Доверять - хорошо, слишком доверять - опасно
Миколенко корреспондент ComNews
В мире страхование киберрисков является нормальной практикой. По данным SNS Insider, размер мирового рынка киберстрахования в 2023 году оценивался в $15,3 млрд. Аналитики ожидают, что он будет расти в среднем на 22,8% в год и к 2032-му достигнет $97,3 млрд. Россия от мирового рынка занимает едва ли полкапли. По прогнозам страхового брокера Mainsgroup, объем рынка киберстрахования в России к концу 2024 года составил чуть более 3 млрд руб. ($33,3 млн). Несмотря на значимый рост кибератак, только 12,5% российских компаний имеют страховку от киберпреступлений. Основной причиной этого является отсутствие доверия компаний к страховщикам и наоборот.
Как и многие другие виды страхования, страхование киберрисков пришло в Россию из-за рубежа. Первой компанией, которая представила его как отдельный продукт в 2012 году, была AIG (ныне СК "Гардия"). В основе решения лежала американская версия покрытия, которую позже адаптировали под российское законодательство. Однако, несмотря на это, продажи полисов страхования киберрисков не достигли пика, поэтому остальные участники рынка не спешили внедрять этот вид страхования.
Только в 2016 году второй игрок с иностранным капиталом, Allianz, запустил аналогичный продукт. С этого момента страхование киберрисков в России начало развиваться.
К 2025 году в рабочую группу по киберстрахованию Всероссийского союза страховщиков входят 15 компаний, из которых восемь предлагают услуги по страхованию киберрисков. По некоторым данным, на весь российский рынок приходится около полутора тысяч таких договоров. Они представляют собой разнообразные решения: от небольших коробочных продуктов до стандартных полисов с полным покрытием, при этом преобладают именно коробочные решения.
Застраховать от утери персональных данных можно, но страховка не распространяется на оборотные штрафы. Это как со страхованием автомобиля, когда человек попал в аварию, а ему еще следом ГИБДД выписала штраф за превышение скорости, поскольку во втором случае человек вину никак не опровергнет.
Один из российских страховщиков отмечает, что для правильного страхования киберрисков нужно провести полный ИТ-аудит информационных и иных бизнес-систем потенциального страхователя для оценки защищенности и вероятности наступления риска.
В то же время, как показывает опыт других видов страхования, после проведения аудита обычно обнаруживаются проблемы, на решение которых компании придется потратить значительные ресурсы. В таких условиях владельцы бизнеса часто предпочитают направить средства на развитие информационных технологий, а не на страховку.
Это особенно актуально для крупных компаний, в то время как малый и средний бизнес практически не защищен от киберугроз - зачастую у них даже нет антивирусного программного обеспечения. Ответственные страховые компании не хотят брать таких клиентов на страхование.
Компании, которые хотят получить страховку, сталкиваются с главной проблемой - необходимостью раскрыть внутренние процессы перед страховщиками. Если взять, к примеру, страхование запуска спутников и дальнейшее их пребывание на орбите, то в случае аварии при запуске компания, которая допустила эту аварию, должна предоставить страховщикам максимально полную информацию о бизнесе. Только так она может убедить их, что приняла все необходимые меры и в следующий раз такого не повторится. В противном случае при попытке застраховать космический аппарат в следующий раз ставка будет гораздо выше.
На Западе принято доверять крупным корпорациям, таким как Microsoft, SAP, Oracle и др. Средний и малый бизнес охотно пользуется их продуктами. В России же из-за тотального недоверия компании вынуждены разрабатывать сотни одинаковых программ, чтобы избежать кражи разработки какого-либо одного продукта. Это снижает эффективность бизнеса.
Можно говорить о том, что история со страхованием киберрисков гораздо шире отображает настороженное отношение игроков внутри российского ИТ-рынка. Креститься перед аудитом, сыпать соль на порог офиса, обливаться водой из колодца и многое другое может быть вспомогательным обрядом для восполнения доверия. Но одно точно поможет: научиться раскрывать все технологические процессы не только во благо киберстраховки, но и ради более быстрого технологического прорыва. И попробовать жить по-новому.
