Киберстрахование — необходимость или тренд в российском бизнесе

Киберстрахование: перспективы развития в России

Страхование, т.е. передача риска — это один из способов обработки остаточного риска, применяемый после выполнения мероприятий по его минимизации. Наибольшей популярностью пользуются те виды страхования, которые прозрачны для клиента с точки зрения расчета страховой премии, условий страхования и покрытия рисков, а для страховщика — понятны с точки зрения актуарных расчетов, андеррайтинга и урегулирования страховых случаев. В общем случае, чем дольше на рынке страховых услуг существует какой-либо вид страхования, тем больше статистически ценной информации по нему уже накоплено, соответственно, возрастает и прозрачность процесса страхования.

Среди бизнеса сейчас популярны такие виды страхования, как страхование предпринимательских рисков, страхование ответственности перед третьими лицами, страхование имущества, обязательное страхование сотрудников. В России киберстрахование сейчас пользуется ограниченной популярностью среди крупных отечественных компаний, которые заинтересованы в покрытии рисков утечек данных, приостановки деятельности и неисполнения обязательств в результате кибератаки.

Интересный факт: на Западе, например, киберстраховка зачастую не покрывает последствия кибератак, осуществленных киберармиями или прогосударственными кибергруппировками, что может сместить фокус внимания расследователей киберинцидентов в сторону поиска следов киберактивности других государств.

Зачем нужно страхование от киберрисков

Киберстрахование, т.е. страховое покрытие киберрисков — это уже сформировавшаяся мировая практика, послужившая ответом на актуальные для бизнеса киберугрозы: атаки вирусов-шифровальщиков, DDoS-атаки, утечки данных могут привести к существенному финансовому ущербу, причем даже в компаниях с безупречно выстроенной кибербезопасностью. В результате кибернападения нужно не только взаимодействовать с пострадавшими, проводить расследование, восстанавливать данные, инфраструктуру и бизнес-процессы, но и зачастую выплачивать штрафы и компенсации. В подобных ситуациях киберстрахование является едва ли не единственным доступным вариантом хотя бы частично компенсировать затраты взломанной компании.

Причем всплеск интереса к киберстрахованию зарубежом наступил после введения оборотных штрафов за утечку персональных данных, и не исключено, что с введением обсуждающихся сейчас аналогичных законодательных мер в России услуги киберстрахования станут востребованными, особенно среди компаний, обрабатывающих огромные массивы пользовательских данных — маркетплейсов, интернет-гигантов, банков, страховых и медицинских учреждений и т.д. 

Вероятно, что обязательным киберстрахование должно стать как раз для этой категории компаний — иначе, например, есть вероятность того, что допустившая крупную утечку компания проведет процедуру банкротства и откажется от компенсационных выплат. Кроме того, субъектам КИИ, также, возможно, имеет смысл обратить внимание на киберстрахование, особенно с учетом тяжести потенциальных негативных последствий от кибератак на объекты КИИ.

Минусы киберстрахования в России в настоящий момент — это, фактически, отсутствующая массовая практика киберстрахования и, соответственно, недостаток статистики для страховых расчетов, а также сложности в объективной оценке состояния защищенности страхуемых компаний и при расследовании киберинцидентов.

Угрозы кибербезопасности в государственном секторе

Государственные учреждения становятся все более частыми целями кибератак, а нарастающий тренд на цифровизацию работы ведомств, работающих в том числе с персональными данными граждан, существенно повышает киберриски для госсектора. Как следствие, утечка данных граждан или атака вируса-шифровальщика на государственное учреждение может привести даже к более существенным негативным последствиям, чем кибернападение на частную компанию, особенно с учетом консолидации чувствительной информации о гражданах в государственных информационных системах. 

Таким образом, вероятно, для госсектора было бы целесообразно рассмотреть возможность киберстрахования, регулируемого на государственном уровне, поручив деятельность по расчету страховой премии и урегулированию страховых случаев профильному ведомству.