Страхование рисков кибербезопасности

Страхование давно уже стало привычным делом в мировых практиках кибербезопасности. Услуги по страхованию киберрисков предоставляют как профильные компании, так и большие страховые организации международного уровня.

Вместе с тем, практика киберстрахования в России встречается достаточно редко, несмотря на наличие большого выбора компаний, которые готовы предоставить подобные услуги. Это во многом обусловлено низким уровнем осведомленности целевой аудитории о самой услуге страхования рисков кибербезопасности.

В этой статье разобраны основные аспекты киберстрахования, ведущие поставщики данной услуги, механизм взаимодействия между страховщиками и клиентами.

Что такое киберстрахование

Главные отличия киберстрахования от других видов базируются на двух факторах:

1. Объект страхования. В его роли выступают данные (как правило, персональные данные клиентов или сотрудников), а не носитель – сервер или облако.

2. Требования к клиенту. Для получения полиса киберстрахования компания должна соответствовать определенному уровню защиты.

Главное преимущество страхования кибербезопасности – это возможность получения компенсации в случае компрометации данных, а не нанесения ущерба инфраструктуре.

В зависимости от конкретного страховщика или тарифа, страховой полис покрывает расходы на:

• кибервымогательство;

• расходы на требования безопасности ПДн;

• расходы на устранение последствий утечки данных;

• покрытие издержек, которые понесла компания при вынужденным простое (например, в ходе DDoS-атаки);

• затраты на консультации специалистов при устранении последствий взлома (расследование, судебные издержки, затраты на юристов, PR-специалистов и тд.).

Важно понимать, что далеко не все киберинциденты попадают в категорию страховых случаев. Например, к таковым не относится деятельность инсайдеров внутри компании, когда в компрометации данных осознанно участвует сотрудник компании. Это создает разночтения между компанией и страховщиком в тех случаях, когда инсайдер – только одно из звеньев кибератаки, и такие распри приходится решать в судебном порядке.

Страхование позволяет минимизировать ущерб кибератаки для организации, покрыть часть издержек и избежать банкротства компании. Однако, все эти факторы и преимущества имеют разную актуальность в зависимости от страны, в которой работает компания.

Особенности киберстрахования компании в России

Российский рынок страхования рисков безопасности достаточно насыщен. Есть крупные отечественные игроки, такие как СберСтрахование или АльфаCyber, а также представительства иностранных компаний, например Allianz Cyber Protect.

Однако, наибольшей популярностью пользуется комплексная модель, где страхование идет вместе с софтом безопасности, который предоставляет ИБ-компания. В такой модели все получают свои преимущества. Клиент получает дополнительную гарантию безопасности, вендор – прибыль с поставки своего ПО, а страховая компания – уверенность в том, что клиент достаточно защищен с точки зрения ИБ.

Однако, спрос на рынке остается достаточно низким, в первую очередь из-за отсутствия главного драйвера развития, актуального для других рынков – штрафов за допущение утечки данных.

Страховать риски кибербезопасности просто нет смысла, если издержки в ходе инцидента обходятся дешевле, чем оплата полиса. Об этом наглядно говорит кейс Яндекс.Еды, в рамках которого претензии клиентов к компании были удовлетворены достаточно скромной суммой ( по 5000 рублей 13-ти клиентам).

В то же время, появляются и предпосылки для роста актуальности киберстрахования в России. Это и обсуждение ужесточения наказания за утечки данных, и рост количества кибератак на российские компании, и повышение общего уровня осознанности рисков кибербезопасности в бизнес-среде.

Вывод

Мировой рынок киберстрахования растет благодаря государствам, которые идут по пути ужесточения законодательства в сфере работы с данными. Таким образом регуляторы мотивируют бизнес осознанно относиться к рискам утраты данных.

Николай Журавлев

Генеральный директор «Эксперты бизнес-планирования»

На сегодня киберстрахование стало популярным способом защиты от информационных рисков, которым пользуются тысячи компаний по всему миру. Поскольку на сегодня крупные компании постоянно подвергаются взломам, небольшие предприятия тоже осознали, что вопрос уже не в том, «будет ли атака», а в том, «когда» она произойдет. Благодаря этому, по последним оценкам отраслевых экспертов мировой рынок киберстрахования достигнет к 2025 году оборота в 20,6 млрд долларов. Такие темпы роста являются реакцией на взрыв кибератак за последние несколько лет. Объем убытков от киберпреступлений также продолжает расти. Microsoft утверждает, что киберпреступность ежегодно обходится мировой экономике примерно в 500 миллиардов долларов США, а 20 процентов малых и средних предприятий подвергаются хакерским атакам.

Благодаря этому, страхование рисков потерь от киберпреступлений активно развивается, причем спрос опережает возможности отрасли: в надлежащем покрытии рисков нуждаются система здравоохранения, сфера услуг и производственный сектор. Чтобы снизить собственные риски, страховые компании ужесточают требования к кибербезопасности, прежде чем предоставить клиенту страховое покрытие. Заявитель должен предоставить доказательства наличия резервных копий, регулярного устранения уязвимостей, а также контроля над уровнями допуска сотрудников к информации. Практика показывает, что эти условия соблюдают далеко не все.

В итоге, к 2022 году рынок киберстрахования превратился из нишевого инструмента управления рисками в критически важный сектор страхования. Более того, компании, которые не используют этот вид страхования, могут столкнуться с падением доходов, поскольку партнеры и клиенты все чаще делают киберстрахование обязательным условием ведения бизнеса.

Подобная тенденция, вероятно, может стать актуальной и для российского рынка, если регуляторы все же пойдут по пути ужесточения ответственности за утечки информации. Наиболее актуальным киберстрахование представляется для компаний-операторов данных, в первую очередь из сектора электронной коммерции.

В то же время, на российском рынке уже есть достаточное количество компаний, которые могут предоставить эту услугу в самом разном формате, от чистого страхования рисков информационной безопасности до комплексного продукта, в который входит и страхование, и софт, и экспертное сопровождение в рамках устранения последствий утечки.