В 2023 году у российских страховых компаний, занимающихся покрытием ущерба от последствий кибератак, значительно вырос сбор страховых премий — на 80 %, до 1,3 млрд руб., пишет «Коммерсантъ». При этом, рынок страхования в России, по данным «Эксперт РА», в целом вырос за год на 15–16 %, а объём премий составил около 2 трлн руб.

По данным «Зетта Страхования», количество новых запросов на страхование киберрисков за год увеличилось в 1,5–2 раза. Как сообщили в ПСБ, чаще всего такие программы приобретают крупные клиенты из банковской сферы или промышленные предприятия. Для малых и средних предприятий доступны недорогие пакеты страхования от киберинцидентов, связанных преимущественно с последствиями DDoS–атак. В «Росгосстрахе» сообщили, что спрос на страхование киберрисков пока не стал «значимым для рынка», а интересуются такой опцией представители банковского и телеком-секторов. BI.ZONE отметила проблемы, препятствующие развитию данного направления: не отработаны процедуры оценки инцидента третьей стороной и нет профильного регулирования.

Источник изображения: markusspiske/Pixabay

Вместе с тем киберстрахование считается одним из обязательных условий регулирования ответственности компаний в области информационной безопасности. Зампред совета по развитию цифровой экономики при Совете федерации указал на необходимость создания механизма обязательного финансового обеспечения ответственности операторов персональных данных за утечки. «Нужно обязать компании иметь финансовое обеспечение для возмещения вреда, причинённого субъектам персональных данных, в случае нарушения законодательства. Это могут быть банковская гарантия, договор страхования, резервный фонд», — сообщил он, добавив, что законопроект находится на финальной стадии разработки.

Более 70 % российских компаний не страхует риски, связанные с утечкой данных, хотя ущерб от этого может быть значительным — в 14 % случаев потери компании превышают 1 млн руб., сообщили «Ведомости» со ссылкой на исследование экспертно-аналитического центра ГК InfoWatch «Оценка ущерба вследствие утечек информации».

Наибольший ущерб приносят утечки информации, содержащей коммерческую тайну и ноу-хау, а также персональные данные. Причём персональные данные похищали чаще всего — в 39 % случаев. В 24 % допускалась утечка сведений, составляющих коммерческую тайну. Оформляли страховку организации лишь из трёх секторов: образования, банков и топливно-энергетического комплекса.

Согласно результатам опроса в июле 2023 г., в котором приняли участие 1500 представителей частных и государственных организаций из отечественного промышленного сектора, в 70 % случаев утечка данных была следствием умышленных действий, при этом в 7 % случаев — по вине внутреннего нарушителя. Почти в половине случаев (46 %) утечка произошла через подключение корпоративной или промышленной сети, а также через корпоративную почту. Также утечки случались из-за потери и кражи съёмных носителей, в 9 % случаев — через бумажные носители, а также из-за нелегитимного использования мобильных устройств и через облачные сервисы.

Отрасли организаций, где произошли утечки (Источник здесь и далее: InfoWatch)

Эксперты отмечают, что рынок киберстрахования только формируется, а количество заключённых за последние годы контрактов на страхование ИБ-рисков исчисляется несколькими десятками. При заключении такого контракта компания должна пройти независимый аудит экспертов, исходя из результатов которого страховщик определит возможный уровень компенсации в случае наступления страхового случая. При этом чем меньше компания вкладывает в кибербезопасность, тем страховка будет дороже.

Следствием каких событий была утечка информации, которая привела к ущербу

В страховые полисы также может быть включено страхование от целевых и нецелевых кибератак, вымогателей, вирусов-шифровальщиков, т. е. IT-инцидентов, приведших к одной или нескольким видам поломок. По словам эксперта, раньше такие контракты заключали «дочки» иностранных компаний, а также небольшой бизнес, которому банки включали их в страховки по кредитам в принудительном порядке.

Утечка по каким каналам привела к ущербу

Отмечается и отсутствие реальной оценки ущерба от утечки персональных данных клиентов, поскольку сейчас страховщики считают и возмещают только реальные потери: расходы на восстановление систем, расследование инцидентов, упущенную прибыль. Возмещение за утечку клиентских данных компании не предусмотрено. Тем не менее, популярность услуги страхования компаний от утечек будет расти в связи с увеличением количества таких инцидентов, считают эксперты.