Страховка для SLA
В сентябре 2015 года вступили в силу поправки в Федеральный закон «О персональных данных», налагающие на операторов персональных данных обязательство хранить персональные данные российских граждан в базах данных, расположенных на территории России. В связи с этим множество компаний, работающих с персональными данными россиян, но не имеющих локально расположенного аппаратного оборудования, технических средств и мощностей, вынуждены обращаться к отечественным провайдерам, предоставляющим соответствующие услуги.
При этом для иностранных компаний, привыкших к использованию собственных центров обработки данных, работа которых поддерживается в рамках группы компаний, важным этапом оказывается закрепление в договорах с российскими провайдерами требований к уровню обслуживания, методам и средствам контроля за базами данных, времени отклика провайдера на запрос от заказчика и других требований организационного и технического характера, позволяющих заказчику контролировать работу центра обработки данных по нескольким универсальным параметрам. Помимо этого чрезвычайно большое внимание в таких договорах уделяется вопросам ответственности провайдера услуг за невыполнение установленных договором требований, в том числе штрафным санкциям в случае сбоев, незапланированных перерывов в работе или при наступлении иных нежелательных событий.
В современных условиях убытки, причиненные заказчику остановкой работы сервиса провайдера даже на час, могут превышать стоимость самого договора оказания услуг в несколько раз, а суммы штрафов в таком случае не покроют даже половину издержек заказчика.
Ввиду этого провайдеры услуг сталкиваются с необходимостью оценить и по возможности снизить потенциальные риски предъявления претензий и иных негативных последствий. В особенности в ситуациях, когда те или иные действия или бездействие провайдера могут причинить убытки одновременно нескольким заказчикам, а в ряде случаев, например, вызванных форс-мажорными обстоятельствами, — большому числу заказчиков.
Распространенной практикой решения данной проблемы за рубежом является закрепление в договоре оказания услуг обязанности провайдера услуг застраховать свою профессиональную ответственность либо осуществить страхование ИТ-рисков. При этом обычно предполагается, что соответствующий страховой полис будет действовать в течение всего срока действия договора на оказание услуг.
Первая опция — страхование профессиональной ответственности
Страхование профессиональной ответственности хорошо известно российскому рынку и распространено в различных сферах деятельности, в том числе для ИТ-сферы. Такой вид страхования покрывает ответственность провайдера услуг за ошибки и упущения, вследствие которых причинен вред имущественным интересам третьих лиц. Несмотря на то, что некоторые нежелательные события могут быть напрямую не связаны с упущениями застрахованного лица (например, выход из строя эксплуатируемого надлежащим образом оборудования), страховые компании предлагают включить возможную потерю прибыли третьими лицами из-за простоя в качестве дополнительного страхуемого риска в договор страхования.
Отличает данный вид страхования достаточно умеренная стоимость самого страхового продукта, которая, как правило, варьируется в зависимости от суммы страхового покрытия. Например, стоимость страхового полиса со страховым покрытием до 1 миллиона долларов в среднем будет стоить центру обработки данных 5–6 тысяч долларов.
Однако необходимо учитывать, что отдельные действия (бездействие) и события могут быть не признаны страховым случаем, покрытым полисом страхования профессиональной ответственности. Например, наличие заведомо известного центру обработки данных основания для предъявления к нему претензий (скажем, известная на дату заключения договора страхования неисправность холодильного оборудования для серверных и др.), а равно ожидаемые или преднамеренно причиненные им убытки. Представляется, что аналогичным будет подход и в ситуациях, когда центр обработки данных не сможет полноценно оказывать услуги вследствие механических, электронных или телекоммуникационных неполадок (перебои с подачей электроэнергии, сбои спутниковых систем), которые центры обработки данных не могут изначально контролировать. Иными словами, доказать, что простой сервиса, связанный с перебоями на электростанции, — это упущение центра обработки данных, может быть достаточно проблематично, и страховых выплат, покрывающих случаи, связанные с профессиональной ответственностью ЦОДа, может быть недостаточно для того, чтобы возместить возможные убытки и/или расходы соответствующих клиентов провайдеров.
Вторая опция — страхование ИТ-рисков
Страхование ИТ-рисков остается достаточно новым для российского рынка, и, в отличие от западных страховых компаний, далеко не все российские компании предлагают такой страховой продукт. Одна из причин, по которой такой вид страхования является ограниченно доступным, — это сложность определения вероятности наступления страхового случая, что в первую очередь необходимо страховым компаниям для расчета страховой премии. Кроме того, некоторые страховые компании испытывают определенные трудности с расчетом возможного ущерба от простоя отдельных сервисов.
Те компании, которые страхуют ИТ-риски в России, как правило, предлагают комплексное страхование, защищающее центр обработки данных не только от возможных претензий заказчиков в отношении финансовых потерь из-за сбоя или выхода серверов из строя, но и от так называемых киберрисков, включающих в себя утечку персональных данных, корпоративной информации и их незаконное использование, расследования и штрафы со стороны регулирующих органов.
В отличие от страхования профессиональной ответственности, страхование ИТ-рисков не сопряжено с ошибками и упущениями именно самого центра обработки данных, а нацелено на защиту как от воздействия извне (несанкционированное раскрытие данных или их утечка, заражение баз данных вирусом либо иные последствия хакерских атак), так и на компенсацию убытков, возникающих в результате нарушения работы центра (за исключением ситуации, когда такое нарушение является намеренным или умышленным действием). При этом зачастую компании, занимающиеся страхованием ИТ-рисков, берутся возмещать финансовые потери заказчиков центров обработки данных, только если последние приобретают соответствующую опцию в пакете страхового покрытия.
Стоимость страхования ИТ-рисков для центров обработки данных будет варьироваться в зависимости от различных факторов, включая характеристики используемого оборудования, степень безопасности, статистику инцидентов и иные аспекты. И если окажется, что вероятность материализации риска велика, то страховая премия может быть весьма существенной для страхователя.
Очевидно, что заключение центрами обработки данных договоров страхования своих рисков и ответственности перед заказчиками на данный момент является скорее исключительной ситуацией, чем правилом. Отчасти это вызвано отсутствием должного правового регулирования данной области и устоявшейся судебной практики. Между тем очевидно, что крупные российские компании и иностранные компании, которые будут хранить данные в России, будут предъявлять к отечественным дата-центрам высокие требования по части уровня оказания услуг, базирующиеся на соответствующих стандартах отрасли, в том числе на стандартах, принятых за рубежом. Потому страхование профессиональной ответственности и страхование ИТ-рисков может стать преимуществом при выборе контрагента.
Российский рынок страховых услуг в области информационных технологий активно развивается — есть основания полагать, что в ближайшее время появится больше страховых продуктов и программ и сформируется соответствующая деловая и правовая практика.
Ксения Андреева и Андрей Игнатенко, юристы компании Morgan Lewis
Источник: журнал ЦОДы.РФ, февраль /март 2016, № 14
|