Эксперты прогнозируют рост рынка киберстрахования на 20 процентов в год
За последние несколько лет российский рынок киберстрахования прошел путь от нишевого продукта к одному из самых востребованных инструментов управления рисками. Рост числа атак, ужесточение регулирования и цифровизация бизнеса постепенно меняют отношение компаний к страхованию ИТ-угроз, превращая его из экзотики в практический механизм корпоративной защиты.
Формирование спроса
Опрошенные "РГ" профильные эксперты отмечают, что сам рынок киберстрахования начал активно формироваться относительно недавно, хотя первые продукты появились в 2017 году. По словам доцента Финансового университета при правительстве РФ Петра Щербаченко, уже в 2020-м спрос на такие услуги вырос в 5 раз, а в 2021 году - еще на 60 процентов. Развитию сегмента способствовали бурный рост электронной коммерции и переход бизнеса в онлайн.
Сегодня драйверы остаются теми же, но двигают рынок вперед еще стремительнее. Генеральный директор "Сайбер Бизнес Консалтинг" Дмитрий Лившин подчеркивает, что ключевыми факторами стали резкий рост числа атак, в том числе со стороны зарубежных хакеров, а также ужесточение регулирования и введение оборотных штрафов за утечки персональных данных.
Дополнительным фактором выступает быстрое расширение цифровой экономики. На этом фоне практически все компании, вне зависимости от отрасли, сталкиваются с киберугрозами, что формирует устойчивый спрос не только на средства защиты, но и на страховые инструменты компенсации ущерба - в случаях, когда атаки оказываются успешными.
Крупные компании страхуют собственные риски и возможные простои из-за кибератак
Меняется и структура спроса. Если раньше компании страховали в основном собственные потери, то теперь все чаще речь идет об ответственности перед третьими лицами. Это связано с распространением атак через цепочки поставщиков, когда уязвимость подрядчика может привести к инциденту у крупного заказчика.
Как работают полисы
Киберстрахование постепенно приобретает более формализованный характер. Руководитель SOC Infosecurity Александр Мосягин отмечает, что страховые компании чаще всего предлагают базовые "коробочные" продукты с фиксированным набором рисков, а более сложные покрытия требуют индивидуального андеррайтинга.
В зависимости от условий полиса страхование может покрывать расходы на восстановление инфраструктуры, компенсации третьим лицам, а также штрафы за нарушения законодательства о персональных данных. При этом стоимость полиса, по словам Дмитрия Лившина, обычно составляет от 0,5 до 2 процентов от страховой суммы.
На практике логика работы таких продуктов близка к классическому страхованию: компания определяет перечень рисков и размер покрытия, после чего страховщик оценивает вероятность наступления инцидента и рассчитывает премию. При этом в последние годы растет интерес к страхованию не только прямых убытков, но и косвенных рисков - например, штрафов за утечки и претензий со стороны клиентов.
Однако есть и ограничения. Наиболее сложными для страхования остаются репутационные потери и убытки от простоя бизнеса: такие риски трудно оценить из-за нехватки статистики и быстро меняющегося характера угроз. Кроме того, для получения выплаты компании должны подтвердить сам факт инцидента и соблюдение требований по информационной безопасности.
Средний бизнес включается
Сегодня основными пользователями услуги киберстрахования остаются крупные компании, прежде всего из финансового и ИТ-секторов. Они обладают достаточными бюджетами и зрелыми процессами управления рисками. По оценкам Петра Щербаченко, полисы оформляют около 6-9 процентов компаний.
Средний бизнес также постепенно включается в этот процесс. Как отмечает Дмитрий Лившин, именно такие компании часто становятся целью атак: с одной стороны, у них уже есть ресурсы для выплаты выкупа, с другой - уровень защиты обычно ниже, чем у крупных корпораций. И если крупные компании страхуют в первую очередь собственные риски и возможные простои, то для малого и среднего бизнеса более актуальным становится страхование ответственности перед заказчиками.
Тем не менее проникновение продукта остается ограниченным. Генеральный директор "Технобит" Александр Пересичан указывает на то, что киберстраховку имеют не более 20 процентов компаний, несмотря на более высокий уровень реальных угроз.
Барьеры роста
Сдерживающих факторов у рынка несколько. Во-первых, это высокая стоимость самих полисов и необходимость соответствовать требованиям по информационной безопасности - от внедрения многофакторной аутентификации до наличия систем мониторинга и реагирования на инциденты.
Во-вторых, сохраняется дефицит практики и доверия. Отсутствие большого числа публичных примеров выплат делает бизнес более осторожным в принятии решений. По данным Петра Щербаченко, среди основных барьеров также выделяются нехватка бюджета и внутренние регламентные ограничения компаний.
Кроме того, несмотря на появление продуктов у ведущих страховщиков, количество поставщиков таких услуг все еще невелико, а сами решения не всегда стандартизированы и требуют индивидуальной настройки под клиента.
От нишевого продукта к стандарту
Несмотря на существующие ограничения, эксперты сходятся во мнении, что рынок будет активно расти. Александр Пересичан оценивает потенциальные темпы увеличения сегмента на уровне 15-20 процентов в год.
Факторы роста очевидны: дальнейшая цифровизация экономики, увеличение числа киберинцидентов и ужесточение требований со стороны регуляторов. По мере накопления практики и расширения линейки продуктов киберстрахование может стать стандартным элементом системы управления рисками.
Как отмечает Дмитрий Лившин, со временем к этому сегменту подключатся крупные страховые компании, а сами полисы станут такими же привычными, как страхование имущества или транспорта.
Инфографика "РГ" / Александр Чистов / Михаил Калмацкий