Меньше трети российских компаний страхуют киберриски

Риски киберинцидентов застрахованы менее чем у трети российских компаний (28%), при этом риски утечек информации, связанные с подобными происшествиями, страхуют лишь 15,7% компаний. Такие данные получили специалисты экспертно-аналитического центра (ЭАЦ) ГК InfoWatch в ходе исследования «Ущерб от утечек информации и страхование».

Данные опроса: что страхует бизнес и на каких условиях

Согласно результатам опроса ГК InfoWatch, только 28% респондентов сообщили, что их организация имеет страховку от киберинцидентов. При этом ущерб именно от утечек данных, произошедших в результате таких инцидентов, застрахован лишь у 15,7% опрошенных компаний. Спрос на страхование киберрисков зависит от масштаба бизнеса, отмечают исследователи, — о наличии полисов в основном сообщают представители крупных компаний, а отсутствие чаще отмечают представители малого и среднего бизнеса (72% опрошенных представителей МСБ).

Если говорить о рисках, которые покрывают полисы киберстрахования, то большинство компаний страхуют и внешние, и внутренние риски — об этом сообщили 86% опрошенных. Оставшиеся 14% респондентов выбрали для себя только один тип рисков — только внешние или только внутренние. Как ранее отмечал ЭАЦ InfoWatch, одна из главных внутренних причин утечек данных — действия сотрудников, однако с точки зрения страхования единого подхода к таким инцидентам нет. В России в полисы киберстрахования чаще всего включают только фишинг, а другие потери под воздействием социальной инженерии, как правило, признают нестраховыми случаями. В свою очередь, умышленные действия сотрудников (Insider Threats) не входят в большинство полисов киберстрахования, и представители ряда страховых организаций считают, что ущерб от таких действий не может быть застрахован в силу российского законодательства. При этом есть мнение, что варианты страховых программ на отечественном рынке все же есть — например, страхование профессиональной ответственности или рисков действий первых лиц для топ-менеджеров.

Важный нюанс отечественного рынка киберстрахования, на который обращают внимание авторы исследования, — штрафы за утечки данных и возможные убытки из-за выплат выкупа вымогателям в России законодательно страховать запрещено. При этом у компаний интерес к такой опции есть.

«Ключевая ценность киберстрахования в мировой практике заключается в том, что во многих странах в рамках него можно полностью застраховать ответственность перед третьими лицами, что позволяет покрыть штрафы, пени и компенсации. Российская практика не дает возможность застраховать штрафы — например, риски значительного ущерба по этой статье в случае с оборотными штрафами за утечку персональных данных. Такой подход во многом снижает интерес к киберстрахованию. Сегодня эксперты оценивают российский рынок в 3,5-4 млрд. рублей, что составляет до 1% от мирового рынка страхования киберрисков», — говорит руководитель ЭАЦ InfoWatch Михаил Смирнов.

Что компенсируют страховые и на основании каких документов

Российские страховые компании при принятии решения о выплате в первую очередь принимают во внимание расходы на проведение экспертизы (15%) и расследование инцидента (13%), а также расходы на восстановление работоспособности ИТ-систем (11%), восстановление данных (11%) и аудит ИБ после утечки (9%). Представители страховых компаний подтвердили, что принимают все эти расходы для одобрения выплаты, но условия могут различаться в зависимости от состава полиса и конкретных условий.

Компании, имеющие договоры страхования от киберинцидентов, приводят список документов, которые, по их опыту, необходимы для получения выплат: в него входят заявление в органы внутренних дел, журнал событий инцидента и заключение компьютерно-технической экспертизы по итогам инцидента. Могут потребоваться дополнительные документы в зависимости от типа ущерба, при этом базового перечня в большинстве случаев достаточно, отметили представители страховых компаний.

«Страховщики также отмечают проблему, о которой ЭАЦ InfoWatch говорил в одном из предыдущих исследований, — сложности с оценкой ущерба от утечек информации. Единого стандарта на рынке не существует, и сами застрахованные компании далеко не всегда имеют собственные методики оценки ущерба от киберинцидентов. Между тем, и в России, и за рубежом утечка данных признается страховым событием только в том случае, если ущерб от нее подтвержден соответствующими документами. Если же компания не сможет оценить и зафиксировать ущерб, то такой случай не будет признан страховым, а убытки не будут компенсированы. Поэтому отсутствие методик оценки ущерба можно назвать одним из серьезных препятствий на пути дальнейшего развития рынка страхования киберрисков в России», — заключает Михаил Смирнов.

В основу исследования лег опрос представителей рынка страхования и компаний, которые заинтересованы в услугах страхования киберрисков. ЭАЦ InfoWatch опросил ИБ-специалистов более 100 коммерческих компаний (средний и крупный бизнес), а также представителей 8 участников страхового рынка, в том числе предоставляющих услуги киберстрахования.