По мнению Павла Озерова, нужно создать единый центр компетенций для разработки стандартов оценки и сертификации защищенности информационных систем, оценки рисков, других жизненно необходимых стандартов и методик, а также для сбора и анализа информации по инцидентам. Также необходимо разработать единый механизм страхования с унифицированными терминологией, правилами, формами документов и процедурами — это облегчит взаимодействие страховщиков не только с клиентами, но и между собой. Этот вопрос может решить пул киберстраховщиков — они в первую очередь заинтересованы в унификации этого направления страхования. Этот же пул может решить и проблему ограниченности страховых лимитов через сострахование в комфортных для себя долях. И третье направление работы — совершенствование законодательной базы. Нужно унифицировать и закрепить законодательно основную терминологию киберстрахования и его базовые принципы, расширить перечень отраслей, для которых киберстрахование должно стать обязательным, ввести стимулирующие налоговые льготы для компаний, страхующихся от киберрисков, перенести ответственность за киберриски или ее часть на интеграторов, разработать нормативную базу для параметрических продуктов и т. д.
Павел Озеров подчеркнул, что эти шаги требуют определенного времени и значительных усилий, но их реализация не только позволит сохранить и увеличить темпы роста рынка киберстрахования, но и существенно повысить уровень защищенности бизнеса на фоне ускоряющейся цифровизации всех ключевых процессов.
Схожей точки зрения придерживается и исполнительный директор АО «СОГАЗ» Анар Бахшалиев, который в своем выступлении на конференции назвал одним из тормозящих развитие рынка факторов конфликт интересов бизнеса и страховщика на этапе андеррайтинга: компании стараются не допускать андеррайтеров в периметр своих систем кибербезопасности и не дают им исчерпывающий доступ к данным, что не позволяет адекватно оценить защищенность систем и потенциальные риски. Также он отметил необходимость трансформации рынка: «Рынок киберстрахования — это небольшой рынок сделок, с долей менее 0,1%. Этот «бутиковый рынок» не может быстро стать массовым и занять значимую долю без форсированного роста инвестиций капитала со стороны страховщиков. Для обеспечения позитивной динамики осознанного приобретения и формирования массового рынка необходимы простые, понятные продукты, в том числе с цифровым клиентским путем. Такие продукты способны обеспечить хорошие темпы роста рынка киберстрахования, а рост объема рынка позволит страховщикам больше в него инвестировать своим капиталом. Отдельно хочу отметить, речь идёт об осознанно приобретаемых продуктах с клиентской ценностью. При реализации такого подхода рынок осознанного кибер страхования имеет все шансы удвоиться к 2027 году».
По словам Павла Озерова, многие компании, отказываясь от киберстрахования, ссылаются на наличие разного рода технических и программных средств защиты от кибервоздействия.
«Между клиентом и страховщиком существует пропасть: клиент не готов впустить в инфраструктуру, а страховщик не готов страховать без объективных данных об уровне защищенности. Нужен медиатор, который сможет дать понятную и прозрачную оценку защищенности компании», — отметила Наталья Воеводина, генеральный директор АО «Кибериспытание», партнер фонда Сайберус.
Однако, как показывает статистика по уже совершенным киберпреступлениям, 88% инцидентов связаны с человеческим фактором и социальной инженерией — тем, от чего ни техника, ни программные комплексы защитить не могут. Кроме того, как считают 56% опрошенных экспертов в сфере кибербезопасности, в ближайшие максимум 2 года ИИ станет ключевым инструментом хакеров, т. е. предупредить и предотвратить атаки будет сложнее.
Сравнивая динамику роста рынка киберстрахования в России и мире, Павел Озеров отметил, что отечественный рынок растет заметно активнее мирового. Так, объем общемирового рынка по итогам 2023 года оценивался в $14,02 млрд, что на 24,8% больше, чем годом ранее, а к 2031 году, по прогнозам экспертов, он вырастет до $59,96 млрд, т. е. среднегодовой рост составит 19,92%. В России же рынок киберстрахования за 2020-2024 годы вырос в 12,5 раз, с 0,2 до 2,5 млрд рублей (среднегодовой рост 86,1%), и продолжает расти. Вопрос в том, какими будут его дальнейшие темпы роста, насколько успешно будет развиваться этот вид страхования.
По мнению Павла Озерова, сейчас перед рынком киберстрахования стоят четыре ключевых вызова, тормозящих его развитие.
● Первый — это ограниченность лимитов страхования и возможностей перестрахования.
● Второй вызов в том, что бизнес не видит для себя ценности в киберстраховании: он и так тратит серьезные средства на техническое и программное обеспечение своей кибербезопасности и не понимает, для чего нужно выделять бюджет еще и на страхование.
● Третий вызов — общее недоверие бизнеса к киберстрахованию – по сути дополняет второй. Компании не дают страховщикам всю информацию о своей системе безопасности, не допускают андеррайтеров к внутренним данным для объективной оценки рисков, опасаясь разглашения коммерческой тайны, и т. д.
● Четвертый вызов — то, что страховщики сейчас работают каждый сам по себе, в сегменте отсутствует унифицированная терминология, нет единых методик оценки рисков, расчета страховых премий и выплат при наступлении страхового случая, нет единой процедуры урегулирования убытков и т. д. Из-за этого, в частности, бизнес лишен возможности сравнить предложения разных страховщиков и выбрать наиболее оптимальное для себя по наполнению и стоимости — нередко в такой ситуации руководители компаний решают отказаться от киберстрахования.
В своем выступлении Павел Озеров отметил, что масштабы киберрисков растут: за 10 лет число подтвержденных киберпреступлений в России выросло в 46 раз, только во II квартале 2024 года в странах СНГ было совершено в 2,6 раза больше киберпреступлений, чем за тот же период 2023 года, причем подавляющее их большинство — 76% — пришлось на Россию. Ущерб, нанесенный киберпреступниками российской экономике только за 2023-24 годы, оценивается не менее чем в 1 трлн рублей. 37% клиентов говорят, что самый актуальный для них киберриск — это приостановка деятельности вследствие кибератаки.
Совладелец страхового брокера Mains Павел Озеров принял участие в фестивале по кибербезопасности Positive Hack Days (PHDays Fest), который прошел 22-24 мая в Москве на территории спортивного комплекса «Лужники». Он выступил на сессии «Киберстрахование: когда ждать прорыва?» с обзором состояния российского рынка, его проблем и путей решения.