Эксперты страхового брокера Mainsgroup представляют исследование, посвященное рынку киберстрахования в России: существующим трендам, проблемам, мешающим развитию этого вида страхования, и путям их решения.

ДАТА ПУБЛИКАЦИИ:

12 марта 2025

ТЕГИ:

ПОДЕЛИТЬСЯ:

Эксперты страхового брокера Mainsgroup провели опрос среди страхователей, представителей страховых компаний и страховых брокеров*. Его результаты показывают, что программы киберстрахования котируют только лидеры отрасли среди страховых компаний и брокеров и только 29% страхователей запрашивали условия страхования.

Как и многие другие виды страхования, страхование киберрисков пришло к нам из-за рубежа. Первой компанией, запустившей его в 2012 году как отдельный продукт, была AIG (ныне СК «Гардия»). За основу продукта была взята американская версия покрытия, позже адаптированная под российское законодательство. Однако бума продаж полисов страхования киберрисков не произошло, поэтому остальные игроки рынка с внедрением киберстрахования не спешили.

Только в 2016 году аналогичный продукт запустил второй игрок с иностранным капиталом — Allianz. С этого момента страхование киберрисков в России стало развиваться. Сейчас страхование киберрисков представлено у 8 из 15 страховщиков России, входящих в рабочую группу по киберстрахованию Всероссийского союза страховщиков. По некоторым данным, количество таких договоров на весь российский рынок составляет около полутора тысяч — от мелких коробочных решений до стандартных полисов с полноценным покрытием (при ощутимой доминации коробочных решений).

При этом число киберпреступлений в России за период с 2014 по 2022 год выросло в 46 раз. Эта тенденция сохраняется до сих пор: во II квартале 2024 года зафиксировано в 2,6 раза больше кибератак на компании из стран СНГ по сравнению с аналогичным периодом 2023 года, более 73% атак приходится на долю России. Основными последствиями успешных атак на бизнес стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%), на частных лиц — утечка конфиденциальной информации (69%) и прямые финансовые потери (32%).

Консолидированный объем отечественного рынка киберстрахования компании оценивают в 2–3 млрд рублей, они ожидают, что рынок будет расти примерно на 15–20% в год.

Среди опрошенных киберриски застрахованы у 12,5% страхователей.
В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.

Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.

Специалисты компаний, предоставляющих услуги в сфере кибербезопасности, отмечают, что бизнес озвучивает связанные с киберрисками опасения и размеры возможного ущерба, но при этом не поднимает вопрос киберстрахования.

На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.

Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.

При общении с представителями страховых компаний, оказывающих услуги по страхованию киберрисков, удалось составить следующую картину.

Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.

Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).

При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.

В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.

Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.

Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.

* Данные опроса 37 представителей страховых компаний, страховых брокеров и страхователей
** Качественное исследование с проведением экспертных интервью среди представителей страховых компаний (СОГАЗ, АльфаСтрахование, Ингосстрах, ВСК, СберСтрахование, Зетта Страхование и др.), компаний по кибербезопасности (BI.ZONE, Intact, Б-152 и др.), страхователей (Стройтрансгаз, ЦКР-ИТ, Happy Phone и др.)

Также были проведены экспертные опросы представителей участников рынка — компаний, предоставляющих услуги в сфере информационной и кибербезопасности, страховщиков, страховых брокеров и потенциальных страхователей, т. е. бизнеса**.

Чтобы обеспечить кибербезопасность, предприятия предпочитают использовать традиционные инструменты (антивирусы, системы мониторинга инцидентов, системы резервного копирования, шифрование данных и т. д.). Представители компаний называют принимаемые меры в целом достаточными, но признают, что вероятность возникновения киберрисков все равно остается высокой.

Потери из-за вызванного киберинцидентами простоя в среднем составляют 6–8 млн рублей в сутки. В зависимости от отрасли, масштаба и других характеристик компаний, эта сумма может быть значительно выше или ниже.

К киберрискам представители бизнеса относятся крайне серьезно и считают их реальной угрозой. В зависимости от сферы деятельности, наиболее критичными рисками называют потерю (утечку) данных или приостановку коммерческих и производственных процессов.

Но при этом компании остерегаются киберстрахования, ссылаясь на то, что это недостаточно прозрачный для них вид страхования и по нему пока нет значимых кейсов. Представители бизнеса говорят, что готовы рассматривать киберстрахование, если им предоставят понятные и прозрачные условия.

Таким образом, все заинтересованные стороны — и специалисты по кибербезопасности, и бизнес, и страховщики — адекватно оценивают реальность киберугроз и возможный ущерб от них и понимают, насколько важно в текущих обстоятельствах страхование киберрисков. В то же время о причинах, по которым киберстрахование развивается не так активно, говорят не только представители бизнеса, но и страховщики.

Под понятным покрытием респонденты, как правило, понимают целый набор факторов: соответствие предусмотренных покрытием рисков реально существующим для клиента опасностям, прозрачное, подробное и полное описание страховых событий и процесса урегулирования страховых случаев, согласование привлекаемых к процедуре урегулирования сторонних организаций (аутсорсеров), предоставление полных формул оценки ущерба и расчета подлежащих выплате сумм и т. д.

Страховщики считают, что помочь развитию рынка киберстрахования могли бы: создание единой нормативной базы, регулирующей все необходимые стандарты, процедуры и алгоритмы (с привлечением участников рынка), просветительская работа (доведение до бизнеса информации о киберрисках и возможностях, которые дает киберстрахование) и создание дополнительной законодательной базы, в т. ч. расширение перечня отраслей, для которых страхование киберрисков стало бы обязательным (к таким отраслям относят банковский и финансовый сектор, промышленность, железнодорожные и авиаперевозки, ИТ и некоторые другие).

Mainsgroup — один из крупнейших российских брокеров, предоставляющий широкий спектр услуг в области страхования и управления рисками для средних и крупных предприятий любых отраслей и направлений деятельности, входит в топ-3 частных брокеров России. Компания показала двукратный рост выручки по итогам 2023 года, сотрудничая с топ-15 страховых компаний на рынке России.

Индустриальным прорывом Mainsgroup в 2024 году стала единая система управления ДМС и здоровьем коллективов – Mains Кубики. Решение включает программы ДМС, НС и критические заболевания, подключаемые системы бенефитов и в среднем на 16% сокращает затраты на медицинское страхование, снижает индекс абсентеизма, a HR-департаментам позволяет получить легкость управления программами, снижение административной нагрузки и хранить накопленные данные на своей стороне без привязки к конкретному провайдеру.

Директор по стратегическим коммуникациям Mainsgroup

Павел Ларин

+7 (926) 503-17-00

презентация

Киберстрахование:
мировая практика и ситуация в России