Оставьте свои контакты, и мы свяжемся с вами в короткое время
Нажимая кнопку «Отправить!», я подтверждаю, что мне более 18 лет и даю согласие на обработку персональных данных и информации ООО «МСБК», в том числе на сбор, систематизацию, блокирование, уничтожение персональных данных и иные действия, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных». При этом такое согласие я даю на неограниченный срок и могу отозвать согласие в любое время путем передачи соответствующего уведомления. Безопасность передаваемой информации обеспечивается с помощью современных протоколов обеспечения безопасности в Интернет (SSL/TLS).
Эксперты страхового брокера Mainsgroup представляют исследование, посвященное рынку киберстрахования в России: существующим трендам, проблемам, мешающим развитию этого вида страхования, и путям их решения.
ДАТА ПУБЛИКАЦИИ:
12 марта 2025
ТЕГИ:
ПОДЕЛИТЬСЯ:
Новости
Настоящее и будущее кибербезопасности и киберстрахования в России: оценки участников рынка
Эксперты страхового брокера Mainsgroup провели опрос среди страхователей, представителей страховых компаний и страховых брокеров*. Его результаты показывают, что программы киберстрахования котируют только лидеры отрасли среди страховых компаний и брокеров и только 29% страхователей запрашивали условия страхования.
Как и многие другие виды страхования, страхование киберрисков пришло к нам из-за рубежа. Первой компанией, запустившей его в 2012 году как отдельный продукт, была AIG (ныне СК «Гардия»). За основу продукта была взята американская версия покрытия, позже адаптированная под российское законодательство. Однако бума продаж полисов страхования киберрисков не произошло, поэтому остальные игроки рынка с внедрением киберстрахования не спешили.
Только в 2016 году аналогичный продукт запустил второй игрок с иностранным капиталом — Allianz. С этого момента страхование киберрисков в России стало развиваться. Сейчас страхование киберрисков представлено у 8 из 15 страховщиков России, входящих в рабочую группу по киберстрахованию Всероссийского союза страховщиков. По некоторым данным, количество таких договоров на весь российский рынок составляет около полутора тысяч — от мелких коробочных решений до стандартных полисов с полноценным покрытием (при ощутимой доминации коробочных решений).
При этом число киберпреступлений в России за период с 2014 по 2022 год выросло в 46 раз. Эта тенденция сохраняется до сих пор: во II квартале 2024 года зафиксировано в 2,6 раза больше кибератак на компании из стран СНГ по сравнению с аналогичным периодом 2023 года, более 73% атак приходится на долю России. Основными последствиями успешных атак на бизнес стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%), на частных лиц — утечка конфиденциальной информации (69%) и прямые финансовые потери (32%).
Только в 2016 году аналогичный продукт запустил второй игрок с иностранным капиталом — Allianz. С этого момента страхование киберрисков в России стало развиваться. Сейчас страхование киберрисков представлено у 8 из 15 страховщиков России, входящих в рабочую группу по киберстрахованию Всероссийского союза страховщиков. По некоторым данным, количество таких договоров на весь российский рынок составляет около полутора тысяч — от мелких коробочных решений до стандартных полисов с полноценным покрытием (при ощутимой доминации коробочных решений).
При этом число киберпреступлений в России за период с 2014 по 2022 год выросло в 46 раз. Эта тенденция сохраняется до сих пор: во II квартале 2024 года зафиксировано в 2,6 раза больше кибератак на компании из стран СНГ по сравнению с аналогичным периодом 2023 года, более 73% атак приходится на долю России. Основными последствиями успешных атак на бизнес стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%), на частных лиц — утечка конфиденциальной информации (69%) и прямые финансовые потери (32%).
Консолидированный объем отечественного рынка киберстрахования компании оценивают в 2–3 млрд рублей, они ожидают, что рынок будет расти примерно на 15–20% в год.
Среди опрошенных киберриски застрахованы у 12,5% страхователей.
В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.
Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.
В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.
Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.
Бизнес и кибербезопасность: взгляд специалистов
Специалисты компаний, предоставляющих услуги в сфере кибербезопасности, отмечают, что бизнес озвучивает связанные с киберрисками опасения и размеры возможного ущерба, но при этом не поднимает вопрос киберстрахования.
На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.
Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.
На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.
Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.
Страховщики и страховые брокеры о состоянии рынка киберстрахования
При общении с представителями страховых компаний, оказывающих услуги по страхованию киберрисков, удалось составить следующую картину.
Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.
Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).
При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.
В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.
Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.
Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.
Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.
Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).
При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.
В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.
Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.
Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.
История развития страхования киберрисков в России
* Данные опроса 37 представителей страховых компаний, страховых брокеров и страхователей
** Качественное исследование с проведением экспертных интервью среди представителей страховых компаний (СОГАЗ, АльфаСтрахование, Ингосстрах, ВСК, СберСтрахование, Зетта Страхование и др.), компаний по кибербезопасности (BI.ZONE, Intact, Б-152 и др.), страхователей (Стройтрансгаз, ЦКР-ИТ, Happy Phone и др.)
** Качественное исследование с проведением экспертных интервью среди представителей страховых компаний (СОГАЗ, АльфаСтрахование, Ингосстрах, ВСК, СберСтрахование, Зетта Страхование и др.), компаний по кибербезопасности (BI.ZONE, Intact, Б-152 и др.), страхователей (Стройтрансгаз, ЦКР-ИТ, Happy Phone и др.)
Также были проведены экспертные опросы представителей участников рынка — компаний, предоставляющих услуги в сфере информационной и кибербезопасности, страховщиков, страховых брокеров и потенциальных страхователей, т. е. бизнеса**.
презентация
Киберстрахование: мировая практика и ситуация в россии
Бизнес о киберрисках и своем отношении к киберстрахованию
Чтобы обеспечить кибербезопасность, предприятия предпочитают использовать традиционные инструменты (антивирусы, системы мониторинга инцидентов, системы резервного копирования, шифрование данных и т. д.). Представители компаний называют принимаемые меры в целом достаточными, но признают, что вероятность возникновения киберрисков все равно остается высокой.
Потери из-за вызванного киберинцидентами простоя в среднем составляют 6–8 млн рублей в сутки. В зависимости от отрасли, масштаба и других характеристик компаний, эта сумма может быть значительно выше или ниже.
К киберрискам представители бизнеса относятся крайне серьезно и считают их реальной угрозой. В зависимости от сферы деятельности, наиболее критичными рисками называют потерю (утечку) данных или приостановку коммерческих и производственных процессов.
Но при этом компании остерегаются киберстрахования, ссылаясь на то, что это недостаточно прозрачный для них вид страхования и по нему пока нет значимых кейсов. Представители бизнеса говорят, что готовы рассматривать киберстрахование, если им предоставят понятные и прозрачные условия.
Таким образом, все заинтересованные стороны — и специалисты по кибербезопасности, и бизнес, и страховщики — адекватно оценивают реальность киберугроз и возможный ущерб от них и понимают, насколько важно в текущих обстоятельствах страхование киберрисков. В то же время о причинах, по которым киберстрахование развивается не так активно, говорят не только представители бизнеса, но и страховщики.
Потери из-за вызванного киберинцидентами простоя в среднем составляют 6–8 млн рублей в сутки. В зависимости от отрасли, масштаба и других характеристик компаний, эта сумма может быть значительно выше или ниже.
К киберрискам представители бизнеса относятся крайне серьезно и считают их реальной угрозой. В зависимости от сферы деятельности, наиболее критичными рисками называют потерю (утечку) данных или приостановку коммерческих и производственных процессов.
Но при этом компании остерегаются киберстрахования, ссылаясь на то, что это недостаточно прозрачный для них вид страхования и по нему пока нет значимых кейсов. Представители бизнеса говорят, что готовы рассматривать киберстрахование, если им предоставят понятные и прозрачные условия.
Таким образом, все заинтересованные стороны — и специалисты по кибербезопасности, и бизнес, и страховщики — адекватно оценивают реальность киберугроз и возможный ущерб от них и понимают, насколько важно в текущих обстоятельствах страхование киберрисков. В то же время о причинах, по которым киберстрахование развивается не так активно, говорят не только представители бизнеса, но и страховщики.
Факторы, тормозящие развитие рынка страхования киберрисков
По мнению представителей бизнеса, страховых брокеров и страховых компаний, которые были опрошены в рамках обоих исследований, российский рынок киберстрахования развивается значительно медленнее, чем это могло бы быть. Это происходит по целому ряду причин:
- Недостаточное число резонансных кейсов в этой сфере;
- Нежелание компаний допускать страховщиков к данным о своей информационной защите для оценки рисков;
- Отсутствие законодательной базы для обязательного страхования киберрисков;
- Отсутствие понятного покрытия;
- Отсутствие емкостей;
- Высокая стоимость полисов: расходы на страхование сопоставимы, а иногда превышают расходы на информационную безопасность; в условиях ограниченности бюджетов это делает такую покупку крайне проблематичной.
Под понятным покрытием респонденты, как правило, понимают целый набор факторов: соответствие предусмотренных покрытием рисков реально существующим для клиента опасностям, прозрачное, подробное и полное описание страховых событий и процесса урегулирования страховых случаев, согласование привлекаемых к процедуре урегулирования сторонних организаций (аутсорсеров), предоставление полных формул оценки ущерба и расчета подлежащих выплате сумм и т. д.
Страховщики считают, что помочь развитию рынка киберстрахования могли бы: создание единой нормативной базы, регулирующей все необходимые стандарты, процедуры и алгоритмы (с привлечением участников рынка), просветительская работа (доведение до бизнеса информации о киберрисках и возможностях, которые дает киберстрахование) и создание дополнительной законодательной базы, в т. ч. расширение перечня отраслей, для которых страхование киберрисков стало бы обязательным (к таким отраслям относят банковский и финансовый сектор, промышленность, железнодорожные и авиаперевозки, ИТ и некоторые другие).
Что могло бы придать ускорение развитию страхования киберрисков?
Также эксперты Mainsgroup обращают внимание на следующие моменты.
- Назрела необходимость создания единого центра компетенций по андеррайтингу для данного вида страхования. Нам видится, что создание такого центра могло бы произойти на базе крупного системного интегратора с привлечением специалистов из страховой индустрии, включая международных страховщиков, которые давно занимаются страхованием киберрисков и уже накопили определенную статистику. В такой коллаборации возможно создание единой шкалы оценки рискозащищенности компаний, на базе которой будет производиться андеррайтинг и предоставляться страховой лимит.
- Вопрос недостаточности страхового лимита можно закрыть с помощью сострахования или механизма создания страхового киберпула, где все страховщики будут участвовать в комфортных для них долях. В данном случае необходимо будет выработать общие подходы к оценке компаний и андеррайтингу страховых рисков, а также создать типовые правила страхования киберрисков.
- Важно работать над объемом страхового покрытия, чтобы предоставлять клиентам покрытие актуальных для них рисков, а не тех, которые страховщик готов предлагать. Отчасти такая работа будет требовать плотного контакта с регулятором.
Mainsgroup — один из крупнейших российских брокеров, предоставляющий широкий спектр услуг в области страхования и управления рисками для средних и крупных предприятий любых отраслей и направлений деятельности, входит в топ-3 частных брокеров России. Компания показала двукратный рост выручки по итогам 2023 года, сотрудничая с топ-15 страховых компаний на рынке России.
Индустриальным прорывом Mainsgroup в 2024 году стала единая система управления ДМС и здоровьем коллективов – Mains Кубики. Решение включает программы ДМС, НС и критические заболевания, подключаемые системы бенефитов и в среднем на 16% сокращает затраты на медицинское страхование, снижает индекс абсентеизма, a HR-департаментам позволяет получить легкость управления программами, снижение административной нагрузки и хранить накопленные данные на своей стороне без привязки к конкретному провайдеру.
Индустриальным прорывом Mainsgroup в 2024 году стала единая система управления ДМС и здоровьем коллективов – Mains Кубики. Решение включает программы ДМС, НС и критические заболевания, подключаемые системы бенефитов и в среднем на 16% сокращает затраты на медицинское страхование, снижает индекс абсентеизма, a HR-департаментам позволяет получить легкость управления программами, снижение административной нагрузки и хранить накопленные данные на своей стороне без привязки к конкретному провайдеру.
Директор по стратегическим коммуникациям Mainsgroup
Павел Ларин
+7 (926) 503-17-00
За дополнительной информацией, пожалуйста, обращайтесь:
презентация
Киберстрахование:
мировая практика и ситуация в России
мировая практика и ситуация в России