Страхование кибер-рисков: вопросов больше, чем ответов

Обсуждение представителями индустрии и Правительства РФ введения обязательного страхования корпоративных кибер-рисков идет с лета, как сообщает «КоммерсантЪ». Это привлекает внимание как к проблемам «на стыке» кибербезопасности и страхования, так и заставляет еще более пристально посмотреть на некоторые процессы, которые идут в обоих сегментах.

Формально все логично, но…

Направление киберстрахования (cyber insurance) существует достаточно давно — около четверти века — и активно развивается во всем мире, совершенствуя форматы и наращивая объемы. Если существуют специфические опасности, связанные с «кибербезом», значит, на рынке будут заинтересованные в страховых продуктах, оформляющих передачу соответствующих рисков внешним компаниям. Полисы киберстрахования защищают бизнесы и физических лиц от широкого спектра рисков, связанных с ИБ-инцидентами.

Практика обязательного страхования тоже существует — достаточно вспомнить ОМС или ОСАГО. Однако делать обязательным киберстрахование проблематично по нескольким причинам: количество подлежащих страховке систем велико, квалифицированных специалистов по оценке страховых случаев в cyber insurance относительно мало (и готовить их долго!), а квалификация у работающих тут должна быть высочайшая — объемы страховых выплат могут быть огромны. Микс из этих причин выглядит настораживающе.

Киберстрахование: сложности и особенности

Хакерские атаки могут привести к порче, уничтожению или краже данных, к нарушению непрерывности бизнес-процессов, к появлению ответственности перед третьими лицами (набор вариантов широк: от срыва контрактов до последствий атак на цепочку поставок), к необходимости уплаты выкупов киберпреступникам или штрафов государственным органам — все эти и многие другие риски можно застраховать.

Интересно, что в киберстрахование могут включать покрытие расходов на различные активности, вызванные атаками. Диапазон широк: от расследования киберинцидента до PR-/IR-/GR-активностей, призванных сгладить последствия инцидента в информационном поле.

История направления: мир и РФ

Принято считать, что история киберстрахования в мире началась в 2000 году, хотя некоторые в качестве точки отсчета указывают 1997 год. Однако потребовалось некоторое время, чтобы очевидные идеи — страховая защита корпораций и частных лиц от действий киберпреступников — компании смогли «упаковать» в массовые продукты.

Рынок киберстрахования в России еще молод и находится в стадии формирования, отметили в пресс-службе Angara Security. Историю данного направления на российском рынке принято отсчитывать в 2017 года, когда на волне первых мощных эпидемий ransomware — WannaCry и Petya — бизнесу стала интересна страховая защита внезапно возросших рисков для данных и инфраструктур. В том же году на локальный рынок с продуктами начали активно выходить крупнейшие российские страховщики, например, «Сбербанк-Страхование» и «Ингосстрах». Хотя, строго говоря, полисы киберстрахования как продукт существовали в рублевой зоне и раньше — например, российская компания «АИГ» (дочка глобального AIG) предлагала их с 2013 года. Но до 2017 года эти продукты для массового рынка являлись экзотикой, а ориентированы были скорее на филиалы и представительства глобальных компаний, корпоративная культура которых уже предусматривала подобные инструменты.

Заметим, что в реалиях российского рынка киберстрахование демонстрирует положительную динамику.

«Все больше компаний понимают необходимость учитывать IT-риски при построении политики риск-менеджмента. Кроме того, крупные компании стали обязывать своих поставщиков оформлять договоры страхования по киберрискам», — отмечала Екатерина Крючкова, руководитель направления управления страхования финансовых рисков «АльфаСтрахование», еще в 2022 году.

На сегодняшний день заключено всего несколько десятков контрактов на страхование рисков в области информационной безопасности.

Объем сегмента cyber insurance

На первый взгляд, с сегментом киберстрахования на российском рынке все хорошо: спрос со стороны корпоративных заказчиков за последние два года вырос более чем на 20%, как сообщает «КоммерсантЪ» со ссылкой на данные «Союза Страхования», а в течение следующих 3-5 лет может вырасти до 8-10 млрд руб. С оценкой по нижней границе диапазона — 8 млрд руб. — согласен Михаил Адоньев, GR-директор группы компаний «Солар». Но такой объем составляет порядка 80-100 млн долл. при сегодняшнем курсе.

Годовой объем мирового рынок киберстрахования а по объему составляет 13,33 млрд долл., по свежей оценке консалтинговой компании MarketDigits. Если национальная экономика РФ составляет, по разным оценкам, порядка 2-3% от глобальной, то интересующий нас сегмент — порядка 0,75%, причем достигнет такого значения в лучшем случае лишь через пятилетку! Мировой сегмент за это время не будет стоять на месте.

Среднегодовой темп роста глобального сегмента cyber insurance составил, согласно прогнозам, 26,1%, поэтому к 2030 году его объем достигнет 84,62 млрд долл. При такой динамике российский сегмент будет наращивать отставание от глобального. Даже при сохранении 20% темпов роста вскоре доля российского киберстрахования в глобальном cyber insurance будет составлять уже доли промилле…

Очевидно, что в таких условиях создать для локального рынка современный продукт высокого качества достаточно проблематично. Заметим, что понимание ситуации и объективная оценка рисков в российском ИТ сегодня оказываются радикально сложнее, чем была 2 года назад — мировые практики будут не очень хорошо применимы на фоне происходящего обновления рельефа угроз и перехода на импортозамещенные продукты и технологии, в том числе, обеспечивающие инфобезопасность. Узость рынка и его сложность (см. врезку) в сочетании с выраженной региональной спецификой, очевидно, негативно влияют на развитие сегмента страхования кибер-рисков в РФ.

Современный страховой полис — сложный продукт, для создания которого в надлежащем качестве требуется серьезное и многофакторное исследование, а на такое R&D приходится тратить значительный ресурс.

«Важна детальная проработка формирования и регулирования страхования кибер-рисков, направленная в том числе на гармонизацию и унификацию подходов к оценке уровня защищенности, оценки ущерба, порядку и методике расследования инцидентов, расчету страховых премий и выплат и т. п.», — отмечает г-н Адоньев.

Страховые продукты в российских условиях исторически не пользуются особой популярностью, поэтому игрокам сегмента приходится вкладывать существенные средства в продвижение cyber insurance.

Вместо заключения или «обязаловка» до добра не доведет

Практика обязательного киберстрахования, которую в очередной раз предлагают ввести — новое слово в страховом бизнесе. Сейчас инициатива исходит от Совета Федерации, как сообщает «КоммерсантЪ», но у темы есть своя предыстория: аналогичное предложение было озвучено в 2017 г. — когда при создании программы «Цифровая экономика» рабочая группа во главе с представителями «Сбербанка», как писал «КоммерсантЪ» рекомендовала уже к 2020 году сделать обязательным «Полис информационной безопасности» для всех стратегических отраслей.

Такую практику по понятной причине поддерживают страховые компании. Однако у корпоративного сегмента соответствующая инициатива вызывает удивление и отторжение. В2В-сегмену приходится непросто из-за общего состояния экономики и ряда незапланированных затрат, которых требует переход на санкционно-устойчивые решения. Перспектива появления «обязаловки» в приобретении нового не самого нужного продукта, который с высокой вероятностью окажется, мягко говоря, сыроват, никак не радует предприятия реального сектора российской экономики. Кроме того, принятие закона не повысит количество профильных специалистов, способных работать в сегменте, а ИБ-отрасль и так испытывает острый дефицит кадров.

Направление киберстрахования продолжает эволюционное развитие по мере роста цифровой зрелости российских компаний, а также изменения ситуации как рыночной, так и регуляторной. На фоне новых штрафов за утечку персональных данных страхование кибер-рисков становится для бизнеса выгодным решением, особенно для крупных компаний, которые по предложению законодателей об оборотных штрафах могут потерять от 15 до 500 млн руб. на инцидентах с утечками данных, отметили в пресс-службе Angara Security. При этом они подчеркнули, что нужно понимать: страхование кибер-рисков не является панацеей, скорее это инструмент, который позволит бизнесу минимизировать ущерб после атаки на инфраструктуру.

Источник: Александр Маляревский, внештатный обозреватель IT Channel News

( )