Пресса о страховании, страховых компаниях и страховом рынке

IT Channel News, 6 марта 2025 г.

Исследование: почему в России медленно развивается сфера киберстрахования

80 просмотров

Эксперты страхового брокера Mainsgroup представляют исследование, посвященное рынку киберстрахования в России: существующим трендам, проблемам, мешающим развитию этого вида страхования, и путям их решения.

История развития страхования киберрисков в России

Как и многие другие виды страхования, страхование киберрисков пришло к нам из-за рубежа. Первой компанией, запустившей его в 2012 году как отдельный продукт, была AIG (ныне СК «Гардия»). За основу продукта была взята американская версия покрытия, позже адаптированная под российское законодательство. Однако бума продаж полисов страхования киберрисков не произошло, поэтому остальные игроки рынка с внедрением киберстрахования не спешили.

Только в 2016 году аналогичный продукт запустил второй игрок с иностранным капиталом — Allianz. С этого момента страхование киберрисков в России стало развиваться. Сейчас страхование киберрисков представлено у 8 из 15 страховщиков России, входящих в рабочую группу по киберстрахованию Всероссийского союза страховщиков. По некоторым данным, количество таких договоров на весь российский рынок составляет около полутора тысяч — от мелких коробочных решений до стандартных полисов с полноценным покрытием (при ощутимой доминации коробочных решений).

При этом число киберпреступлений в России за период с 2014 по 2022 год выросло в 46 раз. Эта тенденция сохраняется до сих пор: во II квартале 2024 года зафиксировано в 2,6 раза больше кибератак на компании из стран СНГ по сравнению с аналогичным периодом 2023 года, более 73% атак приходится на долю России. Основными последствиями успешных атак на бизнес стали утечка конфиденциальной информации (41%) и нарушение основной деятельности (37%), на частных лиц — утечка конфиденциальной информации (69%) и прямые финансовые потери (32%).

Настоящее и будущее кибербезопасности и киберстрахования в России: оценки участников рынка

Эксперты Mainsgroup провели опрос среди страхователей, представителей страховых компаний и страховых брокеров*. Его результаты показывают, что программы киберстрахования котируют только лидеры отрасли среди страховых компаний и брокеров и только 29% страхователей запрашивали условия страхования.

Среди опрошенных киберриски застрахованы у 12,5% страхователей.
В том, что их компании уже несли убытки из-за киберинцидентов, признались 12,8% опрошенных.

Подавляющее большинство респондентов — 94,8% — считают, что отечественный рынок киберстрахования в ближайшие годы будет расти (среди страховых брокеров и страховых компаний в этом уверены 100%). По темпам роста мнения разделились: тех, кто считает, что рост будет незначительным, больше, чем ожидающих роста рынка по экспоненте — 53,8% против 41%.

Также были проведены экспертные опросы представителей участников рынка — компаний, предоставляющих услуги в сфере информационной и кибербезопасности, страховщиков, страховых брокеров и потенциальных страхователей, т. е. бизнеса**.

Бизнес и кибербезопасность: взгляд специалистов

Специалисты компаний, предоставляющих услуги в сфере кибербезопасности, отмечают, что бизнес озвучивает связанные с киберрисками опасения и размеры возможного ущерба, но при этом не поднимает вопрос киберстрахования.

На возникновение киберрисков влияют три основные причины. Первая — человеческий фактор, в частности недостаточная обученность сотрудников (в т. ч. в подразделениях, отвечающих за кибербезопасность). Вторая — недостаточность защиты и/или пренебрежение отдельными ее элементами (антивирусы, шифрование и т. д.), в т. ч. из-за ограниченности бюджета. Третья — низкая осведомленность о возможных рисках и киберинцидентах и отсутствие специалистов или подразделений, отвечающих за информационную безопасность (особенно это характерно для малых и средних предприятий). Из-за этих и других причин даже в самых защищенных системах сохраняется риск взлома, утечки данных и других инцидентов.

Специалисты по кибербезопасности отмечают: больше всего внимания вопросам кибербезопасности уделяют те, у кого работа «заточена» на данные и кому приходится компенсировать клиентам возникающий в т. ч. из-за киберрисков ущерб (банки, компании сферы ИТ, операторы связи, интернет-провайдеры и т. д.), и это связано не только с требованиями закона. Компании, для которых последствия киберинцидентов могут быть связаны с приостановкой деятельности или нарушением процессов (промышленники, транспортники и др.), относятся к безопасности недостаточно серьезно. Еще одна группа компаний, в которой могут быть проблемы с безопасностью, — небольшие бизнесы и стартапы, попросту не имеющие бюджетов на ИБ или располагающие крайне ограниченными средствами.

Страховщики и страховые брокеры о состоянии рынка киберстрахования

При общении с представителями страховых компаний, оказывающих услуги по страхованию киберрисков, удалось составить следующую картину.

Лимиты покрытия по договорам в целом по рынку составляют от 100–200 млн до 2 млрд рублей (в зависимости от компании и наполнения пакета), подавляющее большинство договоров заключается на суммы в пределах 500 млн.

Набор рисков, включаемых в договор киберстрахования, у каждой компании свой и меняется в зависимости от потребностей клиентов. Как правило, в него входят ущерб, причиненный вследствие кибератак, потери баз данных, утечки персональных данных, кибервымогательство, потеря денежных средств, перерыв в деятельности (приостановка производственных и бизнес-процессов).

При этом не покрывается ущерб, связанный с форс-мажорными обстоятельствами, использованием нелицензионного ПО, умышленными либо непреднамеренными действиями сотрудников компании-клиента, техническими сбоями и т. д. Также не подлежит включению в договор ущерб, возникший по причинам, не связанным с кибервоздействием: утрата или порча сырья и материалов, поломка оборудования (кроме электронного) и т. д.

В некоторых случаях допускается включение в договор ущерба, причиненного неосторожностью или даже умышленными действиями сотрудника клиента. Такое расширение увеличивает стоимость договора для клиента в среднем на 15–20%, в отдельных случаях — до 40%.

Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и т. д.) и повлекшими убытки. Данных явно недостаточно для того, чтобы говорить о каких-то тенденциях.

Отказы в выплатах по договорам страхования были только в случаях, если ущерб наступил не из-за кибервоздействия либо по причине, не включенной в покрытие по договору.

Консолидированный объем отечественного рынка киберстрахования компании оценивают в 2–3 млрд рублей, они ожидают, что рынок будет расти примерно на 15–20% в год.

Бизнес о киберрисках и своем отношении к киберстрахованию

Чтобы обеспечить кибербезопасность, предприятия предпочитают использовать традиционные инструменты (антивирусы, системы мониторинга инцидентов, системы резервного копирования, шифрование данных и т. д.). Представители компаний называют принимаемые меры в целом достаточными, но признают, что вероятность возникновения киберрисков все равно остается высокой.

Потери из-за вызванного киберинцидентами простоя в среднем составляют 6–8 млн рублей в сутки. В зависимости от отрасли, масштаба и других характеристик компаний, эта сумма может быть значительно выше или ниже.

К киберрискам представители бизнеса относятся крайне серьезно и считают их реальной угрозой. В зависимости от сферы деятельности, наиболее критичными рисками называют потерю (утечку) данных или приостановку коммерческих и производственных процессов.

Но при этом компании остерегаются киберстрахования, ссылаясь на то, что это недостаточно прозрачный для них вид страхования и по нему пока нет значимых кейсов. Представители бизнеса говорят, что готовы рассматривать киберстрахование, если им предоставят понятные и прозрачные условия.

Таким образом, все заинтересованные стороны — и специалисты по кибербезопасности, и бизнес, и страховщики — адекватно оценивают реальность киберугроз и возможный ущерб от них и понимают, насколько важно в текущих обстоятельствах страхование киберрисков. В то же время о причинах, по которым киберстрахование развивается не так активно, говорят не только представители бизнеса, но и страховщики.

Факторы, тормозящие развитие рынка страхования киберрисков
По мнению представителей бизнеса, страховых брокеров и страховых компаний, которые были опрошены в рамках обоих исследований, российский рынок киберстрахования развивается значительно медленнее, чем это могло бы быть.

Это происходит по целому ряду причин:
недостаточное число резонансных кейсов в этой сфере;
нежелание компаний допускать страховщиков к данным о своей информационной защите для оценки рисков;
отсутствие законодательной базы для обязательного страхования киберрисков;
отсутствие понятного покрытия;
отсутствие емкостей;
высокая стоимость полисов: расходы на страхование сопоставимы, а иногда превышают расходы на информационную безопасность; в условиях ограниченности бюджетов это делает такую покупку крайне проблематичной.

Под понятным покрытием респонденты, как правило, понимают целый набор факторов: соответствие предусмотренных покрытием рисков реально существующим для клиента опасностям, прозрачное, подробное и полное описание страховых событий и процесса урегулирования страховых случаев, согласование привлекаемых к процедуре урегулирования сторонних организаций (аутсорсеров), предоставление полных формул оценки ущерба и расчета подлежащих выплате сумм и т. д.

Что могло бы придать ускорение развитию страхования киберрисков?

Страховщики считают, что помочь развитию рынка киберстрахования могли бы: создание единой нормативной базы, регулирующей все необходимые стандарты, процедуры и алгоритмы (с привлечением участников рынка), просветительская работа (доведение до бизнеса информации о киберрисках и возможностях, которые дает киберстрахование) и создание дополнительной законодательной базы, в т. ч. расширение перечня отраслей, для которых страхование киберрисков стало бы обязательным (к таким отраслям относят банковский и финансовый сектор, промышленность, железнодорожные и авиаперевозки, ИТ и некоторые другие).

Также эксперты Mainsgroup обращают внимание на следующие моменты.

Назрела необходимость создания единого центра компетенций по андеррайтингу для данного вида страхования. Нам видится, что создание такого центра могло бы произойти на базе крупного системного интегратора с привлечением специалистов из страховой индустрии, включая международных страховщиков, которые давно занимаются страхованием киберрисков и уже накопили определенную статистику. В такой коллаборации возможно создание единой шкалы оценки рискозащищенности компаний, на базе которой будет производиться андеррайтинг и предоставляться страховой лимит.
Вопрос недостаточности страхового лимита можно закрыть с помощью сострахования или механизма создания страхового киберпула, где все страховщики будут участвовать в комфортных для них долях. В данном случае необходимо будет выработать общие подходы к оценке компаний и андеррайтингу страховых рисков, а также создать типовые правила страхования киберрисков.

Важно работать над объемом страхового покрытия, чтобы предоставлять клиентам покрытие актуальных для них рисков, а не тех, которые страховщик готов предлагать. Отчасти такая работа будет требовать плотного контакта с регулятором.

* Данные опроса 37 представителей страховых компаний, страховых брокеров и страхователей

** Качественное исследование с проведением экспертных интервью среди представителей страховых компаний (СОГАЗ, АльфаСтрахование, Ингосстрах, ВСК, СберСтрахование, Зетта Страхование и др.), компаний по кибербезопасности (BI.ZONE, Intact, Б-152 и др.), страхователей (Стройтрансгаз, ЦКР-ИТ, Happy Phone и др.)

Источник: Пресс-служба компании Mainsgroup

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »