23 октября 2023 г.
Обсуждение представителями индустрии и Правительства РФ введения обязательного страхования корпоративных кибер-рисков идет с лета, как сообщает «КоммерсантЪ». Это привлекает внимание как к проблемам «на стыке» кибербезопасности и страхования, так и заставляет еще более пристально посмотреть на некоторые процессы, которые идут в обоих сегментах.
Формально все логично, но...
Направление киберстрахования (cyber insurance) существует достаточно давно — около четверти века — и активно развивается во всем мире, совершенствуя форматы и наращивая объемы. Если существуют специфические опасности, связанные с «кибербезом», значит, на рынке будут заинтересованные в страховых продуктах, оформляющих передачу соответствующих рисков внешним компаниям. Полисы киберстрахования защищают бизнесы и физических лиц от широкого спектра рисков, связанных с ИБ-инцидентами.
Практика обязательного страхования тоже существует — достаточно вспомнить ОМС или ОСАГО. Однако делать обязательным киберстрахование проблематично по нескольким причинам: количество подлежащих страховке систем велико, квалифицированных специалистов по оценке страховых случаев в cyber insurance относительно мало (и готовить их долго!), а квалификация у работающих тут должна быть высочайшая — объемы страховых выплат могут быть огромны. Микс из этих причин выглядит настораживающе.
Киберстрахование: сложности и особенности
Хакерские атаки могут привести к порче, уничтожению или краже данных, к нарушению непрерывности бизнес-процессов, к появлению ответственности перед третьими лицами (набор вариантов широк: от срыва контрактов до последствий атак на цепочку поставок), к необходимости уплаты выкупов киберпреступникам или штрафов государственным органам — все эти и многие другие риски можно застраховать.
Интересно, что в киберстрахование могут включать покрытие расходов на различные активности, вызванные атаками. Диапазон широк: от расследования киберинцидента до PR-/IR-/GR-активностей, призванных сгладить последствия инцидента в информационном поле.
История направления: мир и РФ
Принято считать, что история киберстрахования в мире началась в 2000 году, хотя некоторые в качестве точки отсчета указывают 1997 год. Однако потребовалось некоторое время, чтобы очевидные идеи — страховая защита корпораций и частных лиц от действий киберпреступников — компании смогли «упаковать» в массовые продукты.
Рынок киберстрахования в России еще молод и находится в стадии формирования, отметили в пресс-службе Angara Security. Историю данного направления на российском рынке принято отсчитывать в 2017 года, когда на волне первых мощных эпидемий ransomware — WannaCry и Petya — бизнесу стала интересна страховая защита внезапно возросших рисков для данных и инфраструктур. В том же году на локальный рынок с продуктами начали активно выходить крупнейшие российские страховщики, например, «Сбербанк-Страхование» и «Ингосстрах». Хотя, строго говоря, полисы киберстрахования как продукт существовали в рублевой зоне и раньше — например, российская компания «АИГ» (дочка глобального AIG) предлагала их с 2013 года. Но до 2017 года эти продукты для массового рынка являлись экзотикой, а ориентированы были скорее на филиалы и представительства глобальных компаний, корпоративная культура которых уже предусматривала подобные инструменты.
Заметим, что в реалиях российского рынка киберстрахование демонстрирует положительную динамику.
«Все больше компаний понимают необходимость учитывать IT-риски при построении политики риск-менеджмента. Кроме того, крупные компании стали обязывать своих поставщиков оформлять договоры страхования по киберрискам», — отмечала Екатерина Крючкова, руководитель направления управления страхования финансовых рисков «АльфаСтрахование», еще в 2022 году.
На сегодняшний день заключено всего несколько десятков контрактов на страхование рисков в области информационной безопасности.
Объем сегмента cyber insurance
На первый взгляд, с сегментом киберстрахования на российском рынке все хорошо: спрос со стороны корпоративных заказчиков за последние два года вырос более чем на 20%, как сообщает «КоммерсантЪ» со ссылкой на данные «Союза Страхования», а в течение следующих
Годовой объем мирового рынок киберстрахования а по объему составляет 13,33 млрд долл., по свежей оценке консалтинговой компании MarketDigits. Если национальная экономика РФ составляет, по разным оценкам, порядка
Среднегодовой темп роста глобального сегмента cyber insurance составил, согласно прогнозам, 26,1%, поэтому к 2030 году его объем достигнет 84,62 млрд долл. При такой динамике российский сегмент будет наращивать отставание от глобального. Даже при сохранении 20% темпов роста вскоре доля российского киберстрахования в глобальном cyber insurance будет составлять уже доли промилле...
Очевидно, что в таких условиях создать для локального рынка современный продукт высокого качества достаточно проблематично. Заметим, что понимание ситуации и объективная оценка рисков в российском ИТ сегодня оказываются радикально сложнее, чем была 2 года назад — мировые практики будут не очень хорошо применимы на фоне происходящего обновления рельефа угроз и перехода на импортозамещенные продукты и технологии, в том числе, обеспечивающие инфобезопасность. Узость рынка и его сложность (см. врезку) в сочетании с выраженной региональной спецификой, очевидно, негативно влияют на развитие сегмента страхования кибер-рисков в РФ.
Современный страховой полис — сложный продукт, для создания которого в надлежащем качестве требуется серьезное и многофакторное исследование, а на такое R&D приходится тратить значительный ресурс.
«Важна детальная проработка формирования и регулирования страхования кибер-рисков, направленная в том числе на гармонизацию и унификацию подходов к оценке уровня защищенности, оценки ущерба, порядку и методике расследования инцидентов, расчету страховых премий и выплат и т. п.», — отмечает г-н Адоньев.
Страховые продукты в российских условиях исторически не пользуются особой популярностью, поэтому игрокам сегмента приходится вкладывать существенные средства в продвижение cyber insurance.
Вместо заключения или «обязаловка» до добра не доведет
Практика обязательного киберстрахования, которую в очередной раз предлагают ввести — новое слово в страховом бизнесе. Сейчас инициатива исходит от Совета Федерации, как сообщает «КоммерсантЪ», но у темы есть своя предыстория: аналогичное предложение было озвучено в 2017 г. — когда при создании программы «Цифровая экономика» рабочая группа во главе с представителями «Сбербанка», как писал «КоммерсантЪ» рекомендовала уже к 2020 году сделать обязательным «Полис информационной безопасности» для всех стратегических отраслей.
Такую практику по понятной причине поддерживают страховые компании. Однако у корпоративного сегмента соответствующая инициатива вызывает удивление и отторжение. В2В-сегмену приходится непросто из-за общего состояния экономики и ряда незапланированных затрат, которых требует переход на санкционно-устойчивые решения. Перспектива появления «обязаловки» в приобретении нового не самого нужного продукта, который с высокой вероятностью окажется, мягко говоря, сыроват, никак не радует предприятия реального сектора российской экономики. Кроме того, принятие закона не повысит количество профильных специалистов, способных работать в сегменте, а ИБ-отрасль и так испытывает острый дефицит кадров.
Направление киберстрахования продолжает эволюционное развитие по мере роста цифровой зрелости российских компаний, а также изменения ситуации как рыночной, так и регуляторной. На фоне новых штрафов за утечку персональных данных страхование кибер-рисков становится для бизнеса выгодным решением, особенно для крупных компаний, которые по предложению законодателей об оборотных штрафах могут потерять от 15 до 500 млн руб. на инцидентах с утечками данных, отметили в пресс-службе Angara Security. При этом они подчеркнули, что нужно понимать: страхование кибер-рисков не является панацеей, скорее это инструмент, который позволит бизнесу минимизировать ущерб после атаки на инфраструктуру.
Источник: Александр Маляревский, внештатный обозреватель IT Channel News