Страхование ответственности [от] действий CISO

Бизнес

В прошлой заметке я писал про то, что на Западе очень активно стала продвигаться тема со страхованием ответственности за действия CISO в двух формах:

  • Страхование ответственности директоров и должностных лиц (Directors & Officers Liability, D&O). Этот вид страхования защищает директоров и должностных лиц компании от личной ответственности за решения и действия, принятые ими в ходе выполнения своих обязанностей. Оно покрывает юридические издержки и убытки, возникающие из-за претензий, связанных с предполагаемыми неправомерными действиями, совершенными ими в рамках их управленческих функций.
  • Страхование профессиональной деятельности (Errors & Omissions, E&O). Это вид страхования защищает профессионалов и компании от претензий, связанных с ошибками, упущениями или небрежностью в предоставлении профессиональных услуг. Оно покрывает юридические издержки и убытки, возникающие из-за претензий клиентов и других третьих лиц, связанных с качеством предоставленных услуг.

Согласно отчету «2023 Global Chief Information Security (CISO) Survey” от Heidrick & Struggles, 38% американских CISO не покрыты D&O страховкой своих компаний, а еще 18% не знают, покрыты ли они!

В кейсе с Джо Салливаном, CSO Uber, который скрыл факт несанкционированного доступа к персональным данным и позже это действие провел как участие в Bug Bounty, сработала бы страховка D&O, так как она покрывает в случае с CISO:

  • Неправомерные действия, халатность, ошибки в управлении деятельностью по ИБ.
  • Претензии акционеров, сотрудников, клиентов и других третьих лиц к CISO.
  • Нарушения со стороны CISO корпоративных регламентов и политик.

Эта же страховка помогла бы Тимоти Брауну, CISO SolarWinds, который был обвинен Комиссией по ценным бумагам США за сокрытие от инвесторов факта о низкой защищенности компании, или Амиту Бхардваджу, CISO Lumentum Holdings, которого та же Комиссия обвинила в незаконной торговле акциями перед объявлением о двух сделках по поглощению и слиянию. Иными словами, эта страховка покрывает следующие варианты претензий:

  • Иски акционеров за неверное управление или введение в заблуждение (кейс Брауна).
  • Претензии работников о дискриминации или неправомерном увольнении.
  • Претензии регуляторов о нарушении законодательства (кейс Бхарваджа).

E&O-страхование имеет схожую природу, но есть и отличия. Во-первых, оно распространяется не на директоров, а на профессионалов, работающих в компании (например, не CISO, а ведущих специалистов). Кроме того, это страхование хорошо подойдет для ИБ-компаний, оказывающих услуги своим клиентам. Соответственно эта страховка покрывает ошибки, упущения, халатность в профессиональных услугах и неправильное выполнение своих служебных обязанностей, за которыми последовали иски со стороны клиентов, а не акционеров или государства, как в случае со страхованием D&O. Примерами исков со стороны клиентов могут быть:

  • Претензии клиентов о недостаточно качественном выполнении работ или услуг по ИБ.
  • Ошибки в расчетах, проектировании, консультациях и других профессиональных ИБ-услугах.
  • Претензии за неисполнение контрактных обязательств.

D&O-страхование фокусируется на защите руководителей разного уровня от претензий, связанных с их управленческими решениями и действиями, тогда как E&O-страхование направлено на защиту профессионалов и компаний от претензий, связанных с качеством предоставленных ими услуг.

Обе эти страховки предлагаются и в России, но в условиях отсутствия претензий у нас к руководителям ИБ (исключая кейс с «Сиреной-Трэвел«), это не является достаточно стимулом по активному развитию этого сегмента рынка. В США, по недавно введенным правилам Комиссии по ценным бумагам, именно CISO может понести ответственность за инциденты ИБ и возмещать ущерб и судебные издержки из своего кармана. Без D&O-страховки это будет тяжким бременем для него и его семьи. В России этого нет. А вот как демонстрация приверженности компании защите своих руководителей — это вполне может быть дополнительной причиной выбора компании для высококвалифицированных ИБ-кадров.

В том случае если CISO оказывает консалтинговые услуги другим компаниям (у нас такое бывает нередко), то ему может помочь личная E&O-страховка. Если, конечно, он опасается, что к результатам его работы могут быть претензии, которые закончатся иском со стороны клиента. Хотя я таких случаев у нас в стране не знаю.

В качестве резюме могу отметить, что тема со страхованием ответственности CISO нова даже на Западе, но может быть со временем положительно воспринята и у нас. Тем более, что такой страховой продукт у нас уже есть, только пока он не распространялся на руководителей ИБ, которые, надо признать, и на уровне топ-менеджмента пока не так чтобы активно встречаются.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).