Угрозовый рассвет: почему растут киберриски и как устроено их страхование

Новые угрозы — новые страховки

Киберстрахование — самый молодой вид страхования на рынке. В отличие от страхования имущества или здоровья, которые существуют десятки лет, направление, связанное с цифровыми угрозами, только развивается. В первую очередь этот вид страхования направлен на защиту цифровых активов, например приложений, когда весь доход бизнесу приносит код, а не станки и конвейеры. Кроме того, и традиционные активы компании становятся все более автоматизированы. К примеру, даже консервативный аграрный бизнес идет в ногу со временем: если раньше специалисты должны были обходить поля и контролировать состояние культур, сегодня это делают с помощью систем мониторинга посевов — на основе информации от датчиков в режиме реального времени.

В России киберстрахование стало активно развиваться только с 2015 года. Отчасти толчком стал рост количества хакерских атак и все увеличивающийся ущерб от них. Как сообщали в криминалистическом центре Следственного комитета, в прошлом году в стране зафиксировали около 510 000 преступлений с использованием информационных технологий против 10 000 в 2014-м. То есть речь о росте больше чем в 50 раз за период меньше 10 лет. В таких условиях созданы все предпосылки для роста популярности страхования от киберугроз.

Если говорить о вероятности хакерской атаки, по данным Positive Technologies за прошлый год, чаще жертвами успешных кибернападений становятся госучреждения (17%), медицинские организации и промышленность (по 9%), научные и образовательные институты (7%), IT-компании (6%), предприятия сферы услуг (5%). 

Опции на страх и риск

Хотя страхование от киберрисков существует не первый год, для многих неочевидно, как оно работает. Отчасти это связано с тем, что все зависит от параметров конкретного полиса: условия могут быть очень индивидуальны, у каждой компании свой запрос. Это может быть комплексная страховка от всех цифровых рисков или отдельные опции: страховка от взломов, от утечек данных, от ущерба третьим лицам. Страховка позволит компенсировать ущерб, если инцидент все же произойдет. Затраты на киберзащиту не включаются в полис — эти расходы по-прежнему остаются за фирмой-клиентом.

Разберем чуть подробнее, какой ущерб может компенсировать страховая. Можно выделить четыре типа компенсаций:

1. возмещение затрат на восстановление информационной системы компании, а также утраченных данных, если это требуется. Это может быть в том числе компенсация расходов на оплату работы внешних дешифровальщиков, «белых хакеров» или расследователей;
2. компенсация украденных денег;
3. возмещение убытков компании из-за простоя в результате киберинцидента;
4. ответственность перед третьими лицами.

При этом в каждом конкретном договоре отдельно оговаривается, какие случаи не признают страховыми. Например, полис может не покрывать ситуации, если в инциденте виноват сотрудник с высоким правом доступа, или если компания использовала нелицензионные программы. Но если инцидент случится по вине рядового работника, открывшего фишинговое письмо, страховка будет актуальна.

Трудности роста

Пока что киберстрахование не очень популярно и в России, и в мире: по субъективной оценке, компании тратят на него меньше 1% бюджета на цифровую защиту. При этом обращают внимание на этот вид полисов только около 10% компаний, а оформляют — не больше 5%. Остальные же вкладываются в защитные системы против хакеров и утечек.

Одна из сложностей анализа: многие корпорации публично не сообщают о том, что произошел инцидент, поэтому пока не существует достоверной статистики о числе успешных взломов и хакерских атак. А без этих данных страховщикам сложно оценить риски, рассчитать объем потенциальных компенсаций и, соответственно, страховых взносов.

Кроме того, российским страховщикам довольно сложно обратиться к опыту западных стран, поскольку там ситуация развивается по другому сценарию. Да и штрафы в России существенно ниже, а само законодательство запрещает страховать противоправные действия: то есть штрафы выплачивают только сами нарушители, их не покрывают страховки.

В России уже есть пул страховых компаний, которые формируют сегмент рынка полисов от киберугроз. Постепенно на практике получится собрать реальную статистику по инцидентам и тому, в какие суммы они обходятся, и проблема с расчетами будет решена.

Кроме того, Банк России планирует создать условия для института страхования киберрисков и дать перечень данных внешним пользователям для формирования моделей страхования. Регулятор сообщал об этом в «Основных направлениях развития информационной безопасности кредитно-финансовой сферы на период 2023-2025 годов». В этом же документе специалисты оценивали глобальный рынок страхования киберрисков на 2022 год в $14 млрд. К 2025-му он будет составлять уже $20 млрд, считают эксперты.

Продолжение следует

С точки зрения масштабов вероятного ущерба от инцидентов очень чувствительны финансовые предприятия. Чтобы ограбить их, злоумышленникам достаточно добыть логин и пароль главного бухгалтера или топ-менеджера. Также высоки риски для госорганов, оперирующих большим количеством электронных документов и персональных данных. Ценна страховка от киберрисков и для предприятий, основной доход которым приносят цифровые активы, — например, онлайн-сервисов такси, онлайн-школ или поставщиков контента.

Мы уже видим интерес к киберстрахованию со стороны бизнеса, и, полагаю, в ближайшее время можно ожидать роста его популярности. На мой взгляд, первопроходцем в этом сегменте станет преимущественно средний бизнес. Малые игроки редко задумываются о киберстраховании и считают его уделом крупных компаний. Корпорации же больше склонны вкладываться в аппаратные и программные защитные механизмы. У среднего бизнеса таких колоссальных сумм, скорее всего, нет, но есть осознание рисков и желание защитить компанию. Но на самом деле этот вид страхования может принести пользу любому бизнесу, у которого есть цифровые активы.

Мнение редакции может не совпадать с точкой зрения автора