По оценкам Всероссийского союза страховщиков, в 2023 году количество кибертак выросло на 11% по сравнению с 2022 годом. Однако бизнес не спешит защищаться от таких угроз. "Сегодня в России такой тип полисов не очень популярен, - рассказал директор по рискам "СберСтрахования" Владимир Новиков. - Клиенты по-прежнему предпочитают использовать различные превентивные инструменты обеспечения информационной безопасности. Однако практически любая защита может быть преодолена, и киберстрахование - это инструмент, который позволяет покрыть связанные с этим риски".
Отдельные отрасли более ответственно подходят к защите от киберугроз. По словам начальника управления страхования ответственности "Ингосстраха" Дмитрия Шишкина, компании, связанные с банковским сектором и ценными бумагами, уже много лет страхуют свои киберриски, т.к. понимают их специфику и уже сталкивались с киберугрозами. Руководитель отдела страхования корпоративной ответственности и финансовых линий компании "Абсолют Страхование" Алексей Алькин обратил внимание на рост интереса к киберстрахованию со стороны малого и среднего бизнеса. Он связывает это со всплеском количества киберугроз и тем, что бизнес стал лучше понимать и осознавать свои риски.
Основных последствий, к которым может привести киберинцидент, пять, указал Владимир Новиков. Это ущерб информационным системам и данным, расходы на расследование, ущерб имуществу, включая перерыв в производстве, ответственность перед третьими лицами, списание денежных средств.
У страховщиков сегодня есть продукты, которые покрывают все эти риски. Однако заключенные договоры по киберстрахованию есть всего у шести компаний. Страховых случаев тоже немного, но тут есть своя специфика.
"Большинство страховых случаев связано с собственными потерями бизнеса: перерывом в производстве, либо шифрованием данных. Однако важно учитывать, что пострадавшие компании предпочитают не обнародовать данные о кибератаке. Поэтому на весь рынок киберстрахования в России зарегистрировано порядка 20 страховых случаев, - рассказал Новиков. - Информация о взломах довольно чувствительна, и некоторые компании предпочитают ее не разглашать".
"Есть и будут определенные сложности с тем, чтобы страхователи без опасений могли и стремились раскрывать страховщику чувствительную информацию о своей IT-инфраструктуре для оценки риска, - подтверждает и Алексей Алькин. - Возможно, для этого в крупных рисках будет привлекаться третья сторона - профильная IT-компания, интегратор или производитель средств информационной безопасности, что повысит уровень понимания страхователем актуальности покрытия тех или иных киберрисков и размера необходимого лимита ответственности, а также в целом добавит объективности соотношению страхового покрытия и его стоимости.
Другая сложность связана с возможным объемом утечек. По словам Владимира Новикова, сегодня страховщики готовы предоставить максимальное покрытие по одному страховому случаю, по разным оценкам, в диапазоне от 1 до 2 млрд рублей. Однако этого может быть недостаточно для покрытия ущерба, который потенциально может нанести кибератака.
Ранее президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев отмечал, что для развития страхования киберрисков необходим ряд стимулирующих мер, в частности законодательное регулирование, выработка общих стандартов по страхованию, информирование граждан и юрлиц о рисках киберугроз и кибератак. Кроме того, по его словам, необходимо установление налоговых льгот для предприятий: расходы на страхование киберрисков должны быть отнесены на себестоимость, а не покрываться из их прибыли.
Участники рынка считают, что в законе об обязательном страховании киберрисков должна быть прописана классификация по категориям хранимых данных, поскольку ущерб от утечки, например, медицинской и финансовой информации может быть разным.
"Компенсация должна зависеть от размера причиненного ущерба, желательно, чтобы страхового покрытия хватало на его полное возмещение, - полагает Дмитрий Шишкин. - Разделение информации по степени критичности необходимо. Например, просто ФИО и телефон - это одна ситуация, а информация о заболевании предполагает более серьезную ответственность и более строгие меры по защите данных. Конечно, можно рассматривать все указанные случаи как возмещение морального вреда, а размер морального вреда по закону устанавливает суд, но лучше заранее установить порядок и размер выплат, а если их не хватит или пострадавший будет с ними не согласен, уже переходить в судебную плоскость".
По словам Алексея Алькина, требования к размеру обеспечения должны устанавливаться в зависимости от объема данных у конкретного оператора и в зависимости от вида обрабатываемых им данных. "Для кого-то разглашение медицинских данных будет хуже утечки финансово чувствительной информации, для кого-то наоборот, - отмечает эксперт. - Соответственно пострадавшие могут совершенно по-разному оценивать причиненный им вред, в т.ч. с помочью привлечения экспертов. Поэтому очень важны законодательные инициативы, которые вводят общие минимальные стандарты и тем самым упорядочивают действия как пострадавших, так и страхователей и их страховщиков".
В ВСК обратили внимание, что действующее законодательство не устанавливает стоимости утраты единицы информации - сделать это достаточно трудно, т.к. для разных людей и организаций критичны разные типы данных. В компании полагают, что это будет выяснять суд. При этом эксперты предостерегли, что в этом вопросе возможны и перегибы в сторону пострадавших лиц, которые могут начать заниматься потребительским терроризмом.