Россия: Страховой бизнес со вкусом информационных технологий

В России, как, собственно, и во всей Восточной Европе, киберстрахование — сфера новая и непонятная. Уровень зрелости локального законодательства в сфере кибербезопасности оставляет желать лучшего. Именно это является одним из главных «стопов» для активной работы мировых лидеров этого вида страхования в России. Ведь при урегулировании страховых случаев нужно будет опираться на актуальную законодательную базу и судебную практику.

Законом о страховании в Российской Фередации установлено, что страховым случаем является событие, предусмотренное договором страхования или законом, с наступлением которого возникает обязанность страховщика произвести выплату компании, которая приобрела полис, или выгодоприобретателю, или иным третьим лицам.[1]

Важным элементом для определения объема ответственности являются условия договора, который заключается между сторонами. Именно он будет определять горизонты ответственности провайдера сетевой безопасности.

Необходимо отметить, что страхование кибербезопасности делится на два типа: для первого лица и для третьей стороны. Однако, некоторые страховщики предлагают полисы, которые сочетаю оба типа.

Полис кибербезопасности для первого лица.

Одним из самых важных пунктов страхования ответственности первых лиц являются уведомление о нарушениях безопасности и страховое покрытие ответных действий.

Они включает в себя расходы, понесенные в результате:

нарушения конфиденциальности или безопасности или появления негативного сообщения в средствах массовой информации.[2]
покрытие расходов на уведомление пострадавшей стороны или от имени стороны, за которую страхователь несет ответственность.
судебные издержки.
расходы на кредитный мониторинг.
расходы на проведение ИТ-экспертизы.
расходы на организацию call-центра.
расходы на рекламу и почтовые расходы.

Страховое покрытие также может включать в себя расходы на привлечение консультанта по связям с общественностью, с целью предотвращения нанесению вреда репутации компании.

Полис кибербезопасности для третьих лиц.

Одним из самых важных сторонних покрытий является ответственность за сохранение безопасности и конфиденциальности, которая включает в себя обязанность по защите претензий третьих сторон, ссылающихся на материальную ответственность, наступившую в результате:

нарушения безопасности или неприкосновенности частной жизни, включая неспособность защитить конфиденциальную информацию.[3]
несанкционированного доступа к компьютерной системе, содержащей личную информацию и персональные данные (регулируются согласно требованиям международных и европейских стандартов наподобие PCI DSS (Payment Card Industry Data Security Standart) или набирающего популярность GDPR (General Data Protection Regulation)).
неспособность защитить онлайн или офлайн информацию.
неудача в предотвращении DDOS атаки или передачи вредоносного кода для заражения компьютерной системы третьей стороны.
Неспосособность предотвратить нарушения прав интеллектуальной собственности.[4]

Отметим, что порой в полисах страхования сетевой безопасности исключается любое покрытие договорной ответственности или соглашения об освобождении от ответственности, а также соглашения о возмещении ущерба.

Среди множества проблем вопроса страхового покрытия исключений, связанных с неспособностью застрахованного обеспечить безопасность своей сети или компьютерной системы в соответствии с отраслевыми стандартами или правилами, а также отсутствие страхового покрытия для незашифрованных мобильных устройств. Эти виды исключений фактически сводят на нет цель киберстрахования.

В соответствии с противоправными действиями, которые входят в область покрытия, некоторые полисы включают в себя покрытие убытков, ставших результатом «непреднамеренного нарушения договора», имеющего отношение к технологическим услугами, предоставляемыми другим за определенную плату. К примеру:

если услуги не соответствуют письменным требованиям или стандартам;
если действия по оказанию услуг были выполнены небрежно или с использованием бракованного материала;
не соответствовали законодательным и нормативным требованиям или применимым стандартам;
не было предоставлено никаких гарантий или заявлений о том, что эти услуги не нарушают права интеллектуальной собственности[5] других лиц;
если действия по оказанию услуг привели к нарушению соглашения об эксклюзивности или конфиденциальности.

Но иногда в страховых полисах определение «застрахованного лица» автоматически включает в себя других застрахованных лиц, таких как агенты или независимые подрядчики, действующие от имени застрахованного. Таким образом, страховой полис может включать, в качестве застрахованного, любое физическое или юридическое лицо, которому провайдер сетевой безопасности обязуется в соответствии с письменным договором предоставить страховое покрытие.

Однако, даже если гражданская ответственность клиента в соответствии с заключенным договором были принята его провайдером сетевой безопасности, страховая компания, в свою очередь, не будет оплачивать счета за нарушение безопасности информации, не проведя прежде расследования относительно ответственности застрахованного за инцидент и не проверив обоснованности этих расходов.

Мы же, с учетом вышеизложенного, хотим дать Вам свои рекомендации, чтобы максимально обезопасить Ваши права и интересы, а именно:

придерживаться положений подраздела 2 («общие положения о договоре») части первой Гражданского кодекса Российской Федерации[6] и главы 48 второй части Гражданского кодекса Российской Федерации[7]
при намерении заключить договор следует уточнить наиболее важные моменты, связанные с его оформлением, подписанием и исполнением. Предусмотрите все главные вопросы предстоящего сотрудничества.
Проект договора желательно разработать самостоятельно, а не получать проект от контрагента. При составлении формулировок условий договора лучше всего привлечь специалистом соответствующего профиля.
Проверьте своего контрагента. Необходимо убедиться, что организация, с которой Вы собираетесь сотрудничать существует и осуществляет свою деятельность на законных основаниях. Для этого следует ознакомиться с ее учредительными документами и свидетельством о регистрации.[8] Рекомендуем обратить внимание на то, кто является учредителями, сформирован ли и в какой сумме уставной капитал, где располагается офис (а не только юридический адрес), в каком банке обслуживается организация, ее финансовое положение и репутация.
В момент переговоров по договору и его подписания убедитесь, что представитель контрагента имеет юридическое право и полномочия на подписание документа. (Существует практика, когда некоторые контрагенты, не желая соблюдать свои обязанности по договору и нести ответственность, объявляют о том, что лицо, подписавшее договор, соответствующих полномочий не имело). Если представителем контрагента выступает директор организации,- ознакомьтесь с приказом о его назначении и/или протоколом собрания учредителей организации. В ситуации, если представитель действует по доверенности[9],- обратите внимание на предоставленный объем полномочий и имеет ли доверенность все обязательные реквизиты, а именно: подпись доверителя, печать, дата, срок действия.
В договоре значение имеет каждое слово. При формулировании условий договора, нельзя допускать двусмысленность и нечеткости фраз. Важно иметь в виду, что в случае спора по условиям исполнения договора контрагент будет пытаться любую неточную формулировку в договоре интерпретировать в свою пользу. Более того, ваш контрагент может специально включить в договор неясные (но хорошо понятные ему самому) формулировки и положения, в которых ваши интересы могут быть ущемлены.
При формулировании условий об обстоятельствах, освобождающих от ответственности (так называемых «форс мажорных оговорок»), следует учитывать последствия той или иной формулировки, что может привести к снижению или повышению имущественной ответственности стороны договора.
Обратите особое внимание на вопросы ответственности, которые касаются авторский прав и прав на интеллектуальную собственность[10], конфиденциальную и персональную информацию (данные). Так как, если по договору, ответственность за такие нарушения будет положена на Вас,- ваша ответственность будет выходить за рамки договора, в соответствии с законодательством Российской Федерации и международных и европейских стандартов.

Мы настоятельно рекомендуем Вам перед подписанием договора привлекать компетентного и независимого специалиста соответствующего профиля (юриста).

Помните, именно от условий подписанного договора будет зависеть объем Вашей ответственности.

[1] Закон РФ от 27.11.1992 N 4015-1 (ред. от 28.11.2018) «Об организации страхового дела в Российской Федерации» [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_1307/9446fe3d61daf193e7cc8c8f4ab465fe482a1563/]

[2] Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/]

Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_34661/]

[3] Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/]

[4] Гражданский кодекс Российской Федерации (часть четвертая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/]

[5] Гражданский кодекс Российской Федерации (часть четвертая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/]

[6] Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=329339&fld=134&dst=101982,0&rnd=0.08242746869322914#08366781539396457]

[7]Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&ts=2111450823040580104791709704&cacheid=817F09744A128EBE22368D4C613C3422&mode=splus&base=LAW&n=300853&dst=101979&rnd=46D9EFA5026832744A27AF950E65A0A7#2560r0j7qw8]

[8] Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_5142/f11a61a64fa641d0caa90223bed69aeaf7240cbc/]

[9] Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_5142/deb1e7bbc3371002688161fcfd76eafcd9c94c99/]

[10] Гражданский кодекс Российской Федерации (часть четвертая)» от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/]

Next text

Споры и дискуссии по поводу ответственности провайдера сетевой безопасности ведутся уже не первый год. В американской и европейской практике активно обсуждаются наиболее резонансные прецеденты, когда суды при урегулировании убытков становились на сторону страховой компании, тем самым вызывая недовольство своих клиентов, которые рассчитывали на полное покрытие своих убытков. Говорить о таких разбирательствах в российском правовом поле еще рано. В России, как, собственно, и во всей Восточной Европе, киберстрахование — сфера новая и непонятная. Уровень зрелости локального законодательства в сфере кибербезопасности оставляет желать лучшего. Именно это является одним из главных «стопов» для активной работы мировых лидеров этого вида страхования в России. Ведь при урегулировании страховых случаев нужно будет опираться на актуальную законодательную базу и судебную практику. Законом о страховании в Российской Фередации установлено, что страховым случаем является событие, предусмотренное договором страхования или законом, с наступлением которого возникает обязанность страховщика произвести выплату компании, которая приобрела полис, или выгодоприобретателю, или иным третьим лицам.[1] Важным элементом для определения объема ответственности являются условия договора, который заключается между сторонами. Именно он будет определять горизонты ответственности провайдера сетевой безопасности. Необходимо отметить, что страхование кибербезопасности делится на два типа: для первого лица и для третьей стороны. Однако, некоторые страховщики предлагают полисы, которые сочетаю оба типа.

Полис кибербезопасности для первого лица.

Одним из самых важных пунктов страхования ответственности первых лиц являются уведомление о нарушениях безопасности и страховое покрытие ответных действий. Они включает в себя расходы, понесенные в результате:

нарушения конфиденциальности или безопасности или появления негативного сообщения в средствах массовой информации.[2]
покрытие расходов на уведомление пострадавшей стороны или от имени стороны, за которую страхователь несет ответственность.
судебные издержки.
расходы на кредитный мониторинг.
расходы на проведение ИТ-экспертизы.
расходы на организацию call-центра.
расходы на рекламу и почтовые расходы.

Полис кибербезопасности для третьих лиц.

нарушения безопасности или неприкосновенности частной жизни, включая неспособность защитить конфиденциальную информацию.[3]
несанкционированного доступа к компьютерной системе, содержащей личную информацию и персональные данные (регулируются согласно требованиям международных и европейских стандартов наподобие PCI DSS (Payment Card Industry Data Security Standart) или набирающего популярность GDPR (General Data Protection Regulation)).
неспособность защитить онлайн или офлайн информацию.
неудача в предотвращении DDOS атаки или передачи вредоносного кода для заражения компьютерной системы третьей стороны.
Неспосособность предотвратить нарушения прав интеллектуальной собственности.[4]

Провайдеру сетевой безопасности важно определить покрывает ли страховой полис договорную ответственность за ущерб, причиненный в результате некоторых противоправных действий, таких как противоправное использование мультимедиа, нарушение безопасности или нарушение конфиденциальности, оформив его в форме письменного соглашения об освобождении от ответственности или соглашения о возмещении убытков. Подобное покрытие поможет обеспечить страховое возмещение страхового обязательства в договоре на обслуживание с третьей стороной и обеспечить покрытие прямой ответственности для третьей стороны. Отметим, что порой в полисах страхования сетевой безопасности исключается любое покрытие договорной ответственности или соглашения об освобождении от ответственности, а также соглашения о возмещении ущерба. Среди множества проблем вопроса страхового покрытия исключений, связанных с неспособностью застрахованного обеспечить безопасность своей сети или компьютерной системы в соответствии с отраслевыми стандартами или правилами, а также отсутствие страхового покрытия для незашифрованных мобильных устройств. Эти виды исключений фактически сводят на нет цель киберстрахования. В соответствии с противоправными действиями, которые входят в область покрытия, некоторые полисы включают в себя покрытие убытков, ставших результатом «непреднамеренного нарушения договора», имеющего отношение к технологическим услугами, предоставляемыми другим за определенную плату. К примеру:

если услуги не соответствуют письменным требованиям или стандартам;
если действия по оказанию услуг были выполнены небрежно или с использованием бракованного материала;
не соответствовали законодательным и нормативным требованиям или применимым стандартам;
не было предоставлено никаких гарантий или заявлений о том, что эти услуги не нарушают права интеллектуальной собственности[5] других лиц;
если действия по оказанию услуг привели к нарушению соглашения об эксклюзивности или конфиденциальности.

Возвращаясь к понятию соглашения о возмещении ущерба, стоит обратить внимание это не страхование. Страхование — это отдельное соглашение, не регулируемое другими договорами, поскольку соглашение о возмещении ущерба и страховой полис выполняют отдельные и независимые друг от друга обязанности. То есть, страховщик не связан договором, заключенным между клиентом и его клиентом, если только получатель возмещения не определен и не добавлен в качестве еще одного застрахованного лица в страховой полис. Но иногда в страховых полисах определение «застрахованного лица» автоматически включает в себя других застрахованных лиц, таких как агенты или независимые подрядчики, действующие от имени застрахованного. Таким образом, страховой полис может включать, в качестве застрахованного, любое физическое или юридическое лицо, которому провайдер сетевой безопасности обязуется в соответствии с письменным договором предоставить страховое покрытие. Однако, даже если гражданская ответственность клиента в соответствии с заключенным договором были принята его провайдером сетевой безопасности, страховая компания, в свою очередь, не будет оплачивать счета за нарушение безопасности информации, не проведя прежде расследования относительно ответственности застрахованного за инцидент и не проверив обоснованности этих расходов. Мы же, с учетом вышеизложенного, хотим дать Вам свои рекомендации, чтобы максимально обезопасить Ваши права и интересы, а именно:

придерживаться положений подраздела 2 («общие положения о договоре») части первой Гражданского кодекса Российской Федерации[6] и главы 48 второй части Гражданского кодекса Российской Федерации[7]
при намерении заключить договор следует уточнить наиболее важные моменты, связанные с его оформлением, подписанием и исполнением. Предусмотрите все главные вопросы предстоящего сотрудничества.
Проект договора желательно разработать самостоятельно, а не получать проект от контрагента. При составлении формулировок условий договора лучше всего привлечь специалистом соответствующего профиля.
Проверьте своего контрагента. Необходимо убедиться, что организация, с которой Вы собираетесь сотрудничать существует и осуществляет свою деятельность на законных основаниях. Для этого следует ознакомиться с ее учредительными документами и свидетельством о регистрации.[8] Рекомендуем обратить внимание на то, кто является учредителями, сформирован ли и в какой сумме уставной капитал, где располагается офис (а не только юридический адрес), в каком банке обслуживается организация, ее финансовое положение и репутация.
В момент переговоров по договору и его подписания убедитесь, что представитель контрагента имеет юридическое право и полномочия на подписание документа. (Существует практика, когда некоторые контрагенты, не желая соблюдать свои обязанности по договору и нести ответственность, объявляют о том, что лицо, подписавшее договор, соответствующих полномочий не имело). Если представителем контрагента выступает директор организации,- ознакомьтесь с приказом о его назначении и/или протоколом собрания учредителей организации. В ситуации, если представитель действует по доверенности[9],- обратите внимание на предоставленный объем полномочий и имеет ли доверенность все обязательные реквизиты, а именно: подпись доверителя, печать, дата, срок действия.
В договоре значение имеет каждое слово. При формулировании условий договора, нельзя допускать двусмысленность и нечеткости фраз. Важно иметь в виду, что в случае спора по условиям исполнения договора контрагент будет пытаться любую неточную формулировку в договоре интерпретировать в свою пользу. Более того, ваш контрагент может специально включить в договор неясные (но хорошо понятные ему самому) формулировки и положения, в которых ваши интересы могут быть ущемлены.
При формулировании условий об обстоятельствах, освобождающих от ответственности (так называемых «форс мажорных оговорок»), следует учитывать последствия той или иной формулировки, что может привести к снижению или повышению имущественной ответственности стороны договора.
Обратите особое внимание на вопросы ответственности, которые касаются авторский прав и прав на интеллектуальную собственность[10], конфиденциальную и персональную информацию (данные). Так как, если по договору, ответственность за такие нарушения будет положена на Вас,- ваша ответственность будет выходить за рамки договора, в соответствии с законодательством Российской Федерации и международных и европейских стандартов.

Мы настоятельно рекомендуем Вам перед подписанием договора привлекать компетентного и независимого специалиста соответствующего профиля (юриста). Помните, именно от условий подписанного договора будет зависеть объем Вашей ответственности.

[1] Закон РФ от 27.11.1992 N 4015-1 (ред. от 28.11.2018) "Об организации страхового дела в Российской Федерации" [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_1307/9446fe3d61daf193e7cc8c8f4ab465fe482a1563/] [2] Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/] Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_34661/] [3] Уголовный кодекс Российской Федерации" от 13.06.1996 N 63-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_10699/] Кодекс Российской Федерации об административных правонарушениях" от 30.12.2001 N 195-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_34661/] [4] Гражданский кодекс Российской Федерации (часть четвертая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/] [5] Гражданский кодекс Российской Федерации (часть четвертая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/] [6] Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=329339&fld=134&dst=101982,0&rnd=0.08242746869322914#08366781539396457] [7]Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/cons/cgi/online.cgi?req=doc&ts=2111450823040580104791709704&cacheid=817F09744A128EBE22368D4C613C3422&mode=splus&base=LAW&n=300853&dst=101979&rnd=46D9EFA5026832744A27AF950E65A0A7#2560r0j7qw8] [8] Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_5142/f11a61a64fa641d0caa90223bed69aeaf7240cbc/] [9] Гражданский кодекс Российской Федерации (часть первая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_5142/deb1e7bbc3371002688161fcfd76eafcd9c94c99/] [10] Гражданский кодекс Российской Федерации (часть четвертая)" от 30.11.1994 N 51-ФЗ [Режим электронного доступа: http://www.consultant.ru/document/cons_doc_LAW_64629/]