Бизнес бояться отказывается: почему киберстрахование пока не ставит рекорды

Активные кибератаки заставляют мировые компании задуматься о возможных рисках, но в России спрос на киберстрахование остается на показателях мирного времени. Cyber Media обсудил положение вещей с участниками рынка и страховщиками.

В недавнем исследовании Bloomberg эксперты крупных страховых компаний рассказали, как идущие с прошлого года активные кибератаки меняют отрасль. Глобальные игроки пытаются понять, как не разориться на выплатах из-за катастрофических утечек и не распугать клиентов возросшими суммами платежей по договорам (страховых премий).

«[Швейцарская страховая компания] Chubb Ltd. изучает возможность повышения цен и страховых отчислений. [Британская организация] Beazley Plc разрабатывает новый продукт военного страхования, выходящий за рамки стандартной киберполитики, для покрытия хакерских атак между государствами. Другие страховщики корректируют свою политику, чтобы исключить акты кибертерроризма. Lloyd’s of London, крупнейший мировой страховой агент, попросил всех перевозчиков, торгующих через его платформу, прекратить покрывать взломы, поддерживаемые государством», — пишут журналисты Bloomberg.

Проявлять гибкость, договариваясь о новых правилах игры, приходится обеим сторонам страховых отношений. Например, в Великобритании страховщики киберрынка чаще предлагают дополнительные сервисы, чтобы привлечь компании, которые могли отказаться от страхования в последние полтора года из-за сложностей с андеррайтингом (проверка клиента финансовой организации перед заключением кредитного или страхового договора). Клиентам удается добиться существенного снижения цен или договориться об изменении сумм франшизы.

Справка: как работает киберстрахование

Полис киберстрахования покрывает финансовый ущерб бизнесу, связанный с произошедшим киберинцидентом. Страховым событием может быть несанкционированный доступ к IT-системам, кибератака, нарушение конфиденциальности данных, кража средств со счетов, повреждение цифровых активов. Киберстрахование также покрывает иски третьих лиц, которые могут быть предъявлены по итогам инцидента, расходы на расследование и защиту, выплаты компенсаций.

Иван Пучков

PR-директор Страхового Дома ВСК

Киберстрахование должно предполагать комплексный подход: активную защиту от поставщиков средств ИБ, помощь экспертов в устранении инцидента, минимизацию последствий, последующем расследовании для целей урегулирования. Только в таком случае киберстрахование будет работать и подразумевать честное урегулирование инцидентов, а клиенты будут видеть пользу.

В каждой страховой есть свои подходы к оценке риска и правилам формирования портфеля клиентов. Сейчас страхование подразумевает либо наличие зрелых процессов в области ИБ, либо поставку сервисно-страхового продукта, который включает активную защиту от угроз и страхование остаточных рисков.

В России количество киберинцидентов в течение 2022 года выросло вдвое. В первом квартале 2023 тренд продолжился — аналитики насчитали на 60% больше кибератак, чем годом ранее. Однако, как говорят и страховщики, и их клиенты, компании не спешат защищаться от последствий утечки или взлома, и рынок киберстрахования остается в зачаточном состоянии.

Особенности национального киберстрахования

Продукты для страхования кибербезопасности появились в России задолго до того, как кибератаки вошли в общую повестку. Такие сервисы предлагают «АльфаСтрахование», «Согаз», «Сбер Страхование» и другие крупные игроки, некоторые работают с киберрисками уже больше пяти лет.

Тем не менее по данным РБК, сумма страховых премий по таким полисам не превышает 150-300 млн рублей при общем объеме рынка в 1,8 трлн рублей. Ситуацию могут изменить государственные инициативы — в последнее время представители самых разных ведомств говорят, что страховать безопасность персональных данных и критических информационных активов необходимо так же, как это организовано в случае ОСАГО.

Почему же реальные угрозы кибербезопасности не заставили рынок активнее искать защиту от возможных затрат? Эксперты сходятся в том, что главная проблема киберстрахования не меняется с самых первых попыток создать подобный продукт — недостаточная прозрачность рынка.

Дмитрий Овчинников

Главный специалист отдела комплексных систем защиты информации компании «Газинформсервис»

[И страховщики, и их клиенты] до конца не понимают стоимость нематериальных активов. Если с ремонтом машины после ДТП все предельно ясно — есть заключение независимой экспертизы, которую можно предъявить в суде — то с ущербом от успешно проведенной кибератаки все не так очевидно. А главное, нет официально признанных методик расчета ущерба, обе стороны урегулирования могут совершенно неверно оценивать этот ущерб. По хорошему, для развития рынка необходимо развитие независимых аудиторских компаний, которые могли бы выдавать экспертную оценку.

Иван Пучков

PR-директор Страхового Дома ВСК

Атаки заставили активных участников рынка говорить о киберстраховании – регуляторов, интеграторов, вендоров, страховые компании — но фактически не повлияли на клиентов. В первую очередь это обусловлено низкой степенью зрелости процессов информационной безопасности в большинстве компаний и отсутствием представления о том, как страхование в области ИБ поможет решить проблемы. Можно говорить о том, что страховые сейчас не до конца понимают потребность и виденье рисков со стороны клиентов.

В результате, спрос на полисы остается на прежнем уровне. Как отмечает PR-директор Страхового Дома ВСК Иван Пучков, киберстрахование применяется в компаниях, где этого требует внутренний риск-менеджмент — кибератаки входят в спектр IT-рисков. Некоторые участники рынка предлагают продукты киберстрахования «в нагрузку» к основному продукту, однако эксперт не относит такие услуги к рынку по той самой причине, что клиенты приобретают их без специальной мотивации.

Время стелить солому

Нетрудно предположить, что разные подходы к контролю киберрисков в России и других странах связаны с экономическими факторами. Речь не об объемах доступных средств, а о зрелости рынка как такового: на западе киберстрахование развивается уже больше 20 лет, бизнес привык обращаться за услугами по проактивной работе с рисками. Отечественные же страховщики прямо заявляют, что рынок отстает от жизненных реалий.

При этом, как отмечают и эксперты в нашей статье, зрелость процессов ИБ и управления рисками играет важную роль в киберстраховании как таковом. Без выстроенных процессов, налаженной инфраструктуры безопасности, регулярных пентестов компании не удастся получить выгодный полис. Учитывая, как активно сейчас бизнес инвестирует в свою защиту, возможно, это развитие в скорой перспективе подтолкнет и спрос на киберстрахование.