Кибератаки всегда случаются, но от них страхуют

Киберстрахование позволяет бизнесу снизить свои потери в случае удачной атаки злоумышленников на его ИТ-инфраструктуру. Полис может покрывать основные киберриски, связанные с недопустимыми событиями для бизнеса.

Бизнес давно привык страховать свои активы и имущество, ответственность, здоровье и безопасность сотрудников. Страхование киберрисков, связанных с возможной утечкой данных, взломами корпоративных ИТ-систем, кражей средств со счетов, пока остается для компаний на втором плане. Это тем более удивительно, что объемы цифровых данных у российского бизнеса растут, а риски кибератак увеличиваются.

К августу 2024 года доля заказных кибератак на российский бизнес выросла с 10 до 40% по отношению к прошлому году. Атаки стали намного чаще совершать профессиональные взломщики, а не “хактивисты”. Разница в том, что первые нацелены на бизнес и в основном действуют в коммерческих интересах (в том числе их используют в конкурентной борьбе), а у вторых скорее политические мотивы.

Для компаний самый серьезный риск от удавшейся кибератаки — временная или постоянная остановка производства, поставок или сервиса. Ущерб от таких форс-мажоров для предприятий среднего масштаба может достигать миллионов рублей в день. Поэтому информационная безопасность для компаний приобретает особое значение. Причем она включает не только системы защиты корпоративной ИТ-инфраструктуры, антивирусы, шифрование и другие компоненты, но и страхование кибербезопасности.

Пока услуги страхования киберрисков на российском рынке не очень известны и распространены. Они начали развиваться вместе с ростом самих киберугроз примерно в 2016-2018 гг., когда прошла массовая волна хакерских атак на российские банки и телеком-компании. Наиболее активно киберстрахование стало расти в последние два года, когда кибератаки стали распространеннее и опаснее. Тем не менее, сегодня на его долю приходится не более 0,1% российского страхового рынка, а предлагает эту услугу лишь несколько крупных компаний. Но, учитывая активность хакеров, рост киберугроз заставит бизнес более активно страховать эти специфические риски.

Основной риск — киберинциденты, приводящие к недопустимым событиям для бизнеса. Среди типовых: кража персональных данных, денег компаний со счетов, попытки зашифровать данные компании и взломать аккаунты первых лиц. Этот перечень рисков постепенно превращается в стандарт для большинства страховых компаний, работающих в этой сфере.

Кроме того, страховое покрытие может включать компенсацию расходов на проведение экспертизы, чтобы определить, была ли совершена кибератака, найти возможности восстановить работоспособность систем и нивелировать последствия. Немаловажно также, что страховщик возмещает компаниям маркетинговые расходы на восстановление репутации, например, после утечек данных. Потери из-за простоев бизнеса в связи с поломками оборудования и ИТ-систем тоже можно включить в страховое покрытие. Они могут наносить серьезный ущерб бизнесу. Например, в этом году из-за хакерской атаки на несколько дней была практически парализована работа компании крупной транспортной компании.

При этом средние лимиты выплат по страхованию киберрисков в России, по данным Альфастрахования, составляют внушительные 250-500 млн рублей, а по отдельным видам страхования и вовсе достигают 2,5 млрд.

В отличие от классических видов страхования, таких как КАСКО, “Имущество”, “Ответственность” и другие, в киберстраховании не столь обширна практика урегулирования страховых случаев. Ситуация осложняется тем, что каждая кибератака уникальна и по своим методам, и по тому негативному влиянию, которое она оказывает на бизнес. Пока на рынке отсутствуют общие алгоритмы киберстрахования и однозначные представления о том, что такое киберриски, какие из них можно и нужно страховать и каким должно быть справедливое страховое покрытие.

Проблема в том, что в сфере киберстрахования очень высока стоимость качественных экспертных оценок: она может доходить до миллионов рублей. Эти расходы должен взять на себя либо страхователь, либо страховщик. Чаще всего в современной практике за экспертизу платит клиент. Но это условие всегда необходимо обговаривать “на берегу”, до подписания договора.

С популяризацией киберстрахования этот рынок начнет расти, а параллельно с этим процессом будут формироваться общепринятые стандарты и определения. Участники придут к общим позициям о том, что является киберриском, как определяется уровень защищенности компании от кибератак и какие действия бизнес должен предпринимать, чтобы митигировать киберриски.

Цифры говорят о том, что этот рынок уже достаточно велик. Как показал опрос, проведенный “Коммерсантъ”, по итогам этого года он может составить более 3 млрд руб. На перспективу есть и более радужные ожидания: по прогнозу “Сбербанк Страхования”, уже к 2025 году рынок киберстрахования вырастет до 8-10 млрд рублей. Значит, мы находимся на пороге большого рыночного “взрыва”, хотя сегодня об услугах киберстрахования знают далеко не все компании, а те, кто знает, не обязательно доверяют страховщикам в этом сегменте. Рынок не сложился, и компании занимают выжидательные позиции. Чтобы ситуация изменилась, рынок киберстрахования должен становиться прозрачнее с точки зрения тарифов, условий договоров, процессов определения страхового покрытия и урегулирования убытков. Для этого мы, например, предоставляем нашим заказчикам услуги экспертизы на всех этапах клиентского пути: от оценки уровня рисков для бизнесов разного масштаба и типа и до экспертизы на уровне урегулирования убытков.

Чтобы повысить информированность бизнеса, мы работаем не только со страхователями, но и со страховыми компаниями: запускаем коллаборации для популяризации киберстраховок среди их клиентов. Наша главная цель состоит в том, чтобы показать компаниям: киберстрахование — это удобно, рационально и достаточно просто. Главное выбрать партнера с качественной экспертизой и четко формулировать собственные интересы и ожидания. Тогда при наступлении страхового случая сюрпризов точно не будет.

Шаг 2: сбор и анализ данных о том, как в компании реализована система информационной безопасности.

Шаг 3: определение условий страхования, включая страховую сумму (страховой лимит) и тариф.

Страховой лимит для компаний зависит от уровня информационной безопасности и набора рисков, которые планируется страховать. Иногда он оказывается ниже, чем запрашивает бизнес. В таком случае ему предлагается пройти “кибертрансформацию”. Проще говоря, внедрить у себя ряд новых технологий, политик и оборудования для комплексной защиты данных. Иногда это может быть использование криптографического ПО или подключение внешних сервисов для обеспечения информационной безопасности. А иногда бизнесу достаточно начать делать бэкапы, чтобы сразу многократно снизить, например, риски шифрования данных со стороны хакеров.

Учитывая незрелость рынка киберстрахования и отсутствие четких стандартов, оптимальным вариантом будет обратиться к услугам посреднических компаний, владеющим широкой экспертизой в этой сфере. Они станут связующим звеном между заказчиком и страховщиком, помогут подобрать лучшие условия договора страхования и определить перечень недопустимых событий (то есть рисков, которые покрывает полис).

Активность хакеров все сильнее смещается в область бизнеса. Злоумышленники могут действовать в интересах конкурентов или шантажировать бизнес. Утечки пользовательских данных приносят компаниям высокие репутационные риски и способны даже привести к ее уходу с рынка, а атаки на ИТ-системы — остановить производство, поставки и обслуживание на несколько дней. Значение киберрисков трудно преувеличить, так как они могут принести бизнесу крупные убытки. Страхование покрывает их, но бизнесу важно не упускать из виду существенную деталь: страховой лимит имеет значение. Чтобы он удовлетворял ожиданиям компании-страхователя, она должна не только обеспечить себе киберзащиту, но и постоянно трансформировать ее, а также актуализировать данные об уровне своей защищенности. Тогда у компании и страховщика будет больше сведений о возможных рисках и их потенциальном значении для бизнеса (какого размера ущерб они способны нанести). Значит, страховая сможет предложить адекватный лимит, который устроит бизнес. Кроме того, компания благодаря кибертрансформации получит качественную защиту от кибератак.