Новости / ноябрь 2021
Страх киберстраховки

У клиентов пока не созрела внутренняя потребность в страховании киберрисков. Отсутствие бюджетов на это вместе с ограниченными лимитами и ростом премий страховщиков не способствуют развитию данного сегмента рынка. Такие оценки рынку страхования киберрисков в России дают эксперты компании AIG. Эксперты по информационной безопасности и представители российских страховых компаний оценили перспективы рынка.
Константин
Скурат
© ComNews
24.11.2021

По оценке журнала Cybercrime magazine, которую приводит AIG, глобальный ущерб от программ-вымогателей к концу 2021 г. достигнет $20 млрд, тогда как еще в 2015 г. эта цифра составляла $325 млн. Атаки вирусов-вымогателей на предприятия в мире происходят каждые 11 секунд. Не последнюю роль в этом сыграла пандемия коронавируса, которая спровоцировала резкий рост использования онлайн-сервисов.

"Все, кто мог, ушли на дистанционную работу, а за этим стоит использование домашних сетей, подключение других устройств к рабочим компьютерам - риски кибератак выросли. Многие говорят, что 2020 г. и 2021 г. запомнятся нам не только из-за пандемии в системе здравоохранения, но и пандемии киберрисков, цифровой пандемии, связанной преимущественно с вирусами-вымогателями", - говорит руководитель отдела страхования финансовых рисков АО "АИГ" (российская дочка AIG) Игорь Чичкан, добавляя, что за последние полтора года средние страховые выплаты по рискам, связанным с вирусами-вымогателями, в мире увеличились в четыре раза, а количество интернет-атак растет от квартала к кварталу, и все это привело к всплеску спроса на страхование.

По словам члена правления, заместителя генерального директора по корпоративному страхованию ПАО СК "Росгосстрах" Алексея Володина, несмотря на кажущуюся популярность темы защиты от разного рода "компьютерной преступности", для нашей страны и в гораздо более благоприятной экономической ситуации страхование киберрисков не представляло собой сколь-либо значимое направление работы страховщиков и серьезный сегмент страхового рынка.

"Массовый переход россиян на удаленный режим работы, вероятно, повышает угрозы взлома корпоративных сетей, но мы не ожидаем, что в условиях сокращения производственных издержек, диктуемого непростой экономической ситуацией, российские компании готовы направлять серьезные средства на страхование киберрисков. Есть и другой важный нюанс. Вопросы кибербезопасности самое большое значение имеют для банков и финансовых институтов, которые пока не соглашаются пускать кого-то "со стороны" в свои системы, чтобы анализировать ущерб. Иногда они не готовы даже к тому, чтобы об этом ущербе вообще кто-нибудь узнал. А без такой информации страховщикам сложно сформировать нормальный продукт. Пока страховые компании предлагают продукты с небольшими лимитами - такие программы, к сожалению, не позволяют защитить компании от катастрофических последствий", - отмечает Алексей Володин.

Но при этом, по его словам, все хорошо понимают, что объемы рынка киберстрахования могут быть гигантскими и даже полностью поменять ландшафт корпоративного страхования. Замдиректора ПАО СК "Росгосстрах" не исключает, что страхование киберрисков может достичь до 50% того действующего рынка корпоративного страхования, который у нас есть на данный момент. Он заключает, что именно с учетом такой перспективы лидеры этого направления ведут переговоры с финансовыми институтами, крупными промышленными компаниями, брокерами, и в какой-то момент это, наконец, должно вылиться в некую методологию.

Основной драйвер роста киберстрахования в России - контрактные обязательства, говорится в исследовании AIG. Для компаний, работающих с иностранными подрядчиками, наличие полиса часто является обязательным условием. Компании приобретают страховые лимиты, которые требуются по договору, - как правило, это суммы в размере от $1 млн до $10 млн.

Руководитель департамента сервисов по кибербезопасности Group-IB Валерий Баулин говорит, что вопрос недостаточной зрелости рынка повторяется из года в год, но ситуация, к сожалению, особо не меняется, однако с точки зрения киберугроз - рынок явно созрел для массового страхования от киберрисков, ведь есть множество примеров, когда из-за успешной кибератаки пострадавший бизнес уже не мог оправиться и переставал существовать. По его мнению, рост премий страховщиков также связан с недостатком клиентов подобного вида страхования и потерями на отдельных проектах. Валерий Баулин соглашается, что рынки страхования России и США очень сильно различаются и киберстрахование - не исключение, особенно в части наличия достаточного уровня статистики и расчетов страховки и рисков.

"Тем не менее рост в России все же прослеживается - это видно по количеству предлагаемых программ киберстрахования, появлению конкурентного рынка и детальности проработки этих программ. Всего пару лет назад, из-за недостаточного уровня понимания тематики кибератак, клиент по договору страхования, практически при любом раскладе, мог рассчитывать на выплату страховой премии, так как под страховыми не учитывались многие факторы: ответственность страхователя, его риски и пр., - определенный тип бизнеса, финансовые институты к примеру, может быть с большей вероятностью подвержен кибератакам, нежели ретейл, ввиду финансовой мотивированности злоумышленников и способов кражи денег", - полагает руководитель департамента сервисов по кибербезопасности Group-IB.

"У российских клиентов пока не созрела внутренняя потребность в страховании киберрисков. Отсутствие бюджетов на это вместе с ограниченными лимитами и ростом премий страховщиков не способствуют развитию данного сегмента рынка. Многие наши клиенты рассуждают в духе "лучше мы потратим деньги на ИТ-безопасность, чем на покупку полиса страхования". Я думаю, что даже в ситуации больших затрат на ИТ-безопасность стоит предусмотреть некоторый бюджет на страхование киберрисков, так как в случае неблагоприятного развития ситуации оно поможет смягчить последствия", - отметил Игорь Чичкан из "АИГ".

По словам руководителя направления аналитики киберугроз "Ростелеком-Солар" Дарьи Кошкиной, напротив, данный рынок развивается, особенно на фоне изменений последних двух лет, когда киберстрахование для некоторых компаний стало не роскошью, а просто необходимостью. Она отмечает, что если у клиента крупный бизнес исключительно в онлайне, то "не страховать киберриски - это почти как ездить зимой на летней резине без ОСАГО".

Руководитель отдела продвижения продуктов компании "Код Безопасности" Павел Коростелев считает, что потребность в защите от киберриска в России есть и защита может быть реализована разными способами: избегание риска, то есть прекращение деятельности, которая вызывает риск; снижение риска, связанное с внедрением контрмер; перенос риска, то есть страхование.

"Проблема в том, что вопрос двойственный. Во-первых, пока к этому не готова российская страховая инфраструктура. Во-вторых, очень тяжело доказать, что это действительно страховой случай. Что инцидент действительно вызван злонамеренным хакером, а не случился сам по себе или по вине заказчика. Из-за этого страхование киберрисков на российском страховом рынке развивается очень ограниченно. Нельзя сказать, что его совсем нет, но присутствуют определенные сложность и недоказуемость", - отмечает Павел Коростелев, заметив, что на отечественном рынке нет требований к киберстрахованию, а сервисов персонального страхования киберрисков не наблюдается вовсе.

Относительно выбора клиента между вложениями в ИТ-безопасность и покупкой полиса страхования Павел Коростелев говорит, что это близко к реальности, ведь в целом люди с более высокой вероятностью тратят деньги на реализацию мер ИБ, чем на киберстраховку, потому что киберстраховка дорога и непонятна клиенту, часто непонятна даже страховщику; к тому же очень тяжело доказать страховой случай.

нвестиции в усиление защиты более целесообразны, так как снижают саму вероятность, что компания подвергнется успешной атаке. В случае страховки риск остается прежним, а гарантии возмещения ущерба нет. Инвестируя в информационную безопасность, организация повышает уровень своей защиты, а не надеется на возможную компенсацию. Как результат, она может быть значительно больше уверена, что не пострадает от убытков", - считает коммерческий директор "Аванпост" Александр Санин.

По словам руководителя управления страхования финансовых рисков компании "АльфаСтрахование" Алины Малышевой, ни одна система не является 100% неуязвимой, и поэтому существует остаточный риск, который и является предметом страховой защиты, поэтому наиболее правильное решение - вложить средства и в развитие системы информационной безопасности в компании, и приобрести страхование.

"Зависимость всегда есть от необходимого объема вложений и результата от этих вложений в моменте. Также можно разделить траты на базовые - без которых уже априори невозможно существовать и которые перекроют 80% рисков - и дополнительные. Также и со страховкой. В то же время стоимость страховки напрямую должна зависеть от уровня обеспечения ИБ у клиента: чем она лучше, тем риски наступления инцидента меньше - меньше страховой взнос. Главное - это найти тот самый компромисс", - говорит Виктор Баулин из Group-IB.

Несмотря на рост осведомленности российских клиентов относительно киберугроз, уровень проникновения страхования в нашей стране остается крайне низким по сравнению с США, отмечается в исследовании AIG. По словам Игоря Чичкана, киберстрахование в Америке появилось 25 лет назад и эволюционировало. Он отмечает, что сейчас там набирает обороты персональное страхование киберрисков, которое шире, чем банковское страхование, и покрывает риски утечки личных данных, выход из строя домашнего компьютера, интернета и смарт-устройств в результате атак.

"Рынок киберстрахования во всем мире пока еще не стал чем-то понятным и доступным для широкой общественности. Вообще все, что касается процессов информационной безопасности, персональных данных и страхования, в России и США сильно отличается - в Европе, к слову, тоже, - в связи с чем многие вещи сравнивать не то что некорректно, а практически невозможно. Для понимания: в США средняя стоимость одной учетной записи, содержащей персональные данные, составляет $146, то есть больше 10 тыс. руб. А в России она стоит в редких случаях больше тысячи", - подчеркивает Дарья Кошкина из "Ростелеком-Солар", добавив, что сервисы персонального страхования от киберугроз постепенно появляются на российском рынке, но развиваются довольно медленно, и стоит констатировать, что страховой рынок находится скорее в позиции догоняющего.

Алина Малышева из компании "АльфаСтрахование" отмечает, что российский рынок находится в стартовой фазе развития, а его возраст именно как рынка (где есть не просто 10-20 полисов международных клиентов, а заметная доля проникновения, тренды развития и ценообразования) - всего несколько лет.

"В России на данном этапе страхование киберрисков для физических лиц не пользуется популярностью. Это связано со сложным процессом доказательства ИТ-убытков у физических лиц, а также отсутствием законодательства, которое регулировало бы ИT- деятельность физических лиц. При этом до сих пор основным способом распространения вредоносных вирусов остается электронная почта, а на втором месте - телефонное мошенничество, связанное с онлайн-банкингом", - отмечает Алина Малышева.

ИТ-директор ФГ "Финам" Сергей Загарский отмечает, что инвестиции в информационную безопасность становятся неотъемлемой частью бюджетов развития компаний, а на Западе страхование рисков ИБ постепенно переходит от крупного корпоративного бизнеса в сектора среднего и малого бизнеса, тоже как инструмент, призванный справиться с последствиями урона, который может нанести киберинцидент. Он добавляет, что это новый продукт для нашего рынка страхования, российским компаниям он пока мало известен.

"Один из ключевых факторов невысокого спроса в России - непонимание самих рисков. Кроме того, дополнительным фактором являются достаточно мягкие законодательные нормы ответственности за нарушение персональных данных в РФ по сравнению с законодательными нормами ряда западных стран, что отражается в сложностях для страховщиков при урегулировании убытков. Хотя здесь уже идет работа по ужесточению наказания, и это, скорее, вопрос времени", - говорит Сергей Загарский, добавив, что страхование киберрисков должно применяться в совокупности с заградительными мерами ИБ, кроме этого, при расчете страховой премии обязательно оценивается уровень защищенности и учитывается зрелость процессов управления рисками в компании.

"На глобальном рынке страхования киберрисков существует огромный дисбаланс: и спрос, и количество убытков растут. Это негативно влияет на аппетиты страховщиков. Страховые емкости резко снизились, а премии выросли, чтобы хоть как-то компенсировать разницу между сборами и выплатами. Глобально страхование киберрисков для многих компаний по итогам последних двух лет, скорее всего, будет убыточным", - отмечает Игорь Чичкан из "АИГ".

По его словам, в некоторых случаях тарифы растут на 50% и более. Кроме того, страховщики во всем мире начали исключать из договоров риски, связанные с вирусами-вымогателями, а также переходить на условия сострахования, когда половину убытка оплачивает сам клиент. К этому Игорь Чичкан добавляет, что клиенты, которые только сейчас задумались о страховании киберрисков, сталкиваются с недостатком предложения от страховщиков, небольшим объемом покрытия и высокими тарифами.

По словам Валерия Баулина из Group-IB, возможный кризис связан с многими факторами как с точки зрения потребителя так и страховщиков, тем не менее риски кибератак крайне высоки и рост их будет существенным, что в свою очередь должно подстегнуть рынок киберстрахования с точки зрения нахождения оптимальных вариантов сотрудничества страховых и их клиентов.

Он отмечает, что риски, связанные с вирусами -программами-вымогателями, - вопрос сложный, ведь, к примеру, юридически страховая компания не может возмещать убытки, понесенные после выплаты выкупа, а данный вопрос требует проработки, в том числе на законодательном уровне. Эксперт отмечает, что каждый клиент всегда находится перед выбором, каким образом целесообразнее потратить бюджет - на усиление защищенности или страховку. На его взгляд, стоит искать компромисс и проводить оценку снижения рисков кибератак при выборе того или иного варианта затрат.

"Риски высоки - это факт, и рынок ИБ всегда был в роли догоняющего: злоумышленники придумали что-то новое - сторона защиты реагирует. Однако в настоящее время мы можем наблюдать уникальный момент, когда рынок ИБ эволюционирует: бизнес приходит к пониманию, что кибербезопасность - это не свод тяжеловесных непонятных рекомендаций и регуляторных обязательств, а важнейшее звено всей бизнес-системы, способное предотвращать потери, снижать ущерб при достаточно высоком уровне возврата инвестиций (ROI). Следует полагать, что подобные тенденции спроецируются и на рынок киберстрахования", - отмечает Дарья Кошкина из "Ростелеком-Солар".

Новости из связанных рубрик