ГЛАВНАЯ / БЛОГ / ПОЧЕМУ БИЗНЕСУ ПОРА НАЧАТЬ СТРАХОВАТЬ КИБЕРРИСКИ

Почему бизнесу пора начать страховать киберриски

крупным компаниям стоит задуматься о дополнительных способах защиты
ДАТА ПУБЛИКАЦИИ:
24 апреля 2025
ТЕГИ:
ПОДЕЛИТЬСЯ:
Киберриски
Информационная безопасность
Первый киберстраховой продукт в России был запущен еще в начале 2010-х, но рынок так и не стал массовым. По данным исследования Mains, в стране заключено не больше 2000 договоров киберстрахования, причем большинство из них – коробочные решения с ограниченным покрытием. Наблюдается парадокс: чем выше уровень угроз, тем активнее бизнес инвестирует в защиту, избегая при этом инструмента, который мог бы компенсировать ущерб от атак.

В чем причина низкого спроса? Во-первых, компании недооценивают риски и считают, что если у них нет миллионов клиентов или критически важных данных, то они не представляют интереса для хакеров. Практика показывает, что мишенью становятся и обычные россияне, и промышленные гиганты, и госучреждения. Во-вторых, бизнес опасается сложных условий страхования, бюрократических проволочек и возможных отказов в выплатах. В-третьих, киберстрахование – это сложный продукт, который требует от клиентов прозрачности в отношении своих систем защиты, а многие компании пока не готовы раскрывать эту информацию.

В отличие от западной практики в России запрещено страховать штрафы, наложенные государством. Невозможно и компенсировать размер выкупа – такой акт приравнивается к поддержке терроризма. Экспертное и потребительское сообщества любят приводить эти исключения как барьеры для развития рынка. Но штрафы составляют только часть от расходов бизнеса в связи с киберинцидентом, страховая компания же покрывает остальное.

Стандартный полис компенсирует финансовые убытки от приостановки деятельности, упущенную выгоду, расходы на восстановление систем и информации, материальный ущерб оборудованию и имуществу. Также покрываются расходы на купирование инцидента и уменьшение его последствий. Кроме того, в полисе предусмотрено возмещение расходов на судебное разбирательство, а также пиар-поддержка в кризисных ситуациях. Компенсация таких расходов уже покроет стоимость договора страхования, не говоря о компенсации ущерба первому или третьему лицам.

Многие компании пока попросту не понимают, как урегулируются убытки и рассчитывается размер компенсации. А рынок редко раскрывает информацию о киберинцидентах – отсюда низкий интерес к инструменту.

Вероятно, страховщик так и останется для страхователя третьим лицом, которому нельзя раскрывать данные. Тут на выручку могут прийти IT-интеграторы и компании, занимающиеся кибербезопасностью. Они уже находятся в доверенном контуре страхователя. Применяя систему оценки риска, такие посредники могут передавать страховщикам скоринг-балл или проводить полноценный андеррайтинг на своей стороне, консультировать клиента по объему страхового покрытия и последовательности шагов при киберинциденте. Так страхование станет одним из звеньев общей системы защиты предприятия, что снимет многие вопросы о его необходимости.

Страховым компаниям же важно в кооперации с вендорами разработать единые стандарты и применять их на практике. Здесь не обойтись без сознательности компаний-страхователей в части открытости информации. Клиенты, партнеры, государство страдают от незнания сильнее, чем в случае открытого предупреждения об инциденте, когда у них остается время для принятия мер в отношении своей безопасности. Всеобщая прозрачность не только повысит доверие, но и снизит ущерб.

В свое время компании осознали необходимость страхования имущества и ответственности. Точно так же и киберстрахование в ближайшие годы станет стандартной практикой. Компании или должны сделать шаг в этом направлении сейчас, или будут вынуждены заплатить за свое бездействие в будущем. Время играет против тех, кто откладывает решение на потом. Киберугрозы становятся сложнее, атаки – масштабнее, убытки – ощутимее. И вопрос не в том, произойдет ли кибератака, а в том, насколько готовым окажется бизнес к ее последствиям.
По различным прогнозам, к концу десятилетия глобальные потери от киберпреступлений достигнут $90 трлн. И хотя мировые расходы на информационную безопасность превысили $200 млрд, число инцидентов не уменьшается, в том числе в России. Только в конце марта – начале апреля 2025 г. под ударом оказались «Мострансавто», РЖД, Система быстрых платежей и «Лукойл». И если отсутствие автобусов на онлайн-карте, скорее, неудобство, то невозможность купить билет на поезд, перевести деньги, оплатить топливо или покупки, причем в масштабе страны, – серьезная проблема. Если предположить, что действия хакеров привели к дневному простою бизнеса, то потери РЖД в таком случае составят 7,7 млрд руб. (при условии, что выручка за год – 2,8 трлн руб.), а «Лукойла» – 23,6 млрд руб. (годовая выручка – 8,62 трлн руб.). А ведь страдает не только финансовая составляющая, но и репутационная.
Глобальный рынок киберстрахования стремительно растет: в 2022 г. его объем составлял $11 млрд, а к 2031-му может достичь $60 млрд. Но в России компании продолжают надеяться на собственные силы и игнорируют возможность финансовой защиты, забывая, что стоимость устранения последствий кибератаки значительно превышает любые затраты на полис.
Сегодня предприятия активно инвестируют в меры информационной безопасности. Но никакие технологии не гарантируют полной защиты: ошибки сотрудников, методы социальной инженерии и развитие искусственного интеллекта делают компании уязвимыми. В этом контексте страхование киберрисков перестает быть экзотикой и становится насущной необходимостью. Это не просто дополнительная финансовая подушка, а стратегический инструмент управления рисками, который может уберечь компанию от колоссальных убытков и репутационных потерь. Но пока с этим согласны не все.