"Организация продаж страховых продуктов", 2007, N 1

СТРАХОВАНИЕ ЭЛЕКТРОННЫХ РИСКОВ ФИНАНСОВЫХ ИНСТИТУТОВ

В условиях устойчивого роста, который российский фондовый рынок демонстрирует последние несколько лет, все более явной видится проблема повышения риска в деятельности профессиональных участников данного сегмента финансового рынка. Данный аспект представляется важным в свете утвержденной программы ФСФР по развитию российского финансового рынка, важными составляющими которой являются организация центрального депозитария и централизованной системы расчетов по ценным бумагам.

Электронные компьютерные системы, базирующиеся на информационных коммуникациях и терминалах, уже достаточно давно являются основой расчетной системой рынка, общего документооборота, сегмента услуг, позволяя эффективно организовывать бизнес-процессы, удаленный доступ для клиентов, процедуры расчетов, информационный мониторинг.

В этой связи для всех участников данного рынка - брокеров, инвестиционных фондов, финансовых консультантов, управляющих компаний, а также вспомогательных институтов (депозитариев, регистраторов) - в условиях тенденции к глобальной информатизации становится все более актуальной проблема управления электронными рисками, возникающими в процессе их деятельности.

Электронные риски, относимые к группе операционных рисков, связаны с целым пластом вероятных негативных проявлений в процессе осуществления деятельности субъектами фондового рынка, начиная со сбоев в работе компьютерного оборудования и программного обеспечения, ошибок при эксплуатации компьютеров, баз данных и заканчивая хакерскими атаками и действиями компьютерных вирусов. Центральное место в данном перечне в последние годы занимают убытки, связанные с манипулированием информацией, конфиденциальными данными в процессе эксплуатации электронных и компьютерных систем, и в первую очередь вероятные иски со стороны третьих лиц - клиентов, партнеров, контрагентов.

Сегодня западная страховая практика предлагает для финансовых институтов несколько вариантов страховых покрытий, в едином пакете позволяющих без существенных разрывов обеспечить эффективное управление указанными рисками в деятельности на финансовом рынке. К таким покрытиям можно отнести:

- страхование профессиональной ответственности (Professional indemnity, PI);

- страхование от электронных и компьютерных преступлений (Electronic & Computer crime policy, ECC);

- страхование информационных рисков (Cyber insurance coverage).

Страхование профессиональной ответственности

(Professional Indemnity)

Полис Professional indemnity покрывает убытки финансовых институтов в виде сумм, которые, по решению суда, должны быть выплачены ими по искам третьих лиц (клиентов, партнеров, контрагентов), понесших финансовые убытки вследствие небрежных действий, ошибок и упущений сотрудников компании в процессе исполнения ими своих профессиональных обязанностей. Покрываются как присужденные судом суммы иска и издержек истца, так и подтвержденные расходы страхователя по своей юридической защите, одобренные страховщиком.

В практике данное страховое покрытие также известно под наименованием страхования от ошибок и упущений (Errors & Omissions insurance), широко применяемого в финансовой сфере. В частности, такой полис, адаптированный в "Lloyd's" специально для фондовых брокеров (так и называющийся - Stock Brokers coverage) исходя из более комплексного состава рисков, связанных с ошибками и неосторожными действиями компании и ее сотрудников, расширен по дополнительным направлениям реализации риска путем использования следующих оговорок о покрытии ответственности за непреднамеренные ошибки и упущения, связанные:

- с клеветой и сведениями, порочащими репутацию третьих лиц, распространенными в письменной или устной форме;

- раскрытием конфиденциальной информации, нарушением авторских прав, использованием чужой торговой марки, патентов, разработок;

- нарушением обязанностей по доверительному управлению и связанному с ним раскрытию информации при условии, что финансовый институт действовал в рамках необходимой компетентности;

- нечестностью и злым умыслом сотрудников финансового института, направленными на получение материальной выгоды для себя или другой организации или причинение вреда третьему лицу.

Из покрытия в рамках полиса страхования профессиональной ответственности обычно исключается ответственность по договорам и контрактам, заключенным страхователем; ответственность за причинение вреда жизни, здоровью или имуществу третьих лиц; ответственность в связи с преднамеренным нарушением любого закона, постановления или инструкции, относящихся к профессиональной деятельности финансового института, а равно в связи с грубыми ошибками и неосторожностью; ответственность по претензиям государственных органов, учредителей и акционеров компании; штрафы, пени и неустойки; а также ответственность за ошибки и небрежности, непосредственно не связанные с профильной деятельностью финансового института.

По сути, полис страхования профессиональной ответственности является мощным инструментом страховой защиты финансового института от широкого перечня рисков, связанных с ошибками и небрежностями его сотрудников в ходе осуществления разнообразных видов деятельности, находящихся в компетенции компании.

Страхование от электронных и компьютерных преступлений

(Electronic & Computer Crime Insurance)

Данное страховое покрытие появилось в конце 70-х - начале 80-х годов прошлого века в ответ на резко увеличивающуюся глобальную информатизацию бизнес-процессов, в первую очередь в финансовой сфере. Первым в истории участником рынка, серьезно пострадавшим от компьютерных злоумышленников, стал в 1979 г. "Security Pacific Bank" (США), со счетов которого было похищено в общей сложности 10,2 млн долл. <1>.

     
   ————————————————————————————————
   

<1> Ляпунов Ю., Максимов В. Ответственность за компьютерные преступления // Право. 27 декабря 1996 г. С. 7.

Как уже говорилось, сегодня информационное обеспечение инфраструктуры финансового рынка и его профессиональных участников является чрезвычайно широким, а значит, подверженным повышенным рискам. Сюда входят компьютерные системы финансового института, обеспечивающие документооборот, выполнение, регистрацию и контроль разнообразных операций в реальном времени, электронные системы связи, платежей и расчетов с клиентами и контрагентами. Соответственно, увеличивается и рисковость по отношению к неправомерному использованию этих механизмов. Так, по данным опроса, проведенного "Ernst & Young" еще в 2002 г. среди 100 российских компаний (включая финансовые институты), 61% респондентов хотя бы раз сталкивался с нарушением компьютерной безопасности, 3% прецедентов были связаны с финансовым мошенничеством, 43% - с вирусными атаками, 7% - с хищением и нарушением целостности данных. По данным ФБР, если ранее около 80% компьютерных преступлений инициировались внутри компании, то сегодня уже 81% фигурирует в графе "Внешние источники вторжения" <2>.

     
   ————————————————————————————————
   

<2> Computer Crime and Security Survey 2003 Results. CSI Press Release, 2004.

Внешний аспект воздействия здесь является определяющим, так как все внутренние криминальные манипуляции с электронными системами, осуществленные самолично или при участии сотрудников финансового института, покрываются еще одним стандартным для западной практики полисом - полисом комплексного страхования криминальных рисков (Financial Institution Bond), основной составляющей которого является оговорка о покрытии любых убытков, имевших место вследствие нелояльных, нечестных, злонамеренных действий собственного персонала компании-страхователя.

Страховое покрытие, разработанное для обеспечения страховой защиты финансовых институтов в области внешних электронных вторжений, получило название страхования от электронных и компьютерных преступлений (Electronic & Computer Crime Policy, ECC). В настоящее время данный полис является основным дополнением к вышеназванному полису Financial Institution Bond (Bankers Blanket Bond) и уже около 15 лет практически не распространяется отдельно.

Предлагаемое в рамках английской версии полиса ЕСС покрытие включает 10 основных разделов, связанных с различными аспектами компьютерных преступлений:

1. Компьютерные системы (Computer Systems). По данному разделу покрываются убытки финансового института, понесенные им в результате несанкционированного проникновения (взлома) третьих лиц в его компьютерные системы, когда компания в итоге осуществила против своей воли какие-либо операции, включая оплату и перевод средств.

2. Деятельность сервисной (процессинговой) компании (Assured's Service Bureau Operations). Обеспечивается возмещение сумм, которые страхователь должен выплатить в связи с юридической ответственностью за деятельность своей сервисной (вычислительной) компании или отдела перед клиентами финансового института в случае прямого несанкционированного ввода в их компьютерные системы электронных данных или порчи хранящихся и использующихся там электронных данных с целью мошенничества. Страховой случай имеет место, если такие мошеннические действия осуществлялись с компьютеров сервисной (процессинговой) компании финансового института и в результате клиент перевел, оплатил или поставил какие-либо средства или собственность, открыл кредит, оплатил счет или осуществил любой другой вид выплат и, соответственно, понес убыток.

3. Компьютерные команды и программы (Electronic Computer Instructions). Компании возмещается убыток в случае, если она перевела, оплатила или поставила какие-либо средства или собственность, открыла кредит, оплатила счет или осуществила любой другой вид выплат в результате введения в ее компьютерную систему мошеннически подготовленных или модифицированных (взломанных) компьютерных программ, используемых для обработки электронных данных, с целью мошенничества.

4. Электронные данные и их носители (Electronic Data Media). По данному разделу страхуются электронные данные и носители, на которых они хранятся (дискеты, диски, магнитные ленты, жесткие диски) и которые являются собственностью финансового института или за которые он несет юридическую ответственность в случае потери или повреждения.

5. Компьютерные вирусы (Computer Virus). Данный раздел покрытия предполагает возмещение убытков, понесенных финансовыми институтами в результате внедрения в их системы третьими лицами компьютерных вирусов. Покрываемый ущерб связан с выполнением компанией операций по переводу, оплате средств в результате работы вируса, а также с порчей и потерей электронных данных по аналогичной причине. Практическая реализация сходного убытка произошла в 2000 г. в Миллеровском отделении Сбербанка Ростовской области, где некий злоумышленник ввел в компьютерную систему банка программу-вирус типа "троянский конь". В результате ее действия в ряде филиалов банка были созданы 23 фальшивых счета, на которые было перечислено 885 тыс. руб. <3>.

     
   ————————————————————————————————
   

<3> Гамза В., Ткачук И. Безопасность коммерческого банка. М.: Издатель Шумилова И.И., 2000. С. 147.

6. Электронная связь (Electronic Communications). Раздел покрывает убытки, связанные с используемыми финансовым институтом системами электронной связи. Страхователю компенсируются убытки в случае, если он перевел, оплатил или поставил какие-либо средства или собственность, открыл кредит, оплатил счета или осуществил любую другую выплату на основании мошеннического поручения, полученного через такую систему связи.

7. Электронные переводы (Electronic Transmissions). Разделом покрывается юридическая ответственность финансового института за убытки, понесенные в результате мошеннического перевода денежных средств его клиентами на основании мошеннического поручения, полученного якобы от данного финансового института, или преступно модифицированного поручения.

8. Ценные бумаги на электронных носителях (Electronic Securities). В рамках данного раздела покрытия страховщики компенсируют финансовому институту убытки в случае, если его депозитарий, его соответствующий отдел или компания со сходными функциями (например, регистратор) осуществили операции с ценными бумагами на электронных носителях на счетах на основании мошеннического поручения, полученного якобы от данной компании, или преступно модифицированного поручения.

9. Подделка факсимильных сообщений (Forged Telefacsimile). Раздел предоставляет покрытие убытков финансового института в связи с осуществлением перевода денег и иных операций по движению средств и прав по поддельным факсимильным сообщениям - инструкциям, полученным якобы от имени клиента, филиала, представительства страхователя или другой финансовой организации - контрагента.

10. Перевод средств по телефонным инструкциям (Voice Initiated Transfers). Финансовому институту в порядке, аналогичном предыдущему, возмещаются убытки, понесенные им вследствие мошеннических телефонных инструкций, данных якобы клиентом или контрагентом.

К основным исключениям полиса ЕСС относятся: косвенные убытки, понесенные финансовым институтом в результате наступления страхового случая, так же как и последующие убытки любого рода; ущерб, нанесенный компании из-за получения третьими лицами доступа к конфиденциальной информации (информации о сделках, компьютерных программах или сведениям о клиентах); убытки, связанные с неисправностями электронных систем и компьютеров и ошибками персонала при их эксплуатации; убытки, понесенные страхователем в результате приобретения у продавца или консультанта некачественных компьютерных программ; убытки от воздействия вирусов, когда они приводят к сбою всех компьютерных систем финансового института и вынужденным приостановкам операций, а равно убытки от внедрения вирусов из систем страхователя в системы клиентов и контрагентов.

Страхование информационных рисков

(Cyber Risks Insurance)

Под данным страховым направлением традиционно понимается совокупность страховых покрытий, обеспечивающих экономическому субъекту (в нашем случае - финансовому институту) компенсацию убытков, связанных с рисками информационных технологий, и конкретно с их составными элементами - компьютерными системами, системами связи, электронными данными и их носителями, программным обеспечением и процессами их использования в экономической деятельности. Часть указанных рисков покрывается стандартными полисами страхования, такими как страхование электронного оборудования (Electronic Equipment insurance), страхование от электронных и компьютерных преступлений (Electronic & Computer Crime insurance), страхование профессиональной ответственности (Professional indemnity). Однако разнообразие убытков в информационной сфере и все более важная роль, которую играет последняя в деятельности финансовых компаний, привели к значительному расширению доступной страховой защиты.

Структура покрытия по полисам страхования информационных рисков (Cyber insurance) достаточно разнообразна, но в целом сводится к следующим рисковым направлениям:

1. Имущественное:

- манипулирование денежными средствами в электронном виде третьими лицами или собственными сотрудниками;

- утрата, модификация и искажение электронных данных и информации в результате действий третьих лиц, сотрудников финансового института, вирусов;

- хищение и манипулирование электронными данными и информацией;

- повреждение и уничтожение электронного оборудования и носителей данных;

- сбои в работе информационных систем в результате повреждения или уничтожения оборудования либо электронных данных (взлом систем, ошибки в эксплуатации), а также связанные с ними перерывы в коммерческой деятельности;

- дополнительные расходы по расследованию страхового случая, по снижению суммы ущерба, по защите репутации пострадавшей компании.

2. Ответственность:

- за ошибки и упущения;

- за нарушение авторских прав;

- за разглашение конфиденциальной информации, распространение ложной информации и клевету, а также за вмешательство в частную жизнь.

Комплексный полис страхования информационных рисков, позволяющий покрыть страхованием все перечисленные области риска, в наибольшей степени актуален для финансовых компаний, активно работающих в сфере сетевого обмена данными, использования интернет-банкинга и онлайн расчетных систем, интернет-торгов, электронных коммуникаций.

Тенденции развития

Средний уровень убыточности по направлениям страхования электронных и смежных с ними рисков на сегодняшнем этапе является приемлемым, в особенности по сравнению с динамикой убытков и соответственно стоимости страхования по таким видам, как классическое имущество, профессиональная ответственность, ответственность директоров и должностных лиц. В отношении последних прошедшая фаза "твердого" рынка оказала достаточно сильное воздействие, подняв средний уровень ставок премии на 50 - 200%. В сегменте страхования электронных рисков такого стремительного роста стоимости не произошло благодаря, во-первых, умеренной динамике убытков и, во-вторых, достаточной инновационности данных страховых покрытий, получивших активное распространение лишь с середины 90-х годов, когда при выводе на рынок страховщиками в их стоимость закладывались дополнительные и довольно значительные рисковые надбавки.

Однако такая ситуация не должна создавать иллюзий как у страховщиков, так и у их клиентов - финансовых институтов. Расширение электронной и информационной составляющих деятельности на финансовом рынке растет настолько стремительно, что цикличность развития страхового рынка может в обозримом будущем серьезно затронуть и этот сегмент. Определенные предпосылки к этому все чаще всплывают на рынке в последние годы начиная хотя бы с 2000 г., когда печально известный вирус "I love you" за несколько часов распространился на компьютеры более чем 45 млн пользователей в 20 странах, причинив в итоге агрегатный ущерб, по разным оценкам, на сумму более 8,75 млрд долл. <4>.

     
   ————————————————————————————————
   

<4> Computer Security-Related Insurance Issues.

Понимание важности этих тенденций активно распространяется и у целевой аудитории - среди финансовых институтов. Так, согласно результатам исследования "Global Information Security Survey", проведенного в 2003 г. компанией "Ernst & Young", 90% (в два раза больше, чем за два года до этого) из более чем 1400 опрошенных компаний финансово-промышленного сектора США определили важность проблем безопасности компьютерных и информационных систем как первоочередную, а 78% определили снижение соответствующего риска как основу управления собственными информационными источниками. При этом 33% опрошенных подтвердили частую неспособность адекватно реагировать на реализацию рисков в лице электронных и компьютерных преступлений или технических сбоев <5>.

     
   ————————————————————————————————
   

<5> Там же. Хочется надеяться, что, по крайней мере, за счет "вмененных" программ страхования профессиональных рисков финансовых институтов, разработанных ПАРТАД, НАУФОР, а также в рамках существующих и планируемых законодательных актов в нашей стране в направлении развития инфраструктуры финансового рынка в ближайшем будущем также будет создана достойная система страхования электронных и информационных рисков финансовых институтов. Д.В.Гармаш Директор департамента международного бизнеса ООО "РЕСО-Ре" Подписано в печать 10.01.2007 ————