Следует отметить, что блокировать все угрозы и сохранять банковскую информа-цию на электронных носителях гораздо сложнее, чем в бумажной форме. Хотя передовые технологии создают условия для лучшей защищенности, но полная безопасность остается в принципе недостижимой.
Идущая в последние два-три десятилетия компьютеризация банковской деятельности, автоматизация информационных и других технологий, разумеется, определялась, прежде всего, необходимостью решения стратегических задач, но попутно решались и новые проблемы, связанные с компьютерной безопасностью.
Расходы на банковскую компьютеризацию весьма велики. В соответствии с общемировой практикой в среднем банке расходы на компьютеризацию составляют не менее 17% от общей сметы годовых расходов, соответственно, значительны расходы и на компьютерную безопасность.
Внедрение АБС существенно повышает эффективность банковской деятельности, но вме-сте с тем, приводит к появлению новых информационных рисков: реализация всех функций АБС связана с возможностью утечки, хищения, утраты, искажения, подделки, уничтожения, копирования, блокирования компьютерной информации. И эта возможность носит отнюдь не абстрактный характер. Суммарный ущерб мирового банковского сообщества от компьютерных преступлений измеряется десятками миллиардов долларов, только в Западной Европе его вели-чина приближается к $30 млрд.
По оценкам Британской Федерации предпринимателей, средний размер похищенного при проникновении в банковские компьютерные сети составляет около $500 тыс. на один случай, что значительно превышает среднюю величину ущерба от ограбления одного банка. Самое грандиозное из известных компьютерных ограблений произошло в Германии, когда с банковских счетов преступникам удалось безвозвратно снять сумму, эквивалентную примерно $1 млрд.
Министерство финансов США оценивает ущерб от регулярных махинаций компьютерных преступников с чужими счетами приблизительно в $100 млрд. ежегодно. По оценкам специалистов, основная опасность базам данных исходит от внутренних пользователей: ими совершается 94% преступлений, а внешними – только 6%. Институт компьютерной безопасности в Сан-Франциско опубликовал некоторые данные, характеризующие состояние компьютерной преступности и информационной безопасности в 2001 г. Согласно исследованию этого Института, в 2001 г. 64% крупных корпораций и прави-тельственных структур понесли финансовые потери из-за того, что их системы информацион-ной безопасности были нарушены. Средний размер годовых потерь на одну компанию составил около $ 2 млн.
В представленном Всемирным банком документе "Электронная безопасность: уменьше-ние рисков в финансовых операциях" перечислены направления деятельности, обеспечивающие необходимый уровень безопасности в этой сфере, среди которых: создание условий, при кото-рых страховые компании могли бы страховать риски в сфере информационной безопасности, обеспечение достоверности информации об инцидентах в сфере безопасности. Компьютерные преступления против банков совершаются и в России. Еще в 1991 г. было похищено $125,5 тыс. во Внешэкономбанке. Преступники из числа сотрудников вычислитель-ного центра банка открыли несколько личных счетов по поддельным паспортам и начали пере-водить на них деньги банка. В феврале 1996 г. была пресечена преступная деятельность группы лиц, совершавших хищения валютных средств в международной межбанковской системе элек-тронных платежей путем несанкционированного входа в компьютерную сеть Автобанка с по-следующим списанием средств по его корсчету в Bank of New-York на сумму более $320 тыс. В дальнейшем деятельность компьютерных преступников стала еще более изощренной и мас-штабной.
Из всего числа зарегистрированных и проанализированных компьютерных преступлений против банков в России 52% было связано с хищением денежных средств, 16% – с разрушением и уничтожением программного обеспечения компьютерной техники, 12% – с преднамеренным искажением исходных данных, 10% – с хищением информации и программ. По оценкам экс-пертов, основным источником информационных угроз для банков России в начале XXI в. будет обслуживающий (в том числе и бывший) персонал (от 40 до 90% случаев), а основными видами угроз – несанкционированный доступ и вирусы (считается, что практически все банки, без ис-ключения, будут подвергаться вирусным атакам).
Но информационные угрозы АБС связаны не только с умышленными компьютерными преступлениями. Так, ежегодные потери американской экономики из-за ошибок в компьютерных программах составляют около $60 млрд. По многолетней статистике американской иссле-довательской фирмы FIND/SVP, отказ компьютера, используемого в банке, наносит ущерб в среднем в размере $263 тыс. В Великобритании ущерб от одного отказа, составляет в среднем $166 тыс. Итак, современный банковский бизнес неизбежно связан с огромными информационными рисками. Одной из форм защиты банковского бизнеса от информационных рисков является страхование.
На Западе издавна страхуются почти любые риски. По оценкам экспертов, в развитых странах Запада страхованием охвачено примерно 90-95% всех возможных рисков, в России по-ка – 5-7%. В США, например в 1994 г. совокупная страховая премия составила огромную сум-му, эквивалентную 11,4% ВНП.
Банковское страхование на Западе не просто широко распространено, а фактически явля-ется обязательным при ведении банковской деятельности. Банки сталкиваются со многими ви-дами рисков, далеко не только информационными, и страховое покрытие возможного ущерба обычно выдвигается как одно из стандартных условий при открытии международных банковских кредитных линий или установлении корреспондентских отношений.
Страхование информационных банковских рисков Хотя перечень страховых услуг превышает 3 тыс. позиций, страхование информационных рисков возникло на Западе совсем недавно, в самом конце XX в. В связи со сложностью и спе-цификой страхования им занимаются весьма немногие страховщики. При страховании информационных рисков приходится решать множество новых проблем, таких, например, как оценка стоимости страхуемых информационных ресурсов или оценка раз-меров ущерба при наступлении страхового случая (скажем, копирования информации). При этом следует отметить, что в мировой практике пока не создано эффективных методик объек-тивной оценки стоимости информации, хотя понятно, что информационные ресурсы в АБС сто-ят многие миллионы долларов (а иногда и миллиарды) – и, значит, в договорах должна быть указана соответствующая, страховая сумма. Технология такого страхования – предмет поисков и дискуссий. Нам представляется вполне логичным при страховании информационных рисков действовать по аналогии с традиционными принципами и методами страхования. Так, при оценке ущерба в страховании профессиональной ответственности, ущерб определяется соглас-но решению суда, устанавливающего размер имущественной ответственности специалиста или фирмы за причинение материального ущерба клиенту, моральный ущерб за счет страхователя не возмещается.
Сбой и остановка в работе компьютера по своей экономической сути близки простою обо-рудования. Напомним, что определение величины убытков при страховании от простоя сравни-ваются результаты производственной деятельности предприятия во время перерыва в произ-водстве с результатами, которые предприятие достигло бы, если бы этого перерыва не про-изошло. Возмещаемый убыток складывается из текущих расходов предприятия по продолже-нию своей деятельности в период перерыва в производстве и потерь прибыли от хозяйственной деятельности предприятия.
Хорошо отработаны методы имущественного страхования. При страховании имущества возмещаются не только прямые убытки, т.е. убытки, связанные с гибелью или повреждением имущества. Косвенные убытки и ущерб, причиненный третьим лицам, в рамках договоров имущественного страхования, как правило, не подлежат возмещению.
Объектами имущественного страхования могут стать:
- документированная информация;
- информационные ресурсы;
- информационные продукты;
- информационные системы, технологии, средства их обеспечения; программы для ЭВМ (операционные системы, системы автоматизации банковской дея-тельности и т.п.) и базы данных:
- средства защиты информации;
- объекты информатизации (совокупность информационных ресурсов, систем и средств об-работки информации, используемых в соответствии с заданной информационной технологией, средств обеспечения объекта информатизации).
Но конкретные условия страхования информационных рисков каждому страховщику при-ходится определять самостоятельно. До недавнего времени многие банки обходились широко распространенным в мировой практике "Генеральным банковским полисом" (Banker's Blanket Bond – BBB), предоставляю-щим общебанковское комплексное страхование. Обязательства по такому страхованию покры-вают:
- нелояльность персонала банка (иначе говоря, мошеннические действия сотрудников с це-лью получения личной выгоды);
- имущество, находящееся в помещениях банка;
- наличные деньги при транспортировке; убытки, понесенные банком при операциях по поддельным документам;
- убытки, понесенные банком при принятии валюты, которая впоследствии была признана фальшивой.
Таким образом, виды страхования, предлагаемого полисом "ВВВ", не покрывают значи-тельной части убытков от электронных и компьютерных преступлений и лишь ограниченно страхуют иные информационные риски. Но даже такой ограниченной возможности страхова-ния информационных рисков в рамках общебанковского страхования теперь часто не предос-тавляется. Ряд западных страховых компаний в 2001-2002 г. изменили стандартные условия бизнес-страхования, исключив из объекта такого общего страхования информационные риски. Не-сколько судебных решений также подтвердили, что страховые компании не должны возмещать по стандартным бизнес-полисам ущерб, вызванный искажением или утратой информации. Ве-дущий экономист Института страховой информации в Нью-Йорке Р. Хартвич в интервью жур-налу "Бизнес Уик" в январе 2002 г. так охарактеризовал новое положение дел: "Всем должно быть ясно, что возможные потери от сбоев и отказах в информационных системах, компьютер-ных вирусов, хищение информации не могут быть учтены в стандартных бизнес-полисах".
В США и Западной Европе информационное страхование стало предлагаться в качестве особого приложения к полису комплексного страхования финансовых институтов от преступ-лений с участием персонала и третьих лиц - полису ВВВ. Западные страховщики часто не идут на отдельное страхование информационных рисков, так как привязка к ВВВ повышает ответст-венность страхователя, заставляет его искать виновных в "проколах" компьютерных систем, более ответственно подходить к системам защиты. Новые полисы предлагаются как дополни-тельные к основному, они предоставляют возмещение в случаях потерь от компьютерных виру-сов, взлома информационной защиты и сбоев в информационном обеспечении, требуют страхо-вых взносов, составляющих от 2 до 8% страховой суммы. В случае продажи такого полиса страховая компания часто требует, чтобы была проведена проверка системы информационной безопасности покупателя, это обходится от $4,5 до $50 тыс.
Полисы, дополнительные к генеральному банковскому полису страхования, предоставля-ют также страховое покрытие ущерба от несанкционированного списания денежных средств с банковского счета путем вторжения в компьютерные сети банка, а также мошенничества и дру-гих преступных действий с кредитными карточками. Некоторые полисы страхования информационных рисков исключают из страхового по-крытия возможные потери от любых действий террористов, но есть и такие, которые обещают компенсацию в случае ущерба от деятельности "информационных террористов". Признается, что доказать, проник ли вирус в компьютер случайно или в результате умышленных действий террористов, чрезвычайно сложно. По данным журнала "Бизнес Уик", за 2001 г. продажа "до-полнительных полисов", предоставляющих целевое страхование информационных рисков, уд-воилась. К началу 2002 г. западными страховщиками выдано около 5 тыс. полисов страхования информационных рисков. По оценкам экспертов, объемы рынка страхования информационных рисков только в США составляют около $4 млрд. Приобретение полиса страхования от компьютерных преступлений не является обязатель-ным ни в США, ни в странах ЕС. Однако уже сейчас практически нет ни одного крупного евро-пейского или американского банка, не за
Самой крупной компанией, действующей на мировом рынке информационного страхова-ния, сегодня является американская AIG действующая примерно в 130 странах мира, на нее приходится примерно 70% этого рынка; к началу 2002 г. компания продала около полутора ты-сяч полисов страхования информационных рисков. С 2000 г. компания AIG продает полисы "Net Advantage", по которым предоставляется страхование от компьютерных вирусов и угроз информационной безопасности. Так как ставки страховых взносов зависят от используемого программного обеспечения и средств его защиты, компания AIG влияет на формирование стан-дартов безопасности "софта". Возможность определять, какие именно средства защиты инфор-мации наиболее предпочтительны – одно из конкурентных преимуществ, приобретаемых ком-панией – лидером страхования информационных рисков.
Так, компания AIG предлагает покупателям полисов "Net Advantage" 10-процентную скидку при использовании определенных средств защиты информации. Один из руководителей компании AIG говорит: "Мы изучаем существующие средства защиты информации и иное про-граммное обеспечение и рекомендуем страхователям те, которые уменьшают информационные риски". Кроме AIG, на мировом рынке страхования информационных рисков выделяются еще две компании Chubb (CB) и Zurich North America (ZFSVG), каждая из которых разработала и пред-лагает страхователям свои собственные полисы. Существуют также полисы Ллойда, по которым выделяются следующие объекты покрытия:
- несанкционированный вход в компьютерные системы банка;
- компьютерные системы банка от компьютерных вирусов;
- электронные данные и их носители;
- операции с ценными бумагами на электронных носителях;
- юридическая ответственность от получения по компьютерным сетям мошеннического по-ручения.
Минимальный лимит ответственности по этому полису составляет $5 млн., соответствен-но, страховые взносы начинаются с сотни тысяч долларов. Максимальный лимит ответственно-сти для очень крупных банков – $100 млн. В отличие от английского полиса Ллойда, его американская версия состоит фактически из одного параграфа, в котором содержится информация о том, что по данному полису покрыва-ются убытки страхователя, понесенные им в результате получения несанкционированного дос-тупа третьих лиц к его компьютерной системе с целью мошенничества.
Одной из особенностей страхования информационных рисков является "плотная" работа страховщика, страхователя, разработчика АБС, а также экспертов, определяющих величину по-терь, премий, стоимости страхуемой информации и сюрвейерских компаний, оценивающих со-стояние банковских систем безопасности. "
AIG" установила партнерские отношения с компанией "PIP Tech", предоставляющей средства защиты информации. Фирмам, страхующим информационные риски в компании "Zurich Financial Services Group", рекомендуется работать с ее партнером, компанией "Tru Secure", занимающейся информационной безопасностью. Lloyd's устанавливает гораздо более низкие ставки платежей для страхователей, приобретающих средства информационной защиты у фирмы "Counterpane's Schneier".
Страхование ответственности разработчиков АБС
Западные страховые компании предлагают также страхование ответственности разработ-чиков программного обеспечения, в том числе - разработчиков автоматизированных банков-ских систем. Покрытию подлежит ответственность разработчиков за потенциальный матери-альный или финансовый ущерб, который может быть нанесен в процессе эксплуатации клиен-тами их продукции. В соответствии с условиями западных страховщиков, страхование ответст-венности разработчиков программного обеспечения является одним из видов покрытий, пре-доставляемых в рамках страхования профессиональной ответственности (страхование ответст-венности за ошибки и упущения). Покрытию подлежат убытки страхователя, которые он несет в результате предъявления к нему претензий в результата ошибок, упущений или небрежных действий страхователя (в том числе, ошибок при программировании, при установке и обслужи-вании программного обеспечения) в процессе осуществления своей профессиональной дея-тельности. По полису страхования устанавливается общий лимит ответственности (например, $1 млн. в год), также могут быть установлены подлимиты по отдельным случаям (например, один убыток не может превышать $500 тыс.) Перенести западный опыт комплексного страхования информационных рисков банков, на наш взгляд, в существующем виде пока невозможно в связи с полной неготовностью к ком-плексному страхованию самих страховщиков, исключительной сложностью определения стра-ховых сумм, отсутствием накопленной репрезентативной информации по страховым случаям (количественным параметрам информационных рисков), отсутствием авторитетных экспертов и сюрвейерских компаний. Вместе с тем, следует отметить, что в России создана минимальная информационно-правовая база, необходимая для страхования информационных рисков, и первые шаги в этом направлении уже сделаны. Но пока страхование информационных рисков – практически сво-бодная ниша на российском рынке.
Потенциальный объем страхового поля информационных рисков оценивается в несколько миллиардов долларов, и существуют все предпосылки для занятия значительной части этого поля российскими страховщиками. Более того, специфика страхования информационных рис-ков в банковской деятельности такова, что и западные страховые компании не смогут работать без российских партнеров – разработчиков АБС, экспертов в области информационной безо-пасности, экспертов-оценщиков стоимости информационных ресурсов и ущерба и других структур, включая, разумеется, АРБ. Если западные страховщики, исходя из своего опыта, ско-рее всего, будут предлагать банкам комплексные страховые полисы, аналогичные полису ВВВ и достаточно дорогие, то российские страховщики смогут предложить гораздо более дешевые полисы по страхованию отдельных информационных рисков.
Формируя новый рынок страховых услуг, мы предлагаем пойти по пути сегментации страхового поля, поэтапного предложения услуг по страхованию различных видов информаци-онных рисков, причем основным критерием на первых порах должна стать простота внедрения отдельных видов страхования. Конкретные предложения по страхованию отдельных видов ин-формационных рисков могут быть подготовлены только с участием разработчиков АБС. По-видимому, у разработчиков АБС есть определенная информация о вероятности тех или иных технических сбоев и отказов, частоте непредумышленных ошибок персонала банков в обслу-живающей сети АБС, иных рисках технических неисправностей. Банку – покупателю (пользо-вателю) АБС может быть предложен – по его выбору – пакет страховых полисов того или иного вида, охватывающий больший или меньший состав информационных рисков.
Ставки страхования, например, возможного ущерба от неумышленных ошибок персонала банков, работающего с АБС, безусловно, будут находиться в зависимости от уровня подготовки этого персонала. И у банков, и у разработчиков АБС появятся дополнительные стимулы к по-вышению качества подготовки персонала.
Гораздо сложнее страхование рисков, связанных с предумышленными действиями персо-нала, хакеров и иных внешних для банка лиц, посягающих на его информационную безопас-ность. Стоимость страховки неизбежно будет зависеть от степени информационной защищен-ности банка, обеспечиваемой, в том числе, и сотрудничеством со структурами, специализи-рующимися на предотвращении преступлений со стороны персонала и их раскрытии. Уже под-готовительная работа к внедрению страхования такого рода рисков повысит степень защищен-ности и надежность работы АБС.
По некоторым видам информационных рисков банкам могут первоначально предлагаться чрезмерно высокие ставки страховых взносов, однако конкуренция заставит разработчиков снижать величину ожидаемого ущерба.
Что дает страхование информационных рисков разработчикам АБС?
- анализ страховых случаев подтолкнет к повышению информационной защищенности и, значит, качества АБС, что, в свою очередь, приведет к увеличению сбыта;
-
- возрастет объем рынка АБС в целом (за счет большей надежности для пользователей – банков) и объем рынка специальных средств защиты банковских информационных ресурсов (от качества таких средств защиты будут зависеть платежи по страхованию);
-
- финансовая ответственность разработчиков АБС перед банками будет делиться со страховыми компаниями.
Потенциальный выигрыш банков от страхования информационных рисков видится в следующем:
- работа по изучению информационных рисков, предшествующая их страхованию, неиз-бежно приведет к повышению информационной защищенности банков – благодаря новым раз-работкам производителей АБС, экспертов, самих банков;
-
- будет компенсирована часть финансовых потерь банков, связанных с неизбежными сбоями в функционировании АБС, ошибками персонала, несовершенством АБС;
-
- повысится эффективность функционирования АБС, возрастет доверие к банкам со стороны их партнеров;
-
- еще по одному параметру деятельность российских банков приблизится к мировым стандартам, что повышает их конкурентоспособность;
-
- страхование информационных рисков повышает информационную прозрачность банков.
При страховании информационных рисков чрезвычайно велика роль экспертов. Действи-тельно, и стоимость информационного ресурса, и возможный ущерб при его искажении оце-нить несопоставимо сложнее, чем, скажем, стоимость строения и ущерб от пожара. В мировой практике пока нет общепризнанных эффективных методик объективной оценки стоимости ин-формации, но для ряда частных случаев методики, устраивающие и страховщика, и страховате-ля, разработаны, в том числе – Финансовой Академией и Всесоюзным научно-исследовательским институтом проблем вычислительной техники и информации (ВНИИП-ВТИ). Во многих случаях страхователь и страховщик не смогут договориться напрямую, без посредника: так, страховщик, чтобы получить большую премию, объективно заинтересован в преувеличении ущерба, а страхователь – в его преуменьшении. Независимые эксперты в роли посредников – обязательные участники сделок по информационному страхованию. Существенно также и то, что эксперты получат доступ к информационным ресурсам и системам защиты пользователей.
Эксперты должны будут пройти соответствующую подготовку, сдать квалификационный экзамен. Фирмы, претендующие на роль экспертов, не могут работать без аккредитации, осу-ществляемой официальным органом, состоящим из представителей АРБ, Всероссийского стра-хового союза, представителей ведущих фирм – разработчиков АБС, научно-аналитических структур (типа ВНИИПВТИ).
Разрабатываются алгоритмы работы по страховым ситуациям. По мнению авторов, насту-пление страхового случая должно подтверждаться независимыми экспертами, а размер компен-сации – если не найдено иного решения – должен определяться в ходе состязательного процесса специальным арбитражем, также учрежденным совместно АРБ, ВСС, разработчиками АБС, исследовательско-аналитическими структурами.
Заключение
Возможные выгоды страхования информационных рисков пока плохо осознаются как банками, так и разработчиками АБС. Целесообразно было бы отработать несколько наиболее простых (с точки зрения учета интересов сторон) полисов страхования информационных бан-ковских рисков и дать им широкое освещение в СМИ, использовать как первый шаг в алгорит-ме "втягивания" банков в этот вид страхования. В качестве опытной площадки могли бы выступать коммерческие банки, разработчики АБС, ВНИИПВТИ – как аналитическая структура, занятая отработкой всего пакета документов по страхованию, НМЦ "Сатурн" - как консалтинговая, экспертная, оценочная компания, "Страховой Сервис" - совместно со страховыми компаниями как страховщик, ОКБ САПР - как разработчик системы защиты компьютерной информации, покупателю которой предоставляются страховые гарантии. Патронаж этой работы, осуществляемый АРБ, позволит решать многие проблемы быстрее и эффективнее.