Что спасет рынок киберстрахования в России

Несмотря на стремительный рост киберпреступности, российский рынок киберстрахования остается недостаточно развитым. Мы провели исследование и в этом убедились: киберриски застрахованы лишь у 12,5% опрошенных компаний. При этом почти 13% представителей бизнеса признались, что их организации уже несли убытки из-за киберинцидентов. Потери от простоя в результате атак в среднем составляют 6-8 млн рублей в сутки, но могут достигать десятков и даже сотен миллионов.

Тем не менее подавляющее большинство участников рынка (почти 95%) считают, что сектор киберстрахования в ближайшие годы будет расти. Среди страховых брокеров и страховых компаний уверенность в этом абсолютна — 100%. Однако темпы этого роста остаются под вопросом. Почему же киберстрахование до сих пор не стало неотъемлемой частью корпоративной защиты?

Растущие угрозы и слабый страховой рынок

Киберпреступность в России демонстрирует взрывной рост. За период 2014-2022 годов количество киберпреступлений увеличилось в 46 раз, и тенденция продолжается. Только во втором квартале 2024 года число атак на страны СНГ выросло более чем в 2,5 раза по сравнению с аналогичным периодом предыдущего года. Причем три четверти из них были направлены против российских компаний. По прогнозам, ущерб экономике России от кибератак за 2023-2024 годы может достигнуть триллиона рублей. Для сравнения: десять лет назад эти потери составляли 200 млрд рублей, что эквивалентно 0,25% ВВП страны. Сегодня киберпреступления наносят уже вдвое больший ущерб — порядка 0,5% ВВП.

Несмотря на эти тревожные цифры, рынок киберстрахования остается крайне небольшим. Первые полисы появились в России еще в 2012 году, но даже спустя десятилетие число действующих договоров не превышает полторы тысячи. Страховые компании пока не готовы продавать полисы киберстрахования на большие лимиты, поскольку сталкиваются с рядом проблем: отсутствием перестраховочной емкости и невозможностью провести качественный андеррайтинг.

Что мешает развитию киберстрахования

По мнению участников рынка, существует сразу несколько барьеров, которые тормозят развитие киберстрахования. В первую очередь это недостаточное количество резонансных инцидентов, которые могли бы привлечь внимание бизнеса. Хотя кибератаки происходят регулярно, о многих из них не сообщается публично.

Еще одной серьезной проблемой является нежелание страхователей предоставлять страховым компаниям доступ к данным о своей информационной безопасности и ключевым активам. Две трети компаний, а точнее их ИБ-подразделения, не готовы раскрывать информацию о своей системе защиты даже ради получения страхового покрытия. А без этой информации страховщикам сложно адекватно оценить риски и предложить конкурентные ценовые условия.

В-третьих, к этим проблемам добавляются непрозрачные условия страхования в части покрываемых рисков, исключений и их трактовок, а также отсутствие четкой схемы урегулирования убытка, формулы расчета ущерба и скорости реакции на инцидент. Представители бизнеса отмечают, что существующие страховые продукты не охватывают весь спектр возможных рисков, а объем покрытия оставляет желать лучшего. Подавляющее большинство договоров страхового покрытия заключаются с лимитом в пределах 500 миллионов рублей. 

Отсутствие четкого законодательного регулирования и обязательных требований по страхованию киберрисков, по мнению экспертов страхового сообщества, также мешает развитию рынка и сдерживает спрос. В отличие от таких сфер, как, например, автострахование или страхование ответственности, киберстрахование пока остается добровольным. В результате компании предпочитают инвестировать в защиту, а не в страховые полисы. Однако, если заняться активной проработкой предыдущих трех пунктов, влияние данного ограничения может быть полностью нивелировано и рынок войдет в баланс спроса и предложения.

Перспективы рынка и роль IT-интеграторов

Несмотря на все сложности, рынок киберстрахования будет расти. По нашим данным, большинство компаний считает, что основным драйвером станут новые случаи утечек данных и кибератак, которые вынудят бизнес задуматься о страховании. Часть игроков ожидает, что развитию рынка поспособствуют законодательные изменения, другие связывают перспективы с появлением новых страховых продуктов с более понятными и выгодными условиями.

При этом одной из ключевых точек роста может стать активное участие IT-интеграторов. Сегодня страховщики и клиенты не всегда говорят на одном языке. Если в сегменте ДМС взаимодействие ведут HR-директора, а в имущественном страховании решения принимают финансовые руководители, то в случае с киберстрахованием на переговорах часто присутствуют ИБ-директора, которые не имеют опыта работы со страховыми компаниями. Зато у них налажены отношения с интеграторами, занимающимися IT-безопасностью. Именно они могут сыграть роль посредников между бизнесом и страховщиками.

Интеграторы понимают производственные процессы заказчиков, знают их уязвимости и обладают результатами IT-аудитов. Это дает им возможность разрабатывать платформенные решения по киберстрахованию совместно с брокерами и страховыми компаниями. Например, новые страховые продукты могут быть встроены в комплексные IT-решения, привязаны к количеству рабочих мест или включены в услуги кибербезопасности. В будущем интеграторы могут даже получить собственные страховые лицензии, что в принципе исключит необходимость в посредниках.

Что необходимо для роста киберстрахования

Чтобы российский рынок киберстрахования смог выйти на новый уровень, необходимо предпринять несколько шагов. Прежде всего требуется создание единой нормативной базы и типового полиса, который обеспечит прозрачность страхования, уберет разночтения и повысит доверие бизнеса. Всероссийский союз страховщиков уже анонсировал планы по разработке таких документов, но работа может затянуться до 2026 года.

Еще одним возможным решением может стать создание страхового киберпула, где компании-страховщики совместно разделят риски. В России уже существуют подобные объединения — например, ядерный страховой пул или антитеррористический страховой пул. Аналогичная схема в сфере киберстрахования могла бы привлечь больше страховщиков и сделать страхование доступнее.

Дополнительно необходимо провести работу по повышению осведомленности бизнеса. Многие компании просто не знают, что их киберриски можно застраховать, и одновременно с этим не видят всей нависшей над ними угрозы. Пока диалог о киберстраховании не выйдет на новый уровень, массового спроса ожидать не стоит.

С учетом стремительного роста киберугроз, бизнесу придется пересмотреть свое отношение к защите данных и критической инфраструктуры. Уже сегодня мы наблюдаем в наших опросах, что каждый первый ИБ-директор понимает, что не существует 100% защиты от угроз уже хотя бы потому, что 88% всех киберинцидентов происходит из-за человеческого фактора. Соответственно, недостающую дельту можно покрыть инструментами страхования. Таким образом, инвестиции в кибербезопасность не исключают необходимости страхования, а лишь дополняют его. В условиях, когда ущерб от кибератак уже измеряется триллионами, киберстрахование должно стать таким же привычным инструментом управления рисками, как и другие виды корпоративного страхования.