Почему в России медленно развивается сфера киберстрахования

06.03.2025, 13:32

1859

Эксперты страхового брокера Mainsgroup провели опрос среди страхователей, представителей страховых компаний и страховых брокеров*. Его результаты показывают, что программы киберстрахования котируют только лидеры отрасли среди страховых компаний и брокеров и только 29% страхователей запрашивали условия страхования.

Почему в России медленно развивается сфера киберстрахования — Фото: freepik

Среди опрошенных киберриски застрахованы у 12,5% страхователей.

В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.

Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.

Также были проведены экспертные опросы представителей участников рынка — компаний, предоставляющих услуги в сфере информационной и кибербезопасности, страховщиков, страховых брокеров и потенциальных страхователей, т. е. бизнеса**.

Бизнес и кибербезопасность: взгляд специалистов

Специалисты компаний, предоставляющих услуги в сфере кибербезопасности, отмечают, что бизнес озвучивает связанные с киберрисками опасения и размеры возможного ущерба, но при этом не поднимает вопрос киберстрахования.

На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.

Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.

Страховщики и страховые брокеры о состоянии рынка киберстрахования

При общении с представителями страховых компаний, оказывающих услуги по страхованию киберрисков, удалось составить следующую картину.

Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.

Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).

При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.

В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.

Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.

Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.

Консолидированный объем отечественного рынка киберстрахования компании оценивают в 2–3 млрд рублей, они ожидают, что рынок будет расти примерно на 15–20% в год.

Бизнес о киберрисках и своем отношении к киберстрахованию

Чтобы обеспечить кибербезопасность, предприятия предпочитают использовать традиционные инструменты (антивирусы, системы мониторинга инцидентов, системы резервного копирования, шифрование данных и т. д.). Представители компаний называют принимаемые меры в целом достаточными, но признают, что вероятность возникновения киберрисков все равно остается высокой.

Потери из-за вызванного киберинцидентами простоя в среднем составляют 6–8 млн рублей в сутки. В зависимости от отрасли, масштаба и других характеристик компаний, эта сумма может быть значительно выше или ниже.

К киберрискам представители бизнеса относятся крайне серьезно и считают их реальной угрозой. В зависимости от сферы деятельности, наиболее критичными рисками называют потерю (утечку) данных или приостановку коммерческих и производственных процессов.

Но при этом компании остерегаются киберстрахования, ссылаясь на то, что это недостаточно прозрачный для них вид страхования и по нему пока нет значимых кейсов. Представители бизнеса говорят, что готовы рассматривать киберстрахование, если им предоставят понятные и прозрачные условия.

Таким образом, все заинтересованные стороны — и специалисты по кибербезопасности, и бизнес, и страховщики — адекватно оценивают реальность киберугроз и возможный ущерб от них и понимают, насколько важно в текущих обстоятельствах страхование киберрисков. В то же время о причинах, по которым киберстрахование развивается не так активно, говорят не только представители бизнеса, но и страховщики.

Факторы, тормозящие развитие рынка страхования киберрисков

По мнению представителей бизнеса, страховых брокеров и страховых компаний, которые были опрошены в рамках обоих исследований, российский рынок киберстрахования развивается значительно медленнее, чем это могло бы быть. Это происходит по целому ряду причин:

● недостаточное число резонансных кейсов в этой сфере;

● нежелание компаний допускать страховщиков к данным о своей информационной защите для оценки рисков;

● отсутствие законодательной базы для обязательного страхования киберрисков;

● отсутствие понятного покрытия;

● отсутствие емкостей;

● высокая стоимость полисов: расходы на страхование сопоставимы, а иногда превышают расходы на информационную безопасность; в условиях ограниченности бюджетов это делает такую покупку крайне проблематичной.

Под понятным покрытием респонденты, как правило, понимают целый набор факторов: соответствие предусмотренных покрытием рисков реально существующим для клиента опасностям, прозрачное, подробное и полное описание страховых событий и процесса урегулирования страховых случаев, согласование привлекаемых к процедуре урегулирования сторонних организаций (аутсорсеров), предоставление полных формул оценки ущерба и расчета подлежащих выплате сумм и т. д.

Что могло бы придать ускорение развитию страхования киберрисков?

Страховщики считают, что помочь развитию рынка киберстрахования могли бы: создание единой нормативной базы, регулирующей все необходимые стандарты, процедуры и алгоритмы (с привлечением участников рынка), просветительская работа (доведение до бизнеса информации о киберрисках и возможностях, которые дает киберстрахование) и создание дополнительной законодательной базы, в т. ч. расширение перечня отраслей, для которых страхование киберрисков стало бы обязательным (к таким отраслям относят банковский и финансовый сектор, промышленность, железнодорожные и авиаперевозки, ИТ и некоторые другие).

Также эксперты Mainsgroup обращают внимание на следующие моменты.

● Назрела необходимость создания единого центра компетенций по андеррайтингу для данного вида страхования. Нам видится, что создание такого центра могло бы произойти на базе крупного системного интегратора с привлечением специалистов из страховой индустрии, включая международных страховщиков, которые давно занимаются страхованием киберрисков и уже накопили определенную статистику. В такой коллаборации возможно создание единой шкалы оценки рискозащищенности компаний, на базе которой будет производиться андеррайтинг и предоставляться страховой лимит.

● Вопрос недостаточности страхового лимита можно закрыть с помощью сострахования или механизма создания страхового киберпула, где все страховщики будут участвовать в комфортных для них долях. В данном случае необходимо будет выработать общие подходы к оценке компаний и андеррайтингу страховых рисков, а также создать типовые правила страхования киберрисков.

● Важно работать над объемом страхового покрытия, чтобы предоставлять клиентам покрытие актуальных для них рисков, а не тех, которые страховщик готов предлагать. Отчасти такая работа будет требовать плотного контакта с регулятором.

* Данные опроса 37 представителей страховых компаний, страховых брокеров и страхователей