В России обсуждают механизм обязательного страхования при утечках данных, чтобы жертвы киберинцидентов могли рассчитывать на компенсации
Изображение: Anna Tis (pexels)
Идея запустить страхование от утечек информации вновь вышла на передний план в российских обсуждениях, и на этот раз вопрос продвигается не только в рамках законотворчества, но и через предложения отраслевых союзов. Суть инициативы — создать работающий механизм, при котором граждане, чьи персональные сведения оказались в открытом доступе, смогут получать гарантированные выплаты.
Рост числа утечек в текущем году стал серьёзным поводом для пересмотра подходов. В Роскомнадзоре сообщили, что за первые восемь месяцев 2025 года зафиксировано 103 случая компрометации данных — это на 60% больше по сравнению с аналогичным периодом прошлого года. Несмотря на масштабы, реальных компенсаций добиваются единицы.
Ведомство указывает, что по искам выплаты получают лишь несколько десятков человек, при том что в зону риска попадают миллионы. Средняя сумма — до 5 тыс. рублей.
По словам представителей Всероссийского союза страховщиков, ссылающихся на документ, направленный в Совет Федерации на имя Артёма Шейкина, существующий подход не даёт пострадавшим возможности оперативно добиться возмещения. В документе уточняется: определить размер ущерба способен лишь суд, и это затягивает процесс. Именно поэтому предлагается ввести фиксированные компенсации, привязанные к степени чувствительности утекших данных.
Во Всероссийском союзе страховщиков уточнили, что разговор идёт о создании новой системы, в которой каждый оператор персональных данных обязан будет либо страховать свою ответственность, либо формировать специальный компенсационный фонд.
В случае нарушения Роскомнадзор мог бы фиксировать инциденты и определять круг затронутых лиц. В союзе добавили, что ведомство и сейчас собирает такую информацию, но зачастую граждане даже не догадываются, что их данные оказались в руках посторонних.
Дополнительный блок предложения касается уведомлений. В организации полагают, что важно своевременно сообщать гражданам о фактах утечки. Эту функцию можно возложить как на страховые организации, так и на Национальную страховую информационную систему. Последняя, напомнили в ВСС, входит в структуру Центробанка и обладает технической возможностью оповещать пользователей напрямую.
Как пояснили в союзе, подача заявления на выплату может быть реализована через портал «Госуслуги». Там уточнили, что обращение через официальный государственный сервис будет восприниматься гражданами с большей степенью доверия, чем уведомление от частного страховщика. Это особенно важно в условиях, когда мошенники регулярно рассылают фальшивые письма от имени разных структур, пытаясь выманить у людей данные карт и логины к сервисам.
Алина Ледяева, эксперт компании StopPhish, прокомментировала для CISOCLUB: «Обязательное страхование от утечек — это в первую очередь вопрос справедливости. Оно гарантирует получение компенсации и правовую защиту всем, чьи личные данные скомпрометированы. Средние выплаты в 5 тысяч рублей, которые нужно добиваться через суд, несоразмерны реальным рискам и ущербу.
Идея фиксированных и гарантированных выплат исключит необходимость доказывать размер ущерба в суде. Важно, чтобы компенсация зависела от того, насколько чувствительные данные утекли: одно дело — адрес, другое — банковская или медицинская информация.
Кроме выплат, ключевым моментом является своевременное оповещение. Гражданин должен узнать, что его данные скомпрометированы от официальной структуры. Передача этой функции через портал «Госуслуги» — отличное решение. Это повысит доверие и поможет людям быстрее принять меры: сменить пароли, заблокировать карты и защитить себя от мошенников, которые моментально активизируются после любой утечки».
Алексей Захаров, директор по технологическому консалтингу Axiom JDK: «Инициатива со страховыми выплатами логична, но страхование не заменяет базовую гигиену безопасности. Для ИСПДн и КИИ регулятор уже требует конкретные меры: ограничение программной среды, регистрацию событий безопасности и контроль целостности — именно они снижают вероятность утечки и размер ущерба, а ещё дают доказательную базу для расследований и страховщиков.
В наших внедрениях сертифицированной Java-платформы Axiom JDK Certified мы включаем политику безопасности, ограничения прав кода, верификацию JAR-подписей и др. Это закрывает ключевые требования ФСТЭК и упрощает комплаенс: оператору есть что показать РКН и страховой — не только факты инцидента, но и исполнение мер предотвращения»
Вадим Яценко, генеральный директор «Тантор Лабс»: «В обществе бытует мнение, что утечки персональных данных происходят из-за деятельности киберпреступников, которые получают несанкционированный доступ к данным. Однако, как показывает наш опыт, большинство утечек происходят внутри контура организаций, и часто это даже не следствие злого умысла, а халатность сотрудников, которые так или иначе имеют доступ к персональным данным.
Для исключения подобных инцидентов оборудование операторов должно не только включать средства защиты от внешнего проникновения, но и иметь барьеры во внутреннем контуре. Например, администратор баз данных управляет БД, но не имеет доступа к их реальному содержимому».
