20.02.2015

Страховка от хакеров

Интернет-портал banki.ru, февраль, 2015<br>
Статья с упоминанием "Антифрод-терминала" от компании "Аладдин Р.Д."

Страхование банковских рисков в онлайне пока не получило широкого распространения. Несмотря на это, данный сегмент бизнеса имеет все шансы на развитие: с ростом числа хакерских атак на счета клиентов банки станут предлагать страховки электронных рисков.

Дружная связка банкиров и страховщиков давно ломает голову — что предложить клиентам, чтобы и самим заработать, и страхователю было интересно. Да ещё чтобы это было свежим и нестандартным. Проводят конференции под лозунгом "Новые комиссионные продукты", выезжают на совместные завтраки и ужины, не говоря уже о многочасовых совещаниях. И всё равно ничего, кроме стандартного набора, как-то не получается. В последние годы были некоторые идеи в области страхования киберрисков, но они, как правило, заканчивались комплексным полисом BBB (Bankers Blanket Bond). А это очень дорого, хлопотно, а некоторым и вовсе непонятно. Да и речь в этом случае идёт о рисках самих банков, а хочется охватить именно их клиентов, хочется массовости. И "плодотворная дебютная идея" всё-таки дала свои плоды. Появился ещё один новый продукт, о котором расскажу ниже. Но сначала немного истории.

Мысль витала в воздухе достаточно давно. Первые упоминания о страховании электронных рисков я нашёл в 2000 году, причём такие продукты предлагали не только западные компании, но и российские. Страхование от потери доходов, возникающих из-за сбоев в Сети или атак хакеров, от кражи информации через Интернет и т.п. Но страховать хищение денежных средств со счетов физических и юридических лиц при работе через систему дистанционного банковского обслуживания (ДБО) было предложено только в 2011 году в "РОСНО" (сейчас — Allianz). Достаточно подробно об этом продукте написано здесь. Все было проработано очень тщательно — написаны правила, разработаны соответствующие документы, привлечен сюрвейер (компания Group-IB), учтены все нюансы и просчитаны любые варианты страховых случаев, — но как-то не пошло. Почему?

Насколько мне известно, всё упёрлось в требования по безопасности к страхователю. Хоть они и назывались "простыми и выполнимыми", но на деле было ясно: чтобы получить выплату, клиенту, по сути, лучше вообще не выходить в Интернет. К банку также предъявлялись повышенные требования, вплоть до полного пересмотра политики безопасности. Получался замкнутый круг. Ни о какой массовости не могло быть и речи. Что делать?

Поскольку такой продукт потенциально был интересен всем сторонам, его развитие продолжилось. Сначала, в 2013 году, он прорабатывался в СК "Арсеналъ". Затем, в 2014-м, серьёзно видоизменялся в "ИСК Евро-полис". В последней компании сначала переписали правила страхования: финансовые риски заменили имущественными, и формулировка зазвучала так: "Объектом страхования являются имущественные интересы страхователя, связанные с риском утраты безналичных денежных средств, размещённых на банковских счетах страхователя". Страхователями являются, кстати, только юридические лица, которые пользуются предоставленной банком услугой ДБО. Строгие требования по безопасности свели практически только к наличию актуального антивируса, так как в целом, если клиент выполняет условия договора с банком по ДБО, этого вполне достаточно для защиты его компьютеров и счетов. Продавцу банка (а банк в данном случае выступает как агент) упростили работу — сделали веб-интерфейс для онлайн-продаж: страховой сертификат формируется в электронном виде и отсылается страхователю на электронную почту после оплаты. В результате реальные продажи продукта стартовали в Локо-Банке.

Теперь подробнее остановлюсь на самом сложном. Что делать при страховом случае? В первую очередь страхователю. Куда звонить, что делать с компьютером сразу после того, как обнаружено несанкционированное списание денег? С компанией "Доктор Веб", лидером российского рынка интернет-сервисов безопасности для поставщиков IT-услуг, был разработан не имеющий аналогов алгоритм совместных действий экспертов, что вылилось в эксклюзивный сюрвейерский договор.

Он описывает массу нюансов, связанных с оперативным выездом экспертов и представителей страховой компании, а также снятием аутентичных копий с зараженных или взломанных носителей информации и дальнейших взаиморасчетов между всеми сторонами.

В заключение стоит сказать о том, что волнует многих, — об убыточности продукта. Прогноз: она практически стремится к нулю. По статистике Банка России, количество инцидентов в среднем всего 2 тыс. в месяц, и это при огромном количестве юридических лиц. А по данным компаний, занимающихся подобного рода расследованиями, суммы несанкционированно списанных средств обычно находятся в диапазоне между 300 тыс. и 1 млн рублей. Если украсть больше – будет слишком заметно, а меньше — не стоит вложенных усилий.

Есть ещё один способ полностью снизить потенциальные риски. При использовании клиентом "Антифрод-терминала" от компании "Аладдин-РД" (ведущий российский разработчик и поставщик средств аутентификации, продуктов и решений для обеспечения информационной безопасности и защиты конфиденциальных данных) условия страхования следующие: базовый страховой тариф уменьшается до 0,5%, а страховая сумма уже возможна любая. Устройство представляет собой защищённый смарт-картридер со встроенным монитором визуального контроля подписываемых документов и цифровой клавиатурой для безопасного ввода PIN-кода.

Думаю, у продукта, который на сегодняшний день пока не запущен массово (при его небольшой стоимости и микроскопической убыточности), всё-таки есть большое будущее. Главное, нужно реальное желание продавцов банков начать его продажи. Продукт-то комиссионный! Вникнуть в суть и понятно преподнести своим клиентам, объяснить его пользу. Ведь стоимость полиса при страховой сумме в 1 млн. рублей примерно 20 тыс. рублей в год. Для юридического лица это далеко не та сумма для экономии при нынешней растущей опасности кибератак на их банковские счета. А если включить его в банковский пакет по обслуживанию юрлиц, то проблем вообще не должно быть. Наверное, начать широкие продажи должен крупный банк с большим количеством клиентов. Тогда появятся и реальная практика, и реальная реклама.