Эксперты страхового брокера Mainsgroup представляют исследование, посвященное рынку киберстрахования в России: существующим трендам, проблемам, мешающим развитию этого вида страхования, и путям их решения.
Настоящее и будущее кибербезопасности и киберстрахования в России: оценки участников рынка
Эксперты страхового брокера Mainsgroup провели опрос среди страхователей, представителей страховых компаний и страховых брокеров*. Его результаты показывают, что программы киберстрахования котируют только лидеры отрасли среди страховых компаний и брокеров и только 29% страхователей запрашивали условия страхования.
Как и многие другие виды страхования, страхование киберрисков пришло к нам из-за рубежа. Первой компанией, запустившей его в 2012 году как отдельный продукт, была AIG (ныне СК «Гардия»). За основу продукта была взята американская версия покрытия, позже адаптированная под российское законодательство. Однако бума продаж полисов страхования киберрисков не произошло, поэтому остальные игроки рынка с внедрением киберстрахования не спешили.
Только в 2016 году аналогичный продукт запустил второй игрок с иностранным капиталом — Allianz. С этого момента страхование киберрисков в России стало развиваться. Сейчас страхование киберрисков представлено у 8 из 15 страховщиков России, входящих в рабочую группу по киберстрахованию Всероссийского союза страховщиков. По некоторым данным, количество таких договоров на весь российский рынок составляет около полутора тысяч — от мелких коробочных решений до стандартных полисов с полноценным покрытием (при ощутимой доминации коробочных решений).
При этом число киберпреступлений в России за период с 2014 по 2022 год
выросло в 46 раз. Эта тенденция
сохраняется до сих пор: во II квартале 2024 года зафиксировано в 2,6 раза больше кибератак на компании из стран СНГ по сравнению с аналогичным периодом 2023 года, более 73% атак приходится на долю России. Основными последствиями успешных атак на бизнес
стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%), на частных лиц — утечка конфиденциальной информации (69%) и прямые финансовые потери (32%).
Консолидированный объем отечественного рынка киберстрахования компании оценивают в 2–3 млрд рублей, они ожидают, что рынок будет расти примерно на 15–20% в год.
Среди опрошенных киберриски застрахованы у 12,5% страхователей.
В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.
Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.
Бизнес и кибербезопасность: взгляд специалистов
Специалисты компаний, предоставляющих услуги в сфере кибербезопасности, отмечают, что бизнес озвучивает связанные с киберрисками опасения и размеры возможного ущерба, но при этом не поднимает вопрос киберстрахования.
На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.
Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.
Страховщики и страховые брокеры о состоянии рынка киберстрахования
При общении с представителями страховых компаний, оказывающих услуги по страхованию киберрисков, удалось составить следующую картину.
Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.
Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).
При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.
В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.
Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.
Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.
История развития страхования киберрисков в России
* Данные опроса 37 представителей страховых компаний, страховых брокеров и страхователей
** Качественное исследование с проведением экспертных интервью среди представителей страховых компаний (СОГАЗ, АльфаСтрахование, Ингосстрах, ВСК, СберСтрахование, Зетта Страхование и др.), компаний по кибербезопасности (BI.ZONE, Intact, Б-152 и др.), страхователей (Стройтрансгаз, ЦКР-ИТ, Happy Phone и др.)
Также были проведены экспертные опросы представителей участников рынка — компаний, предоставляющих услуги в сфере информационной и кибербезопасности, страховщиков, страховых брокеров и потенциальных страхователей, т. е. бизнеса**.