Компании в России не спешат страховаться от утечек данных

Российский бизнес с настороженностью относится к страхованию рисков, связанных с утечками данных. Даже те, кто оформляет полис, нередко сталкиваются с отказами в выплатах после инцидента. Эксперты полагают, что ситуация могла бы измениться, если бы компании не боялись раскрывать информацию об утечках, а также если бы к бизнесу выдвигались более жёсткие требования по возмещению ущерба.

По данным исследования, проведённого InfoWatch, более половины организаций в России не оформляют страховые полисы на случай утечек данных. Среди тех, кто сообщил о подобных инцидентах, 51% компаний не имели страховой защиты. В исследовании участвовали 350 организаций, анкеты которых были проверены и верифицированы. Опрос охватил более 2,5 тыс. компаний, а среди респондентов были руководители и заместители директоров, а также главы финансовых и юридических департаментов.

Глава Национальной страховой информационной системы Николай Галушин считает, что подавляющее большинство зарегистрированных в России юридических лиц, около 99%, не имеют защиты от утечки данных. По оценке совладельца страхового брокера Mainsgroup Павла Озерова, рынок киберстрахования в 2024 году достиг объёма 3 млрд руб., а в 2025 году может вырасти до 3,5 млрд руб.

Аналитики, проводившие исследование, отмечают, что столь низкая вовлечённость бизнеса в страхование киберрисков связана не только с недоверием к страховым компаниям, но и с отсутствием подходящих предложений. Компании сталкиваются с тем, что стандартные страховые программы часто не покрывают наиболее актуальные для них риски.

В частности, страховые выплаты могут не распространяться на убытки, связанные с использованием нелицензионного программного обеспечения, а также на ущерб, нанесённый в результате DDoS-атак. Стоимость полиса в среднем составляет 40-60 тыс. руб., при этом выплаты варьируются от 25 до 85 млн руб.

Среди компаний, столкнувшихся с утечками данных, 79% не стали обращаться за страховым возмещением. Авторы исследования предполагают, что это может быть связано либо с недоверием к страховщикам, либо с тем, что предполагаемые издержки на оформление выплаты превышают возможную выгоду. В 21% случаев страховые компании отказали в выплатах, квалифицировав инциденты как нестраховые.

Игорь Баранов, адвокат, эксперт Национального антикоррупционного комитета, преподаватель Академии информационных систем, заявил редакции CISOCLUB: «Говоря о не популярности страхования утечек данных стоит отметить, что компании нередко сталкиваются с неполучением страховой выплаты, что может произойти и в случае информационного инцидента. Трудности с получением страховой премии являются серьезным препятствием к популяризации услуги.

Основным, на мой взгляд, фактором, который не позволяет сделать страхование утечек массовым явлением является то, что компании боятся сообщать об утечках данных — это не выгодно, приносит репутационные потери. Также введение оборотных штрафов, которые уже довольно скоро начнут действовать, очевидным образом приведет к тому, что компании наоборот будут стараться скрыть факт утечки данных или минимизировать масштабы информационного инцидента, чтобы, соответственно, уменьшить размер штрафа. Говорить о страховке в такой ситуации не приходится, она просто не нужна.

Поэтому считаю, что страхование утечек данных не станет популярной услугой в нашей стране. Целями операторов данных является недопущение информационных инцидентов или минимизация масштабов утечки. Страховка не соответствует вышеназванным целям, поэтому не имеет значимой ценности для бизнеса».

Юрий Силаев, руководитель направления НИОКР АО «ЦИКАДА», заявил: «Несмотря на то, что в мире продолжается активный рост цифровых угроз, подавляющее большинство компаний игнорирует вопросы обеспечения качественной защиты от утечек данных. Проведенные исследования лишь подтверждают, что причины отсутствия массового киберстрахования не столько в скепсисе бизнеса, а скорее в системных проблемах страхового рынка. Кратко подобные системные проблемы можно обобщить следующим образом:

1) Недоверие к страховщикам. Видно, что многие убытки (например, из-за DDoS-атак) исключаются из покрытия. Это приводит к тому, что бизнес не видит смысла в полисах, а страховщики, не получая массового спроса, не адаптируют продукты под реальные риски;

2) Неадекватность страховых продуктов. Страховщики не разработали гибкие продукты, учитывающие различные нюансы и специфику современных киберугроз;

3) Страх раскрытия информации. Утечка информации для бизнеса в первую очередь репутационный риск. Бизнес предпочитает скрывать инциденты, даже имея страховой полис;

4) Регуляторный вакуум. Рынок киберстрахования, по оценкам Mainsgroup, едва достигнет 3,5 млрд рублей к 2025 году – это буквально капля в море с учетом растущего числа кибератак. Без жестких требований к бизнесу (например, обязательного страхования для критически важных отраслей) ситуация вряд ли изменится.

Киберстрахование в России все еще остается нишевым продуктом, совершенно не отвечающим запросам рынка. Для изменения сложившейся ситуации нужны совместные усилия страховщиков, бизнеса, а главное регуляторов – необходима разработка специализированных программ, обеспечение стимула для раскрытия инцидентов и законодательное закрепление ответственности за защиту данных. Только при соблюдении подобных подходов компании будут считать киберстраховку инструментом управления рисками, а не бесполезной тратой денег».

Александр Хонин, руководитель отдела консалтинга и аудита Angara Security: «Тема страхования киберрисков в нашей стране пока только на этапе становления, и все-таки является для нашего рынка сравнительно новой и с какой-то стороны неизведанной. Как написано верно в статье, на сегодняшний день не до конца проработаны механизмы такого страхования. Кроме того, как и в случае любого страхования (не только в области ИБ), сумма выплат не всегда соответствует ожиданиям, если вообще будет.

Также, если касаться темы оборотных штрафов, здесь не стоит ждать каких-то резких движений, так как с одной стороны всех история «напрягла», но с другой стороны до вступления в полную силу еще 5 месяцев, и не факт, что в июне мы увидим сразу какие-нибудь реальные кейсы по наложению таких штрафов. Но с тезисом, что данный закон приведет к большему замалчиванию «инцидентов», связанных с утечками, и это как следствие влияет на низкий спрос на услуги киберстрахования, мы не согласны. Наоборот, мы наблюдаем в настоящее время, что компании о произошедших инцидентах уведомляют соответствующие структуры, и в целом в данном направлении мы видим положительную динамику.

Поэтому, если подытоживать, можно говорить, что какого-то ажиотажа на услуги киберстрахования сейчас нет, но в тоже время запросы на такие услуги есть и можно наблюдать некий рост таких запросов (может и не глобальный, но прирост есть)».

Алексей Парфентьев, заместитель генерального директора по инновационной деятельности «СёрчИнформ»: «Киберстрахование полезно, это не только финансовая защита в случае инцидента, но и помощь опытных компаний-страховщиков и ИБ-интеграторов. Уверен, в будущем ИБ-страхование станет еще привлекательнее. Но пока это молодой продукт, который закономерно проходит через ряд сложностей.

Во-первых, не все страховые компании учитывают самый актуальный вектор атаки — действия инсайдеров. По нашим данным, в 2024 году 48% компаний столкнулись с утечками информации именно по вине сотрудников. Когда внутренние риски станут частью киберстраховки, у компании-заказчика должно быть специализированное ПО для защиты и проведения расследований. Причины две: без защиты нельзя попасть под страховой случай, т.к. инцидент будет расценен как намеренный, а без расследования нельзя установить виновных и ущерб, чтобы получить компенсацию.

Вторая сложность — определение ущерба. Если, например, инцидент произошел на производстве, то страховая рассчитывает компенсацию исходя из потерь компании за каждый час или день простоя. То есть на основе физической продукции, скорость производства которой можно объективно просчитать. Мы с коллегами в профильных рабочих группах ассоциаций несколько раз затрагивали эти темы. Пришли к выводу, что рынку нужна единая грамотная документация по вопросам киберстрахования. В таком документе точно должны быть методики первичной оценки и выделения рисков на основе ИБ-зрелости процессов у заказчика, а также типовой договор страхования.

Сегодня эти вопросы все еще актуальны – к общему стандарту рынок пока не пришел. Но, считаю, это вопрос времени, т.к. спрос на киберстрахование показывает стабильный рост из года в год».

Александр Луганский, менеджер по развитию UserGate: «Одной из причин, по которым компании не спешат страховаться, являются сложно выполнимые условия. Такие, как, например, «опечатывание системы». По сути, если произошедший инцидент затронул все бизнес-системы, то на срок расследования инфраструктура не может быть использована. То есть ее нужно строить с 0. А это практически невозможно и в техническом, и в финансовом отношении. Диапазоны выплат не могут покрыть стоимость простоя бизнеса на все время расследования. Каждый бизнес индивидуален, и подобрать для него стандартный план выглядит очень сложной задачей. Возможно, страхование киберрисков начнет работать в случае аутсорсинговой модели, в которой страховые компании будут оказывать услуги по защите и делать это под ключ. Правда, скорее всего, это обойдется бизнесу довольно дорого, и стоимость будет превышать риски».