Игроки рынка страхования отмечают, что за время пандемии значительно увеличилось число страхований киберрисков крупного и среднего бизнеса. Так, по данным исследования "АльфаСтрахования", за 2021 г. количество запросов от крупного и среднего бизнеса на котирование и страхование киберрисков увеличилось на 60% по сравнению с 2020 г. Наибольший интерес к продукту проявляют банки и компании финансового сектора, компании, занимающиеся электронной коммерцией и оказывающие ИТ-услуги, а также крупные промышленные предприятия. Эксперты отмечают, что в России рынок киберстрахования находится сейчас на старте своего развития и ближайшие несколько лет продолжит рост. По данным "СберСтрахования", сегодня его объем можно оценить в 250 млн руб.

Ирина
Приборкина
© ComNews
07.02.2022

Аналитики компании "АльфаСтрахование" связывают рост числа запросов на страхование киберрисков с увеличением количества резонансных случаев кибератак в России и мире и возросшими требованиями крупных компаний к своим поставщикам по защите конфиденциальной информации.

"Положительная динамика продаж таких полисов наблюдается на протяжении последних одного-двух лет. Однако если в 2020 г. число оформленных полисов выросло относительного прошлого года на 50%, то в 2021 г. по сравнению с 2020 г. количество оформленных страховых полисов от киберрисков увеличилось сразу в несколько раз. Это объясняется ростом спроса в регионах, а также ростом продаж коробочных продуктов страхования киберрисков. Мы ожидаем, что по итогам 2022 г. рост еще усилится в связи с тем, что возможно введение новых мер со стороны регулятора, которые будут стимулировать бизнес защищать свои риски", - отмечает руководитель направления управления страхования финансовых рисков "АльфаСтрахования" Екатерина Крючкова.

Также она отметила, что основной причиной роста интереса к страхованию киберрисков у клиентов является рост убытков и расходов на восстановление деятельности в результате киберинцидентов, а также постоянная угроза новых целевых хакерских атак. "Последние три-четыре года наблюдается рост числа киберинцидентов, в том числе и резонансных, - как в России, так и во всем мире. Такие страховые программы покрывают ущерб компании в результате перерыва в деятельности и предоставления услуг, а также ответственности перед клиентами", - говорит Екатерина Крючкова.

По ее словам, еще одним драйвером спроса стал федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 №149-ФЗ. "Все больше компаний понимают необходимость учитывать ИT-риски при построении политики риск-менеджмента. Кроме того, крупные компании стали обязывать своих поставщиков оформлять договоры страхования по киберрискам", - объясняет эксперт.

Руководитель департамента страхования финансовых линий и ответственности страхового брокера "ГрЕКо интернешнл" Дмитрий Грузинцев отмечает, что спрос на страхование киберрисков растет, несмотря на "жесткий" рынок и растущие цены по страхованию. По его словам, в их компании количество запросов увеличилось примерно на 40%. "На текущий момент далеко не все запросы приводят к заключению договора страхования. Это связано с тем, что для большинства компаний страхование киберрисков - новый продукт. По этой причине, особенно у крупных компаний, от запроса до заключения договора может проходить много времени. Нужно объяснить всем вовлеченным подразделениям особенности продукта, сформировать бюджет, согласовать сервисную панель консультантов и т.д.", - отмечает эксперт.

По словам руководителя отдела страхования финансовых рисков AIG в России Вадима Михневича, российские клиенты еще массово не охвачены этим видом страхования, но интерес с каждым годом растет. "По нашей статистике мы также видим прирост новых запросов и, как следствие, рост количества новых договоров на 20%", - говорит Вадим Михневич.

Как рассказывает директор по рискам "СберСтрахования" Владимир Новиков, "СберСтрахование" предлагает корпоративным клиентам программы страхования от киберрисков, которые предусматривают защиту от широкого перечня угроз. По его словам, этот вид страхования набирает популярность: так, в прошлом году заключено в 2,7 раза больше договоров по сравнению с 2020 г.

Начальник управления андеррайтинга кредитных, финансовых и предпринимательских рисков страховой компании "Согласие" Виталий Ус рассказывает, что в прошлом году возросла активность банков в части программ страхования рисков держателей банковских карт с оговорками по покрытию вишинга как разновидности фишинга. "Если судить по числу запросов от подразделений банков по работе с корпоративными клиентами, у организаций есть понимание необходимости страховых услуг, но классического формирования потребности в киберстраховании пока не произошло", - отмечает эксперт.

Эксперты "АльфаСтрахования" отмечают, что наибольший интерес к защите подобных рисков проявляют банки и компании финансового сектора, компании, занимающиеся электронной коммерцией и оказывающие IT-услуги, а также крупные промышленные предприятия, активно автоматизирующие свои бизнес-процессы. По их словам, как правило, выбирают программы с покрытием ущерба компании в результате перерыва деятельности и предоставления услуг, а также ответственности перед клиентами.

Вадим Михневич говорит, что для компании AIG в целом профиль клиента совпадает, но к этому списку можно также добавить клиентов, которые хранят большие объемы клиентских данных (консалтинг, медиакомпании).

Дмитрий Грузинцев из "ГрЕКо интернешнл" говорит, что среди их клиентов по договорам страхования Cyber основную долю занимают компании, относящиеся к нефинансовому сектору. "Главным образом эти компании интересуют убытки от перерыва в деятельности в результате киберинцидента. Данные убытки могут быть крайне существенными для компаний. При этом классические договоры страхования имущества и перерыва в деятельности такие убытки не покроют", - рассказывает эксперт. Также он отмечает, что у финансовых институтов существуют свои специализированные страховые продукты, которые давно присутствуют на рынке страхования России. "Данные страховые продукты предоставляют частичную защиту от киберрисков банков в части имущества - например, кражи денежных средств в результате киберпреступлений. Однако значительная часть рисков остаются непокрытыми. Например, компрометация персональных данных, к которым в том числе относятся биометрические данные клиентов, такими продуктами не покрывается. Страхование киберрисков покрывает такие убытки", - объясняет Дмитрий Грузинцев. Он отмечает, что также интерес к киберрискам проявляют крупные продуктовые сети.

Дмитрий Грузинцев предполагает, что повышенный интерес от указанных отраслей связан сразу с несколькими факторами. Во-первых, как правило, киберпреступники действуют в меркантильных интересах, то есть их привлекают компании с большими финансовыми средствами, компании с большими массивами данных (в том числе персональных и/или "чувствительных") публичные компании, действия которых создают резонанс в обществе. По его словам, указанные индустрии полностью или в части удовлетворяют указанным критериям, а значит, для них риски быть атакованными выше. Во-вторых, у компаний из указанных индустрий обычно более развитый уровень риск-менеджмента, риск-менеджер и руководство компаний понимают вероятность убытков и потенциальный их катастрофический масштаб. "В отличие от большинства других имущественных рисков киберриски не имеют ограничений по географии. Например, пожар может охватить только одну локацию компании, а кибератака может поразить все общества группы по всему миру, и потенциальный ущерб может быть несоизмеримо больше", - объясняет эксперт. В-третьих, он отмечает наличие бюджетов на приобретение договора страхования киберрисков, а также достаточного для страховщиков уровня информационной безопасности.

Владимир Новиков из "СберСтрахования" отмечает, что говорить о конкретных отраслях, которым особенно требуется защита, с каждым годом становится все тяжелее из-за повсеместного перехода бизнеса в онлайн и автоматизации систем. "Тем не менее, действительно, чаще всего программами киберстрахования пользуются компании, прибыль которых в полной мере зависит от работы в онлайн. Однако на фоне цифровизации экономики предприятия традиционных отраслей также подвержены киберрисками", - говорит эксперт "СберСтрахования".

В исследовании "АльфаСтрахования" отмечается, что среди ключевых страховых случаев, с которыми сталкиваются клиенты, застрахованные от киберрисков, чаще всего встречаются DDoS-атаки веб-приложений, взлом сайта компании, фишинговая рассылка и дальнейшее шифрование хостов, переход на зараженный ресурс и дальнейшее шифрование хостов, а также взлом инфраструктуры злоумышленниками с дальнейшим нарушением работы оборудования, почты, бизнес-приложений.

По словам Дмитрия Грузинцева из "ГрЕКо интернешнл", основным и главным в последние несколько лет киберинцидентом является кибервымогательство. "Злоумышленники зашифровывают все данные в компании и предлагают расшифровать информацию при условии выплаты выкупа. Причем выплата выкупа далеко не всегда является гарантией расшифровки данных. В России наиболее ярким примером таких атак были вирусы NotPetya and WannaCry в 2017 г., которые поразили многие российские крупные компании и государственные учреждения. В 2020 г. и 2021 г. доля таких кибератак существенно взросла, до порядка 80% от всех кибератак", - рассказывает Дмитрий Грузинцев.

Эксперты и игроки рынка на ближайшие два года предрекают услуге страхования киберрисков значительный рост, так как все больше компаний переходят в онлайн, а количество киберпреступлений продолжает расти с каждым днем.

Так, Вадим Михневич из AIG считает, что в 2022-2023 гг. востребованность киберстрахования продолжит расти, так как растут и масштабы киберпреступности, и внедрение информационных технологий в бизнес и производственные процессы.

Дмитрий Грузинцева тоже уверен, что спрос на страхование киберрисков будет неизбежно расти. По его мнению, темпы роста будут зависеть от активности хакеров и изменения законодательства. "К сожалению, в большинстве случаев рыночный спрос на страховые продукты формируется после крупного инцидента, который обличает проблему. В таких случаях компаниям будет тяжело приобрести качественное страховое покрытие, так как после таких инцидентов страховщики сокращают объем покрытия и/или повышают цены. Однако есть и страхователи, которые заблаговременно оценивают свои риски и принимают решение купить договор страхования. Такие договоры страхования имеют более широкое покрытие и предоставляют лучшую защиту компаниям от киберинцидентов", - отмечает эксперт.

Виталий Ус из компании "Согласие" считает, что высокого роста ждать не стоит. По его словам, предполагается, что будет органический рост заинтересованности как следствие роста онлайн-бизнеса в целом, но бурного всплеска спроса не прогнозируется. "При этом вероятность получения крупных штрафов за утечку конфиденциальной информации и персональных данных может заставить руководство предприятий делать выбор в пользу страхования киберрисков", - отмечает эксперт. Также, по его мнению, для развития киберстрахования в России требуются драйверы, стимулирующие интерес. "В США, например, драйвером является перспектива выплат крупных штрафов организациями за утечку конфиденциальной информации и персональных данных. В нашей стране редкость, когда организация несет убытки из-за того, что в результате кибератак пострадали клиенты. При этом отдельные пользователи и сервисы не могут противостоять кибератакам, направленным на вымогательство, хищение денежных средств со счетов, нанесение материального ущерба бизнес-процессам, объектам инфраструктуры, промышленности и т.д.", - отмечает Виталий Ус.

Владимир Новиков из "СберСтрахования" говорит, что в России рынок киберстрахования находится сейчас на старте своего развития, а сегодня его объем можно оценить в 250 млн руб. "Однако наращивание цифровизации экономики будет способствовать популяризации страхования киберрисков. По нашим оценкам, востребованность такого рода страхования будет расти, и в перспективе 7-10 лет киберстрахование станет привычным явлением", - отмечает он.

Виталий Ус прогнозирует сохранение интереса к страхованию риска утраты ценного имущества (денежных средств на счетах, записей о принадлежащих организациям и гражданам ценных бумагах и т.д.) и риска нанесения ущерба инфраструктурным и производственным объектам и производных убытков (аварии, отключения, возгорания и т.д.), произошедших в результате кибератаки. "Новыми рисками могут быть риски неправомерного использования данных биометрии, похищенных в результате совершения киберпреступления", - отмечает эксперт компании "Согласие".

Вадим Михневич из AIG, говоря о прогнозах на 2022-2023 гг., отмечает, что для российских клиентов наиболее очевидны риски перерыва в деятельности из-за ИТ-инцидента, а также риски нарушения хранения и обработки данных. По его словам, ответственность за утечки и несанкционированное распространение данных сейчас находится под пристальным вниманием регуляторов и правоохранительных органов.

Дмитрий Грузинцев из "ГрЕКо интернешнл" отмечает, что в рамках страхования киберрисков наибольший интерес со стороны страхователей направлен к рискам, которые на текущий момент могут сгенерировать наибольшие убытки. По его словам, в России на текущий момент это убытки от перерыва в деятельности в результате киберинцидентов. На втором месте расходы на восстановление собственных данных и компьютерной системы. На последнем месте ответственность перед третьими лицами за компрометацию данных. "Причины в том, что известно множество случаев компрометации огромного массива персональных данных у крупнейших российских компаний. Данные инциденты в большинстве случаев имели минимальные последствия для компаний. Это связано с недостаточно строгими требованиями законодательства, например по сравнению с европейским законодательством GDPR, и мерами к компаниям, скомпрометировавшим данные, а также со сложностью для пострадавших доказать, какой именно компанией скомпрометированы их данные, и, как следствие, отсутствием у пострадавших практики взыскания возмещения", - считает Дмитрий Грузинцев. Он убежден, что данный риск является крайне важным, так как объем накапливаемых персональных данных растет, чувствительность этой информации также повышается. "Одно дело, когда будет скомпрометирован номер телефона или данные банковской карты - можно поменять номер или перевыпустить карту, - совсем другое дело, когда будут скомпрометированы биометрические данные: лицо и отпечатки пальцев большинство людей сменить не в состоянии. В ближайшие годы расстановка рисков будет совершенно обратной", - говорит эксперт компании "ГрЕКо интернешнл". По его словам, главным риском будет ответственность за компрометацию данных, а остальные риски будут дополнительными. Он рассказывает, что такая картина рисков уже существует в западных странах, в Россию данные изменения также придут вместе с изменением законодательства и повесткой ESG, которая является одной из главных тем на уровне высшего руководства государства и бизнеса. Также Дмитрий Грузинцев отмечает, что социальная ответственность является неотъемлемой составляющей ESG.

Новости из связанных рубрик