Страховые компании, предлагающие покрытие от последствий кибератак, увеличили сбор страховых премий по этому виду услуг на 80%, достигнув отметки в 1,3 млрд рублей в 2023 году. Однако на данный момент киберстрахование применяется ограниченно, в основном из-за отсутствия экспертизы по оценке безопасности клиентов. В Совете федерации работают над нормативной базой для развития этого направления, однако Центральный банк призывает не спешить с введением обязательных требований.
Общий объем премий по киберстрахованию в России за 2023 год вырос примерно на 80%, достигнув 1,3 млрд рублей, сообщили в ПСБ. Крупные клиенты из банковской и промышленной сферы, в основном из ТЭК и металлургии, чаще всего приобретают подобные программы, как отметил вице-президент и директор департамента развития небанковских сервисов ПСБ Алексей Назаров. В такие программы может входить кибераудит – проверка безопасности IT-систем.
Для малого и среднего бизнеса доступны недорогие решения по страхованию от киберинцидентов, связанных в основном с атаками типа DDoS (атака на сервер). Однако такие решения не покрывают все современные киберугрозы. «Киберстрахование в России остается узкоспециализированным продуктом», – признает Алексей Назаров. Согласно данным «Эксперт РА», рынок страхования в России в 2023 году вырос на 15-16%, и общий объем премий составил около 2 трлн рублей.
В «Страховом доме ВСК» отмечают рост спроса на страхование киберрисков в среднем на 20% в год, то есть поступающих запросов на покупку полисов. По их мнению, спрос пропорционален увеличению инцидентов с утечками данных и хакерскими атаками. Роскомнадзор в 2023 году выявил 168 утечек данных (в 2022 году – 140 утечек).
В «Росгосстрахе» отмечают, что спрос на страхование киберрисков в первую очередь исходит от банковского сектора и телекоммуникационных компаний, которые являются основными целями атак. Однако на данный момент это направление еще не является значимым на рынке страхования. Сейчас речь идет скорее о разовых договорах, а не полноценных продуктах, доступных широкому кругу клиентов, говорят в компании.
Коммерческий директор BI.ZONE Константин Левин указывает на несколько ключевых проблем в сегменте. Во-первых, помимо страховщика и клиента требуется наличие третьей стороны, которая проводит анализ ситуации у клиента, но эти процедуры пока недостаточно продуманы, а также отсутствуют критерии оценки. Во-вторых, отмечает эксперт, отсутствует профильное регулирование.
С конца 2022 года киберстрахование рассматривается как одно из обязательных требований для регулирования ответственности компаний за информационную безопасность. Зампред совета по развитию цифровой экономики при Совете федерации Артем Шейкин объясняет, что идея заключается в создании механизма обязательного финансового обеспечения ответственности операторов персональных данных в случае утечек. Планируется, что компании будут обязаны иметь финансовое обеспечение для возмещения ущерба, причиненного субъектам персональных данных, при нарушении законодательства. Это могут быть банковская гарантия, договор страхования или резервный фонд. Законопроект находится на финальной стадии разработки, и его планируется обсудить с ведомствами и представителями бизнеса на заседании в Совете федерации в феврале.
Центральный банк уточняет, что киберстрахование – одна из задач, определенных в плане работ регулятора до 2025 года. Однако для установления единых требований к этому виду страховых продуктов страховщикам необходимо накопить достаточный опыт.