КІБЕРСТРАХУВАННЯ ЯК ЗАСІБ ЗАБЕЗПЕЧЕННЯ ЕКОНОМІЧНОГО ПРАВОПОРЯДКУ В ІНФОРМАЦІЙНІЙ СФЕРІ
Розвиток світової економіки на основі активного використання інформаційно-комунікаційних технологій і систем, обумовлює глибоку цифрову трансформацію багатьох видів господарської діяльності. Разом із соціально-економічними результатами від цифрової трансформації, господарська діяльність піддається значним кіберризикам, спрямованим, перед усім, на дестабілізацію належного функціонування інформаційної інфраструктури національної економіки, окремих суб’єктів господарювання. За даними американської компанії McAfee та Центру стратегічних і міжнародних досліджень (CSIS), протягом 2020 року наслідки вчинення кіберзлочинів коштували світовій економіці понад трильйон доларів або 820 мільярдів євро, що склало понад один відсоток світового ВВП. Завдані у 2020 році збитки від кіберзагроз і кіберінцидентів є на 50 відсотків вищими, ніж у 2018 році [Кіберзлочинці у 2020 році завдали у світі збитків на трильйон доларів: дослідження. URL: https://www.dw.com/uk/kiberzlochyny-u-2020-rotsi-zavdaly-svitu-zbytkiv-na-trylion-dolariv-doslidzhennia/a-55857766]. Згідно з дослідженням оцінки якісних показників кіберризиків, проведеному у 2020 році міжнародною аудиторською компанією «Делойт», удосконалення методів, які застосовуються кіберзлочинцями та істотне збільшення обсягів транзакцій в Інтернеті, істотно ускладнює контроль за ризиками для інформаційної безпеки. Підтримання належного рівня безпеки вимагає інвестицій, які не завжди можливо виокремити у повному обсязі [Липов Д. Качественная оценка киберрисков. Исследование Делойт: URL: https://www2.deloitte.com/content/dam/Deloitte/ru/Documents/risk/russian/cyber-risk-quantification.pdf].
Існуючий стан господарського правопорядку в інформаційній сфері актуалізував перед державою та суб’єктами господарювання завдання з формування ефективного правового засобу протидії кіберризикам, запобігання прояву їх негативних наслідків. Таким правовим та економічним засобам, на думку дослідників проблем страхової діяльності є кіберстрахування.
Одні з перших спроб надання послуг з кіберстрахування, були здійснені в США у 2010 році [Leslie Scism. Insurers Creating a Consumer Ratings Service for Cybersecurity Industry. The Wall Street Journal. 2019. https://www.wsj.com/articles/insurers-creating-a-consumer-ratings-service-for-cybersecurity-industry-11553592600]. Однак, інтерес до поняття «кіберстрахування» з боку вчених-правників та економістів істотно збільшився разом з набранням 24.05.2016 року чинності Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) [Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних). URL: https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32016R0679], а також проявом негативних наслідків міжнародної хакерської атаки з використанням комп’ютерного віруса «Петя» у 2017 році [Розвиток кіберстрахування як сегменту глобального страхового ринку. URL: https://kon-insurance.mnau.edu.ua/files/work_2020/6.pdf].
Водночас, відсутність в Україні спеціального правового регулювання відносин з кіберстрахування, поширена практика включення до страхових полісів зі страхування майна, транспортних засобів окремих кіберризиків, зумовило виникнення ряду концептуальних проблем, які потребують наукового дослідження і законодавчого вирішення та закріплення.
Останніми роками різні аспекти проблематики кіберстрахування стали предметом дослідження багатьох вчених правників, економістів та фахівців з кібербезпеки.
Не зважаючи на значний інтерес до проблематики кіберстрахування у вітчизняній та зарубіжній науковій літературі, малодослідженими, або такими, які потребують додаткового наукового обґрунтування залишаються ряд проблем у цій сфері правового регулювання.
Закладаючи конституційні основи правопорядку у сфері господарювання, Господарський кодекс України (далі – ГК України) у частині першій статті 5 закріпив норму, відповідно до якої: «Правовий господарський порядок в Україні формується на основі оптимального поєднання ринкового саморегулювання економічних відносин суб'єктів господарювання та державного регулювання макроекономічних процесів, виходячи з конституційної вимоги відповідальності держави перед людиною за свою діяльність та визначення України як суверенної і незалежної, демократичної, соціальної, правової держави [Господарський кодекс України: Закон України від 16.01.2003 року № 436-IV URL: https://zakon.rada.gov.ua/laws/show/436-15].
Разом з глибокими процесами цифрової трансформації національної економіки, господарська діяльність в Україні, аналогічно до більшості держав Світу опинилась під значним негативним впливом кіберризиків та кіберзагроз.
За даними міжнародної аудиторської компанії «Делойт», керівники суб’єктів господарювання готові виділяти кошти на рішення подібних завдань, проте вимагають обґрунтування витрат чіткого розуміння того, які ризики будуть в результаті мінімізовані [Липов Д. Качественная оценка киберрисков. Исследование Делойт: URL: https://www2.deloitte.com/content/dam/Deloitte/ru/Documents/risk/russian/cyber-risk-quantification.pdf].
У зв’язку з цим, забезпечення інформаційної безпеки, визначене у частині першій статті 17 Конституції України основною функцією держави, справою всього українського народу набуло особливого значення для учасників відносин у сфері господарювання і господарського правопорядку загалом.
За даними «Дослідження глобальних тенденцій інформаційної безпеки за 2018 рік: основні висновки», опублікованого міжнародною аудиторською компанією «ПрайсвотерхаусКуперс» (далі – також PWC): «Не дивлячись на зростаючу обізнаність та публічний розголос подій та наслідків кібератак, багато компаній дотепер не підготовлені до реальної протидії загрозам. З 9500 топ менеджерів у 122 країнах світу, які були опитані в рамках згаданого дослідження, 44% відповіли, що у них відсутня цілісна стратегія забезпечення кібербезпеки. Ще 48% повідомили, що не мають програми навчання співробітників та підвищення їх обізнаності у питаннях захисту інформації, а 54% заявили, що у них не передбачена політика реагування на надзвичайні ситуації» [Посилення цифрового середовища проти кібер-загроз. Дослідження глобальних тенденцій інформаційної безпеки за 2018 рік: основні висновки. URL: https://www.pwc.com/ua/uk/survey/2018/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks-ukr.pdf ].
Одним із сучасних правових засобів протидії кіберризикам, який в останнє десятиліття активно застосовується у сфері господарювання є кіберстрахування.
У теорії страхового права та економічній теорії поняття «кіберстрахування» розглядається в різних аспектах: як метод управління економічними ризиками та захисту від кіберзагроз у сфері електронної комерції [Селіверстова Л. С., Трухан Д. А. Підходи до розвитку кіберстрахування як сегменту глобального страхового ринку. Економіка та держава. 2020. № 1. С. 25. DOI: 10.32702/2306-6806.2020.1.23]; як засіб відшкодування (покриття) збитків, завданих страхувальнику внаслідок прояву кіберінцидентів, кіберзлочинів та кібератак [Братюк В. П. Сутність кібер-злочинів та страховий захист від кібер-ризиків в Україні. Актуальні проблеми економіки. 2015. № 9. С. 422-423]; інструмент управління кіберризикам у цифровій економіці [Нагайчук Н., Третяк Н., Ткаленко О. Страхування в системі управління кібер-ризиками підприємства в умовах цифрової економіки. 2019, 98-99].
Не зважаючи на існування у науковій літературі відмінностей у підходах до розуміння сутності і призначення кіберстрахування, існуючі наукові погляди на це поняття збігаються у визначенні основних завдань господарської діяльності, які ним позначаються. Серед цих завдань у науковій літературі і актах правозастосування називаються захист від масштабних хакерських атак [Мамонова Г. Особливості страхування кібер-ризиків. Матеріали конференцій МЦНД. 2020. С. 91], протидія кіберризикам та кіберінцедентам, а також забезпечення відшкодування страхувальнику збитків завданих проявом вказаних факторів [Нагайчук Н., Третяк Н., Ткаленко О. Страхування в системі управління кібер-ризиками підприємства в умовах цифрової економіки. 2019, С. 101 – 102].
Аналіз цих завдань через призму визначеного у статті 1, Закону України «Про страхування» [Про страхування: Закон України від 07.03.1996 року № 85/96-ВР. URL: https://zakon.rada.gov.ua/laws/show/85/96-%D0%B2%D1%80] загального поняття «страхування» означає, що як вид діяльності кіберстрахування повинно перед усім бути спрямованим на захист від наслідків кіберризиків майнових інтересів страхувальників, як фізичних так, і юридичних осіб.
На цій основі поняття «кіберстрахування» можна визначити, як вид господарської діяльності, що здійснюється спеціальними суб’єктами господарювання (страховиками) на основі договору кіберстрахування з метою захисту інтересів фізичних та/або юридичних осіб (власників інформаційно-комунікаційних технологій, систем, баз даних) від можливих або потенційних кіберризиків негативного прояву їх наслідків для страхувальника, чи третіх осіб.
У наведеному значенні кіберстрахування набуває властивостей особливого засобу забезпечення господарського правопорядку в інформаційній сфері, нерозривно пов’язаного із забезпеченням кібербезпеки держави, суспільства, суб’єктів господарювання та людини.
Для України, як загального суб’єкта забезпечення господарського правопорядку, зобов’язання з легалізації механізму кіберстрахування випливають з положень статті 8 Конвенції № 108 «Про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних» [Конвенція про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних від 28.01.1981 р. № 108: https://zakon.rada.gov.ua/laws/show/994_326. (дата звернення: 15.06.2021 року)], ратифікованою Верховною Радою України 06.07.2010 року, Конвенції «Про кібер-злочинність» від 21.11.2001 року [Конвенція про кіберзлочинність від 21.11.2001 року. URL: https://zakon.rada.gov.ua/go/994_575] тощо.
За своєю сутністю зміст цих зобов’язань охоплює законодавче визначення вимог до страхувальників і страховиків у відносинах кіберстрахування, об’єкта кіберстрахування, критеріїв визначення кіберризиків, на які може спрямовуватися захист, вимог до здійснення відповідного виду страхування, тощо.
За загальним правилом, закріпленим у частині першій статті 5 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», якщо інше прямо не передбачено законом, обов’язок щодо забезпечення захисту інформації в інформаційно-телекомунікаційних системах покладається на їх власників, в порядку та на умовах, визначених у договорі, який укладаються ними із володільцями інформації [Про захист інформації в інформаційно-телекомунікаційних системах : Закон України від 05.07.1994 р. № 80/94-ВР. URL: https://zakon2.rada.gov.ua/laws/show/80/94-%D0%B2%D1%80].
Наведена норма має важливе значення для вирішення питання про визначення страхувальника за договором кіберстрахування, оскільки проводить чітку лінію розмежування обов’язків щодо захисту інформаційно-телекомунікаційних систем та інформації, яка в них обробляється чи зберігається між власниками таких систем і володільцями інформації.
Закладений в нормах Закону України «Про захист інформації в інформаційно-телекомунікаційних системах» підхід одержав свій розвиток в спеціальних нормах окремих законів, якими регулюються конкретні види правовідносин. Зокрема, це стосується володільців персональних даних, на яких Законом України «Про захист персональних даних» покладені обов’язки щодо створення належних умов для правомірної обробки і захисту персональних даних [Про захист персональних даних : Закон України від 01.06.2010 р. № 2297-VI. URL: https://zakon.rada.gov.ua/laws/show/2297-17].
Таким чином, для визначення учасників відносин у сфері господарювання, які можуть набувати статус страхувальника у відносинах кіберстрахування першочергове значення має виконання ними обов’язків власника інформаційної системи, бази даних або реєстру, чи функцій володільця інформації, на які спрямовується дія конкретних кіберризиків.
Як комплексний, інтегрований об’єкт права, що поєднує в собі поряд з інформацією також інформаційні ресурси, національну інформаційну інфраструктуру та суспільні відносини, які складаються у процесі створення, використання, обробки та оновлення [Заярний О. А. Інформаційна сфера як об'єкт адміністративно-правової охорони: деякі доктринальні та нормативні аспекти. Журнал східноєвропейського права. № 22. URL: http://easternlaw.com.ua/uk/osoblive-administrativne-pravo/zayarnij-o-a-informacijna-sfera-yak-obyekt-administrativno-pravovo%D1%97-oxoroni-deyaki-doktrinalni-ta-normativni-aspekti], інформаційна сфера охоплює діяльність пов’язану не лише зі створенням інформаційних об’єктів, але і для конкретних потреб. У зв’язку з цим, особливого значення набуває факт створення або використання інформаційних об’єктів, на які спрямовані кіберризики для здійснення господарської діяльності чи управління нею.
Відповідно, страхувальником за договором кіберстрахування у сфері господарювання може виступати суб’єкт господарювання або орган державної влади або місцевого самоврядування, наділений господарською компетенцією, який здійснює функцій власника інформаційної системи, а так само, як і обов’язки володільця інформації, що створюється, або використовується в цілях здійснення господарської діяльності, управління нею.
Істотний вплив на визначення як кола суб’єктів кіберстрахування, так і з’ясування його місця в системі засобів забезпечення господарського правопорядку відіграє об’єкт цього виду господарської діяльності.
Закон України «Про страхування», так само, як і правова доктрина пов’язують зміст цього елементу страхування з майновим інтересом страхувальника (об’єктом страхування).
«На нашу думку страховий інтерес – це потреба страхувальника (застрахованої особи, вигодонабувача, іншої третьої особи) у захисті своїх правомірних майнових інтересів, які є підставою для виникнення страхового правовідношення» [Пацурія Н. Б. Страховий інтерес: теоретичне обґрунтування та проблеми правового закріплення. Вісник Київського національного університету імені Тараса Шевченка. Юридичні науки. 2011. №88. С. 33].
Визначення поняття «майновий інтерес» як об’єкта страхування через правомірні потреби страхування має важливе правове і методологічне значення. Його сутність виявляється у встановленні причинно-наслідкових зв’язків між інтересами власників інформаційних систем, реєстрів, баз даних, володільців інформації та збитками, обумовленими настанням страхових випадків – проявом кіберризиків).
Похідний характер майнових інтересів страхувальників від змісту кіберризиків, що проявляються в наш час у сфері господарювання актуалізує перед юридичною наукою потребою у детальному аналіз останнього поняття з позицій призначення кіберстрахування у механізмі забезпечення господарського правопорядку.
У науковій літературі неодноразово зверталася увага на поширену в Україні та більшості держав Світу практику поєднання кіберзагроз з іншими ризиками при визначенні кола страхових випадків (кіберстрахування як інструмент управління підприємствами). Така практика зазнає критики з огляду на кілька факторів, зокрема: 1) Оцінку кіберзагроз як похідних ризиків від групи інших страхових випадків. 2) Спробу звуження можливих наслідків кіберризиків. 3) Не врахування широкої групи кіберзагроз, які традиційно залишаються поза страховими полісами та іншими страховими продуктами, які пропонуються на відповідному ринку фінансових послуг.
За своєю сутністю кіберризики пов'язані з використанням комп'ютерного обладнання та програмного забезпечення як у (локальних) мережах, так і у мережі Інтернет загалом; в розрахунково-платіжних системах, системах електронної торгівлі, промислових системах управління; а також ризики пов'язані з накопиченням, зберіганням і використанням особистих даних [Розвиток кіберстрахування як сегменту глобального страхового ринку. URL: https://kon-insurance.mnau.edu.ua/files/work_2020/6.pdf].
За такого підходу до розуміння сутності кіберризиків, на нашу думку, у значенні предмета кіберстрахування можуть розглядатися інформаційно-телекомунікаційні системи, технології, реєстри чи бази даних, а так само інформація, включаючи конфіденційну, що перебуває у володінні суб’єктів господарювання або органів, наділених господарською компетенцією щодо управління цими об’єктами.
Таке уточнення має важливе методологічне значення для формування механізму кіберстрахування. Воно виявляється у конкретизації предмета та об’єкта кіберстрахування, виключенні з відповідних категорій тих інформаційно-телекомунікаційних систем і технологій, які не використовуються у господарській діяльності, а відповідно не пов’язані з інтересами учасників відносин у сфері господарювання.
На сьогодні в нормах законодавства України відсутнє визначення поняття «кіберризик».
Закон України «Про основні засади забезпечення кібербезпеки України» для позначення негативних обставин, явищ та процесів, які проявляються в межах кіберпростору у статті 1 сформулював визначення поняття «кіберзагроза». Згідно з нормативним визначенням це поняття визначається як: «…Наявні та потенційно можливі явища і чинники, що створюють небезпеку життєво важливим національним інтересам України у кіберпросторі, справляють негативний вплив на стан кібербезпеки держави, кібербезпеку та кіберзахист її об’єктів».
Через категорію «загроза кібербезпеки» згаданий Закон України визначає поняття «кіберінцидент» під яким розуміється: «Подія або ряд несприятливих подій ненавмисного характеру (природного, технічного, технологічного, помилкового, у тому числі внаслідок дії людського фактора) та/або таких, що мають ознаки можливої (потенційної) кібератаки, які становлять загрозу безпеці систем електронних комунікацій, систем управління технологічними процесами, створюють імовірність порушення штатного режиму функціонування таких систем (у тому числі зриву та/або блокування роботи системи, та/або несанкціонованого управління її ресурсами), ставлять під загрозу безпеку (захищеність) електронних інформаційних ресурсів» [Про основні засади забезпечення кібербезпеки України: Закон України від 05.10.2017 року № 2163-VIII. URL: https://zakon.rada.gov.ua/go/2163-19].
Із системного тлумачення змісту наведених визначень слідує, що поняттям «кіберзагрози» охоплюються як умисні, так, і необережні дії чи бездіяльність, обставини природного і техногенного характеру, що проявляються у кіберпросторі внаслідок втручання в роботу інформаційно-телекомунікаційних систем, реєстрів, баз даних, блокування їх належного функціонування або доступу до них, чим фактично створюється небезпека для життєво важливих інтересів держави, суспільства, фізичних і юридичних осіб у кіберпросторі.
Тим самим, поняття «кіберзагроза» може розглядатися як видова категорія у відношенні до родового поняття «кіберризик». Адже, на відміну від кіберзагроз, кіберризики можуть виникати не лише внаслідок прояву кіберінцидентів, але і будь-яких інших обставин, факторів, процесів та явищ, настання яких у кіберпросторі може спричинити негативні наслідки для їх адресатів, а часто і усіх інших суб’єктів правовідносин, які реалізуються у відповідному сегменті кіберпростору.
На сьогоднішній день, в юридичній літературі не було сформовано єдиного підходу до класифікації кіберризиків.
У дослідженні глобальних тенденцій інформаційної безпеки на 2018 рік, проведеному міжнародною аудиторською компанією PWC: «керівники організацій, які використовують автоматизовані та роботизовані системи, відмітили усвідомлення значимості потенційних негативних наслідків кіберзагроз. У якості основного можливого результату кіберзагрози 40% учасників опитування у світі назвали порушення операційної діяльності, 39% - витік конфіденційних даних, 32% - завдання шкоди якості продукції, 29% - завдання фізичної шкоди майну та 22% - завдання шкоди людському життю [Посилення цифрового середовища проти кібер-загроз. Дослідження глобальних тенденцій інформаційної безпеки за 2018 рік: основні висновки. URL: https://www.pwc.com/ua/uk/survey/2018/pwc-2018-gsiss-strengthening-digital-society-against-cyber-shocks-ukr.pdF].
Згідно з іншим дослідженням уся система кіберризиків, які підпадають під кіберстрахування за сутнісними ознаками поділена на наступні види:
1) Втрата інформації або пошкодження інформаційно-комунікаційних систем. Цей ризик, зазвичай, проявляється при зламі пароля доступу або внаслідок DDoS-атаки.
2) Втрата вигоди в offline-страхуванні у зв’язку з незаконним втручанням в роботу комп’ютерних мереж.
3) Втрати від регрес-позовів власників даних при викраденні, розголошенні та використанні кіберзлочинцями їх персональних даних.
4) Кібервимагання через примушення до сплати (наприклад, шляхом SMS) за розблокування інформаційних систем або інформації. Цей вид ризику проявляється через блокування належної роботи комп’ютерних мереж внаслідок використання комп’ютерних вірусів.
5) Пошкодження програмного забезпечення або цілісності інформації [Розвиток кіберстрахування як сегменту глобального страхового ринку. URL: https://kon-insurance.mnau.edu.ua/files/work_2020/6.pdf].
Поряд з наведеною класифікацією, окремими дослідниками було запропоновано поділ кіберризиків (кіберзагроз) за іншими критеріями.
Згідно з цим підходом, виокремлюють наступні види кіберризиків:
1) ризик втрати інформації під час злому паролю доступу або внаслідок DDoS-атаки;
2) ризик фінансових втрат від фішінгових атак;
3) ризик фінансових втрат через порушення роботи комп’ютерних систем;
4) ризик фінансових втрат від кібершантажу або вірусного блокування комп’ютерних систем;
5) ризик фінансових втрат через викрадення та розголошення персональних даних та інформації [Страхування кіберризиків підприємств в умовах інтернету речей. URL: https://kon-insurance.mnau.edu.ua/files/work_2019/20.pdf].
Існування в інформаційній сфері широкої групи кіберризиків, які супроводжують процедури здійснення господарської діяльності та управління нею обумовлено характером протиправних дій чи бездіяльності, якими вони спричиняються, а також наслідками їх прояву для страхувальників.
Загальний підхід до визначення видів протиправних діянь, які можуть спричинити негативні наслідків для власників інформаційних систем та володільців інформації закладений у статті 1 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах». Згідно з цим Законом до протиправних дій, що можуть викликати негативні наслідки для власників інформаційно-телекомунікаційних систем та володільців інформації належать:
1) Блокування інформації в системі - дії, внаслідок яких унеможливлюється доступ до інформації в системі.
2) Виток інформації - результат дій, внаслідок яких інформація в системі стає відомою чи доступною фізичним та/або юридичним особам, що не мають права доступу до неї.
3) Знищення інформації в системі - дії, внаслідок яких інформація в системі зникає.
4) Несанкціоновані дії щодо інформації в системі - дії, що провадяться з порушенням порядку доступу до цієї інформації, установленого відповідно до законодавства.
5) Порушення цілісності інформації в системі - несанкціоновані дії щодо інформації в системі, внаслідок яких змінюється її вміст [Про захист інформації в інформаційно-телекомунікаційних системах: Закон України від 05.07.1994 р. № 80/94-ВР URL: https://zakon2.rada.gov.ua/laws/show/80/94-%D0%B2%D1%80].
На думку дослідників проблематики кіберстрахування: «Кіберризики реалізують внаслідок настання таких подій:
1) Нецільові атаки (фішинг, кардинг, sms-шахрайство);
2) Цільові атаки (фінансове шахрайство, розкрадання баз даних, промислове шпигунство, DDoS атаки, вимагання);
3) Атаки зсередини (розкрадання, знищення інформації, сприяння цільовій атаці)» [Страхування кіберризиків підприємств в умовах інтернету речей. URL: https://kon-insurance.mnau.edu.ua/files/work_2019/20.pdf].
Аналіз існуючих нормативних та доктринальних підходів до характеристики кіберризиків та протиправних діянь, які обумовлюють їх виникнення з позицій інтересів страхувальника дозволяє нам констатувати, що їх зміст не завжди охоплюється майновою сутністю, як це передбачено у статі 1 Закону України «Про страхування».
Це пов’язано з тим, що як предмет кіберстрахування, інформація, інформаційно-телекомунікаційні системи, технології, бази даних є немайновими об’єктами права власності [Заярний О. А. Класифікація адміністративних інформаційних правопорушень, як метод наукового дослідження адміністративної деліктності та інструмент удосконалення адміністративно-деліктного законодавства. Адміністративне право і процес № 4 (10) 2014. С. 93].
У зв’язку з цим, майновий інтерес страхувальника у відношенні до предмету кіберстрахування зводиться лише до витрат, пов’язаних з розробкою, придбанням, експлуатацією та технічним захистом інформації, інформаційно-телекомунікаційних систем та баз даних. Натомість, комерційна, історична, управлінська, мистецька, науково-освітня цінність предмета кіберстрахування залишається поза змістом інтересу страхувальника.
Окреслена проблема породжує окремі концептуальні труднощі при визначенні видів та розмірів страхового покриття за договорами кіберстрахування, які відповідають майновим інтересам страхувальників.
Закладаючи у главі 25 правові засади відшкодування збитків, ГК України у частині другій статті 224 закріпив загальне правило, згідно з яким: «Під збитками розуміються витрати, зроблені управненою стороною, втрата або пошкодження її майна, а також не одержані нею доходи, які управнена сторона одержала б у разі належного виконання зобов'язання або додержання правил здійснення господарської діяльності другою стороною».
Виходячи зі змісту наведеної норми ГК України кіберстрахуванням повинні охоплюватися, як реальні втрати суб’єкта господарської діяльності чи органу наділеного господарською компетенцією, а також неодержані доходи, якщо їх одержання від використання інформаційно-телекомунікаційних систем, реєстрів чи технологій прямо випливає з мети діяльності таких суб’єктів, або прийнятих ними зобов’язань.
Ґрунтуючись на цій авторській позиції та спираючись на дію норми, закріпленої у частині першій статті 225 ГК України (ГК) можна запропонувати наступну систему збитків, які охоплюються страховим покриттям та відповідають змісту поняття «об’єкт кіберстрахування»:
1) Вартість втраченого або пошкодженого, чи знищеного внаслідок прояву кіберризиків майна (телекомунікаційного обладнення, комп’ютерної техніки, матеріальних носіїв інформації, засобів технічно захисту інформації).
2) операційні витрати, пов’язані з розробкою та експлуатацією інформаційно-телекомунікаційних систем, технологій та реєстрів, які внаслідок кіберзагроз були виведені з експлуатації, а також витрати, пов’язані з відновлення їхнього належного функціонування.
3) витрати страхувальника, пов’язані з використанням програмного забезпечення для технічного захисту інформації в інформаційно-телекомунікаційних системах та реєстрах, а також технічного захисту вказаних об’єктів від хакерських чи будь-яких інших кібератак.
4) штрафні санкції, сплачені страхувальником іншим суб'єктам у зв’язку з невиконанням або неналежним виконанням господарських зобов’язань у зв’язку з проявом негативних наслідків кіберризиків.
5) Витрати понесені страхувальником у зв’язку з наданням технічної, правової або іншої допомоги з відновлення нормальної експлуатації інформаційно-телекомунікаційних систем, реєстрів чи технологій, що є предметом кіберстрахування.
6) Неодержаний прибуток (втрачена вигода), на який страхувальник міг розраховувати за нормальної експлуатації інформаційно-телекомунікаційних систем, реєстрів, технологій чи комп’ютерного обладнання, так само, як і від правомірних інформаційних обмінів.
7) Матеріальна компенсація моральної шкоди, пов’язаної з репутаційними втратами страхувальника.
Таким чином, враховуючи характер кіберризиків, що проявляються у наш час у сфері господарювання, на наш погляд, обґрунтованим вбачається включення до майнових втрат страхувальника не лише фінансових витрат, пов’язаних з відновленням функціонування інформаційно-телекомунікаційних систем чи технологій, але, і витрати, пов’язані з їхньою оцінкою, як немайнових об’єктів інтелектуальної власності.
Вироблені у науковій літературі особливості кіберстрахування дають підстави розглядати його як окремий вид страхування, що виключає можливість страхування кіберризиків, як похідної складової інших категорій страхових ризиків, визначених Законом України «Про страхування».
З позицій формування механізму реалізації в України цього виду страхової діяльності необхідним є визначення в нормах Закону України «Про страхування» спеціальних вимог до страховиків за договорами кіберстрахування.
Враховуючи характер та масштабність прояву наслідків кіберризиків, як правило, значні розміри страхового покриття за наслідками їх прояву, на наш погляд, законодавчі вимоги до страховиків за цим видом страхування мають бути аналогічними вимогам до страховиків життя і здоров’я людини. Поряд з цими вимогами, важливими умовами для надання страховим компаніям право здійснювати кіберстрахування є їхня здатність до забезпечення проведення незалежної фахової експертизи кіберризиків, включаючи оцінку стану технічного захисту інформації та заходів по забезпеченню кібербезпеки у діяльності страхувальника. Оскільки кіберризики часто мають транснаціональний прояв, важливо, щоб страховик мав міжнародне підтвердження власної фінансової спроможності до покриття страхового відшкодування, а також належну ділову репутацію на відповідному ринку страхових послуг.
Вироблені теорією страхового права правові, економічні та методологічні передумови для виділення кіберстрахування в окремий вид страхової діяльності вимагають визначення напрямів подальшого розвитку цього виду діяльності.
Проведене дослідження поняття та механізму реалізації кіберстрахування дає підстави констатувати, що на сьогоднішній день в Україні сформувалися необхідні передумови для виокремлення відповідного виду страхування в окремий вид господарської діяльності в межах видового поняття страхування.
Ніно Пацурія
доктор юридичних наук, професор, професор кафедри господарського права та господарського процесу Інституту права Київського національного університету імені Тараса Шевченка
Олег Заярний
доктор юридичних наук, доцент, професор кафедри інтелектуальної власності та інформаційного права Інституту права Київського національного університету імені Тараса Шевченка
