ГК Softline объяснила, почему компании скрывают утечки данных вместо страхования рисков

Несмотря на введение многомиллионных оборотных штрафов за утечки данных и рост числа кибератак, российский бизнес не проявляет активного интереса к страхованию киберрисков. По данным InfoWatch, риски киберинцидентов застрахованы менее чем у трети компаний, а защиту от утечек информации оформляют лишь 15,7% организаций. Причина — в системном разрыве: страховки не покрывают административные штрафы Роскомнадзора, а для получения полиса требуется сначала потратить миллионы на внедрение дорогостоящих средств защиты (SOC/SIEM, PAM, EDR/XDR). В материале ГК Softline — почему это вынуждает компании скрывать инциденты, как меняется рынок и какую стратегию выбрать, чтобы защитить финансы и репутацию.

Почему тема стала актуальной

Российский рынок кибербезопасности переживает трансформацию. С одной стороны, число атак не снижается, а ущерб от них растет. С другой стороны, бизнес испытывает серьезное экономическое давление: высокая ключевая ставка заставляет компании оптимизировать бюджеты и отказываться от проектов, которые не дают немедленной отдачи.

В этих условиях киберстрахование рассматривалось как инструмент, который может переложить финансовые риски на страховщиков. Однако, как показывает практика, российские компании не спешат приобретать полисы. Как отмечают в ГК Softline, системные проблемы этого рынка делают его непривлекательным, особенно для среднего и малого бизнеса.

Какие риски и проблемы видят эксперты Softline

Ведущий консультант по кибербезопасности ГК Softline Наталья Кверенг выделяет несколько ключевых барьеров, делающих страховку неэффективной.

1. Штрафы не покрываются, а требования высоки. Согласно российскому законодательству, страховые компании не имеют права компенсировать административные штрафы, наложенные регуляторами, включая оборотные штрафы Роскомнадзора за утечку данных. Страховка покрывает только технические расходы на ликвидацию последствий. При этом для приобретения полисов страховщики требуют внедрения дорогостоящих защитных мер: коммерческий или собственный SOC, SIEM/EDR, обязательное покрытие MFA, PAM, микросегментацию сети. То есть при наличии бюджета на эти меры компании проще вложить деньги в собственную безопасность, чем тратиться на полис, который не гарантирует выплат и не защищает от главного финансового риска — штрафов.
2. Юридические лазейки для отказа в выплатах. Анализ практики показывает, что отказы в компенсациях становятся регулярной практикой. Страховщики могут трактовать любые формальные нарушения — например, эксплуатацию уязвимости, патч для которой не был установлен, или неправильное хранение бэкапов — как повод для отказа.
3. Вынужденное утаивание инцидентов. Юридическое оформление страхового случая требует официального признания факта утечки. Как подчеркивают в ГК Softline, в условиях жесткого правового давления компаниям экономически выгоднее ликвидировать последствия атаки самостоятельно или тайно заплатить выкуп хакерам, чем запускать механизм страховки и гарантированно привлекать внимание госорганов с последующей проверкой.

Наталья Кверенг, ведущий консультант по кибербезопасности ГК Softline, (Infosecurity, входит в «Софтлайн Решения») отмечает: «Мы видим, что бизнес готов платить за безопасность, но не всегда готов платить за страховку, которая эту безопасность не гарантирует. Компании справедливо рассуждают: если у меня есть бюджет на внедрение SOC/SIEM , PAM и EDR, я вложу эти деньги в собственную инфраструктуру, а не в полис, который при наступлении страхового случая может оказаться бесполезным. Одна из главных проблем рынка — это разрыв между ожиданиями бизнеса и реальными условиями договоров. Страховщики требуют от компаний высокой технологической зрелости, но при этом не покрывают ключевой риск — оборотные штрафы. А юридические тонкости договоров часто позволяют найти формальный повод для отказа в выплате. В итоге мы получаем рынок, который буксует. И пока страховые продукты не будут пересмотрены с учетом реальных потребностей бизнеса, эта ситуация вряд ли изменится. Компаниям остается строить собственную зрелую систему защиты, где страхование — скорее дополнительный, чем основной элемент».

Чем это опасно для бизнеса

Отсутствие киберстрахования в текущих условиях может нести для компаний значительные риски.

Во-первых, бизнес остается один на один с регуляторными рисками. Оборотные штрафы могут достигать десятков и сотен миллионов рублей, что для многих компаний, особенно в сегменте малого и среднего бизнеса, является критической угрозой, способной привести к банкротству. Полис не защищает от этого риска.

Во-вторых, отсутствие страховки не отменяет необходимости нести расходы на расследование инцидентов, юридическое сопровождение, восстановление данных и компенсацию ущерба партнерам. В случае серьезной атаки эти затраты могут многократно превысить стоимость годового полиса.

В-третьих, как прогнозируют специалисты ГК Softline, рынок может войти в фазу злоупотреблений со стороны злоумышленников. Хакеры начнут активно использовать законодательство против бизнеса. Получив доступ к базе данных, они будут требовать выкуп, сумма которого окажется чуть меньше потенциального оборотного штрафа. Руководство компаний будет поставлено перед выбором: тайно заплатить преступникам или потерять гораздо больше на официальных ограничениях.

Что делать компаниям

В ситуации, когда классический механизм киберстрахования работает неэффективно, бизнесу необходимо пересмотреть подход к управлению киберрисками. Эксперты ГК Softline рекомендуют следующий алгоритм действий:

1. Аудит и инвентаризация. Начните с оценки текущего уровня защищенности. Проведите независимый аудит ИБ и тестирование на проникновение (пентест), чтобы выявить критические уязвимости. Это позволит понять реальные риски, а не полагаться на субъективное мнение.
2. Инвестиции в базовую защиту. Сконцентрируйтесь на внедрении мер, которые дают наибольший эффект: мультифакторная аутентификация (MFA) для всех пользователей (особенно для доступа к критичным активам), управление привилегированным доступом (PAM), внедрение EDR-решений, сегментация сети и настройка централизованного сбора логов (SIEM). Эти шаги не только снижают вероятность успешной атаки, но и являются основой для выполнения требований страховщиков и регуляторов.
3. Разработка плана реагирования. Утвердите четкий план действий на случай инцидента. План должен включать сценарии взаимодействия с регуляторами, юридическую стратегию, технические шаги по локализации угрозы и восстановлению данных, а также коммуникационный план для СМИ и клиентов.
4. Выбор подрядчика с компетенциями. Рассматривайте киберстрахование не как отдельную услугу, а как часть комплексной стратегии. Выбирайте страхового партнера, который предлагает не только полис, но и сопутствующие сервисы: техническую поддержку, независимую оценку рисков, юридический консалтинг. В Softline подчеркивают, что для перехода рынка к устойчивому росту необходимы комплексные сервисные решения.
5. Работа с цепочкой поставок. Учитывайте, что безопасность ваших подрядчиков — это ваша безопасность. Хакеры все чаще атакуют крупные корпорации через их партнеров. Внедряйте требования по ИБ для всех поставщиков, имеющих доступ к вашей инфраструктуре.

Вывод

Киберстрахование в сегодняшних российских реалиях — не панацея, а скорее «фиктивный зонт». Оно не покрывает оборотные штрафы, требует дорогой предварительной подготовки и часто заканчивается отказом в выплате. Пока рынок не изменит условия, единственная рациональная стратегия для бизнеса — проактивная защита. Это означает отказ от надежды на страховые возмещения и переход к тотальному контролю инфраструктуры (MFA, PAM, мониторинг), регулярным пентестам и четкому плану реагирования.