Системы защиты - еще не все. Как киберстрахование меняет отношение бизнеса к цифровым угрозам
Новиков
директор по рискам "СберСтрахования"
Пока одни компании исключительно продумывают и закупают дорогостоящие системы защиты цифровых активов, другие - вкладываются еще и в их страхование. Как именно работает рынок киберстрахования в России и каковы перспективы его развития, рассказывает Владимир Новиков, директор по рискам "СберСтрахования".
"Эксперты ожидают рост числа кибератак на российские ресурсы в 2023 году" - подобные заголовки в СМИ можно увидеть по запросу "киберпреступления 2023". При этом растет не только количество правонарушений в сфере электронной безопасности, но и их масштаб. Вряд ли сейчас вас удивят новости про взлом базы данных, утечку персональной информации клиентов мобильного оператора или онлайн-сервиса. По прогнозу Всемирного экономического форума, сейчас мировой ущерб от киберпреступлений составляет около $22 млрд в день.
Киберстрахование - еще один вид защиты
С цифровой эрой пришли и так называемые цифровые активы. Это сервисы такси, поисковики, информационные платформы, наборы автоматизированных систем и многое другое, они существуют только в виде кода. Их нельзя пощупать, но они приносят своим создателям колоссальную прибыль. Поэтому эволюционная потребность в киберстраховании возникла тогда, когда появились, собственно, цифровые активы. Само понятие "киберстрахование" - новое. В России это направление активно развивается только с 2015 года. Да и в мире оно является самым молодым видом страхования.
Наряду с появлением цифровых активов эволюционировали и классические активы. Сейчас невозможно представить серьезное предприятие, которое не использует в своих бизнес-процессах ту или иную автоматизированную систему: управление работой доменной печи, роботизированная сборка автомобилей, автоматизация процессов в сельском хозяйстве.
Если речь идет только о цифровом активе, то есть риск его порчи или утраты. В случаях симбиоза, когда есть еще и физические объекты, которыми управляют цифровые инструменты, существует риск потери управления через взлом или другое нарушение безопасности системы.
Очень чувствительна к цифровизации такая сфера любого предприятия, как финансы. Взаимодействие с банками, внутри организации, или с государственными органами происходит с помощью электронных инструментов. Поэтому злоумышленникам, чтобы получить доступ к деньгам бизнеса, не нужно уже врываться в здание и взламывать сейф, а всего лишь - получить логин и пароль главного бухгалтера. Этого достаточно.
Страховой случай - нарушение кибербезопасности
В части киберрисков страховой случай - событие, первопричиной которого стал инцидент нарушения кибербезопасности. Юридический термин, конечно же, намного длиннее и обширнее, но суть заключается в том, что в результате ИТ система клиента не может нормально функционировать. Это может быть перехват, блокировка, искажение данных. Также возможно шифрование системы с последующим требованием выкупа за ее расшифровку. То есть, по сути, предприятие, бизнес теряют контроль над собственной информационной системой. Например, самый известный киберураган - вирус NotPetya на несколько дней парализовал работу крупной сети по приему медицинских анализов.
Варианты страховых возмещений
Все зависит от полиса, который выбрал клиент. Он может быть как комплексным, так и с частичным покрытием конкретных аспектов. При этом можно выделить пять возможных негативных кейсов и пути их решения с помощью киберстрахования:
-
выплата компенсации на восстановление системы и/или утраченных данных
-
компенсация непредвиденных расходов на разрешение инцидента: привлечение внешних дешифровальщиков, "белых хакеров", проведение расследования
-
компенсация простоя работы клиента
-
компенсация кражи финансовых активов (однако нужно иметь в виду, что страховое покрытие имеет предельную сумму)
-
страхование ответственности, ущерба компании перед третьими лицами (утечка персональных данных клиентов, взлом IT-системы больницы и т.д.)
Киберстрахование в России
Цифровизация в нашей стране идет быстрыми темпами, даже в чем-то опережая остальной мир. Но 90% компаний уделяют внимание исключительно киберзащите и только 10% добавляют в сферу внимания киберстрахование.
Еще меньше потенциальных клиентов осознают, что страхование не снижает риски, а компенсирует потери, когда все-таки инцидент происходит. То есть за него надо заплатить сверх затрат на киберзащиту. Но сейчас мы ожидаем скачок спроса, когда бизнес осознает важность страхования цифровых активов. Первые ласточки уже есть. Представители всех сегментов - крупного и малого бизнеса, все больше "смотрят" в эту сторону. И самые смелые уже начинают покупать полисы.
Но пока не более 5% компаний оформляют такие полисы. С чем это связано? Не будем забывать, что такого рода сделки заключаются с двух сторон. И помимо взгляда клиента, есть еще и взгляд страховщика. Последние достаточно осторожны в оценках рисков, потому что зачастую их сложно просчитать. Например, почти невозможно найти достоверную статистику об инцидентах, потому что не все жертвы, которые попали под кибератаки, склонны афишировать этот факт. В связи с этим сложно просчитать страховые взносы и общий объем страхового покрытия. То есть страховщики не всех готовы принимать на страхование.
Киберпреступность - это всегда игра в полицейского и правонарушителя. Как правило, преступник делает первый шаг, а полицейский его догоняет. На каждое новое средство защиты находится обходной путь. Спасительным кругом здесь выступает страхование. Однако пока, к сожалению, до этого вывода доходят немногие.
Что будет дальше
У каждой страховой компании есть свое видение развития ситуации. Мое мнение, что в первую очередь страховаться будет средний бизнес. Крупные игроки сейчас тратят колоссальные суммы на защитные механизмы и зачастую считает это гарантией, а малый бизнес редко задумывается о киберстраховании, считая это уделом крупных предприятий.
Что в итоге? Мы видим рост интереса к теме киберстрахования со стороны бизнеса. К тому же есть активная группа страховщиков, которая готова реально формировать рынок. Отрадно, что тема киберстрахования заинтересовала уже регулятора в лице Центрального банка. Если сложить эти факторы, то можно сказать, что условия для скачка киберстрахования в стране уже, действительно, есть. Думаю, в течение трех лет мы увидим сильный прогресс в этой сфере.