед ней ответственность. Такая двойственность может привести к конфликту интересов.

Изменения правоприменительной практики: Постановление Пленума Высшего Арбитражного Суда от 30 июля 2013 г. N 62 разъясняет основания возмещения убытков директорами.

Гарантия

С одной стороны D&O / POSI защищает интересы собственников / акционеров компании от рисков связанных с неверными действиями директора. С другой стороны – это страхование возможных расходов директора, которые связаны с предъявлением требований к нему или по ценным бумагам против компании.

Кто застрахован по договору?

23

Кто застрахован по договору?

Совет директоров

Должностное лицо

Коллегиальный исполнительный орган –

Правление

Единоличный исполнительный орган –

Президент, Генеральный директор,

исполнительные директора

Руководитель (начальник) структурного

подразделения Компании

(Функциональные директора)

Правопреемники

Супруги, внешние управляющие,

наследники, законные представители,

душеприказчики

Компания

Только по искам в отношении ценных

бумаг

Какие основания для предъявления

требования (пример)?

Злоупотребление служебным положением

Неоправданное расходование средств

компании

Принятие решения при наличии

информации, позволяющей судить о том,

что решение будет неверным

Недостаточный контроль процессов

Ошибочная политика при сделках M&A

Налоговые претензии

Проведение закупок без тендеров

Предполагаемые нарушений правил

честной конкуренции

Неточности и ошибки в раскрытии

информации в отчетности, проспектах

эмиссии и пр.

Кто может предъявить требование к

директору?

Компания

Акционеры


Государственные органы

Клиенты


Кредиторы


Иные третьи лица

Плюсы и минусы

24

Преимущества

Полис D&O защищает всех директоров

(прошлых, настоящих и будущих): в случае

оставления директором / занимаемой

должности, полис будет покрывать его действия

(совершенные им в должности директора) -

пока действует полис, и компания продолжает

каждый год его возобновлять

Застрахованы ВСЕ РИСКИ и ТЕРРИТОРИИ:

покрывается всё, что не исключено

Автоматическое покрытие директоров

дочерних компаний

Покрываются все неверные действия

директоров с даты основании компании до

окончания периода страхования (если по

договору не согласовано иное)

Исключения

1. Уголовные деяния (оплачиваем только

расходы на защиту, но не сумму требования)

• Ущерб здоровью и имущества

(существует специализированный полис

страхования гражданской ответственности)

• Отмывание денег

• Предыдущие требования и

обстоятельства (о которых было сообщено

ранее или которые начались ранее начала

срока страхования)

• Штрафы и пени (не подлежат страхованию

по закону)


488+ млн. руб.страховых выплат в 2012 г.

Действие полиса D&O во времени

Дата основания Компании

Предъявление Требования

Период страхования – 1 год

Застрахованный период

Ошибочное действие

Период обнаружения – 60 дней



Требование против директора

Требование по ценным бумагам против

компании

Возмещение компанией?

Нет Да

Кто застрахован?

Что застраховано?

Страховой случай

Директора и должностные лицаДиректора и

должностные лицаКомпания

Покрытие A

Требование против директоров /

должностных лиц

Личные расходы директоров

Требование против директоров /

должностных лиц

Расходы компании

Требование против компании по

ценным бумагам

Расходы компании

Применяется франшиза

Покрытие B

Расходы на защиту: оплата услуг юристов и экспертов, выяснение обстоятельств причинения убытков, судебные расходы, включая оплату организации залога и других

необходимых финансовых инструментов, расходы на регуляторное расследование, расходы на восстановление репутации, расходы на защиту прав и свобод (организацию

залога).

Возмещение нанесённого ущерба: оплачиваются расходы застрахованных на выплаты в порядке возмещения вреда (как по решению суда так и в соответствии с мировым

соглашением.

ПОЛИС ОПЛАЧИВАЕТ

Применяется франшиза

Покрытие С

Без франшизы

Как работает полис D&O / POSI

D&O или POSI?

27

D&O (Directors & Officers Liability Insurance)

1. Период страхования – 1 год.

2. Любые неверные действия директоров

при исполнении ими своих обязанностей

3. Требования к Компании не покрываются

если нет покрытия «С»

4. Объем покрытия значительно шире

5. Премия оплачивается ежегодно

POSI (Public Offering Securities Insurance)

1. Период страхования – 3-6 лет со дня IPO

2. Только неверные действия директоров в

отношении проспекта эмиссии

3. Только покрытие для компании по

требования в отношении проспекта

эмиссии

4. Премия оплачивается один раз на

несколько лет вперед.

5. Стоимость страхования может быть

включена в общую стоимость листинга



Страхование ответственности директоров и должностных лиц связи с публичным размещением ценных бумаг (POSI)

Предложение или продажа ценных бумаг (далее ПЦБ) является серьезным риском для

директоров , поскольку представляет собой раскрытие большого объема подробной информации о

бизнесе компании. При этом ответственность за достоверность информации несут директора (в

том числе и по российскому законодательству о Рынке ЦБ).

Риск, связанный с ПЦБ, может быть встроен в "операционный" полис страхования D&O, который

возобновляется компанией каждый год и покрывает также любые другие текущие неверные действия.

В этом случае как на риски связанные с проспектом, так и на другие "текущие неверные действия"

будет отводиться один (общий) лимит ответственности.

Многие компании, для того чтобы "отнести" свои расходы на покрытие этого риска на общие

расходы при ПЦБ покупают отдельный полис POSI (Public Offering of Securities Insurance),

который часто называют полисом страхования ответственности за проспект эмиссии.

Обычно покупаются оба полиса (и D&O, и POSI) для того, чтобы на риски, связанные с проспектом,

иметь отдельный лимит ответственности, а текущие неверные действия покрывать другим полисом без

увеличения его стоимости из-за новых рисков связанных с ПСБ.

По полису POSI помимо прочего покрывается ответственность компании или директоров

перед андеррайтерами, ответственность контролирующего или продающего акционера.

POSI – это защита при IPO

29

Страховым случаем является факт предъявления требования по проспекту против компании, директора

или должностного лица, сотрудника компании контролирующего или продающего акционера в течение периода

страхования, что ведет к убытку застрахованных, даже если такой убыток фактически еще не был понесён.

Можно застраховать:

ДО

П.

Ответственность застрахованного

лица по проспекту: оплатим убыток

застрахованного лица, возникающий из

требования по проспекту, заявленного

против застрахованного лица

Возмещение компании – оплатим

убыток компании в той мере, в какой

компания возместила застрахованному

лицу за убыток, возникший из требования

по проспекту, заявленного против такого

застрахованного лица.

Ответственность компании по

проспекту – оплатим убыток компании,

возникший из требования по проспекту,

заявленного против компании.

Риск андеррайтера: оплатим убыток

компании и/или любому

застрахованному лицу в той мере, в

какой они возместили андеррайтерам за

убыток, возникший из требования по

проспекту в соответствии с

обязательствами, принятыми на себя в

соглашении об андеррайтинге.

Ответственность контролирующего

акционера – оплатим убыток каждого

контролирующего акционера,

возникающий из требования по

проспекту, заявленного против

контролирующего акционера.

Ответственность продающего

акционера – оплатим убыток каждого

продающего акционера, возникающий из

требования по проспекту, заявленного

против продающего акционера.

БА

ЗА

Примеры требований

30


31


32Источник: http://www.cbr.ru/credit/likvidbase/print.asp?file=b_list.htm

Киберриски · ФЗ «О персональных данных» №152; general data...

Documents