Идем на риск: почему киберстрахование не пользуется спросом? Аналитика IT-World

Глобальный рынок

На глобальном рынке киберстрахование считается самым молодым и только начавшим развиваться сегментом. По данным Глобального обзора McKinsey, в 2023 году мировой рынок страховых услуг немногим превышал $6,9 трлн. Итоги 2024 года, по данным Statista, демонстрируют порядка $8 трлн. На этом фоне собранная в 2023 году страховая премия по киберстрахованию (возьмем данные insightaceanalytic.com - $16,46 млрд) составила всего лишь 0,24%.

Для сравнения – на полисы, связанные с Life-страхованием (инвестиционное и накопительное страхование жизни, страхование жизни и здоровья на случай болезни, несчастных случаев, профессиональных травм и т.д.), по данным того же McKinsey, в совокупном объеме страховой премии пришлось $2,9 трлн, или около 42%.

Российский рынок

Российский страховой рынок и сегодня считается одним из самых динамично растущих в мире. Так, судя по статистике, собранной мегарегулятором – ЦБ РФ, – в 2023 году объем страхового рынка в России составлял 2,3 трлн рублей, в 2024 г.он вырос на впечатляющие 62,8% и достиг 3,7 трлн рублей.

И если основными драйверами отечественного рынка в прошедшем году были такие виды, как накопительное и инвестиционное страхование жизни, премии в которых выросли до рекордных значений, автострахование, добровольное медицинское и корпоративные виды страхования, то доля рынка, приходящаяся на страхование киберрисков, в 2023 году составляла весьма и весьма скромные 0,05% от совокупного объема рынка, или 1,3 млрд рублей.

За 10 лет с момента заключения первого в РФ договора киберстрахования на отечественном рынке уже сложился круг страховых компаний, предлагающих полисы от киберугроз. Поиск по Сети показывает, что такие виды страхования уже есть в портфелях и практикуются компаниями «Прогресс Страхование», Ингосстрах, СберСтрахование, «АльфаСтрахование», «СОГАЗ», «СОЮЗ Страхование» и рядом других.

Впрочем, так и предполагали эксперты последние несколько лет – этот сегмент, несмотря на свою молодость и новизну, должен активно развиваться. Причины – налицо: это бурный рост числа хакерских атак и утечек данных и постоянно увеличивающийся ущерб от них.

Правда, за последние два года, отмечают эксперты, популярность этой услуги заметно выросла. Только за 2023 год отечественный сегмент киберстрахования увеличился на 80%. Да и президент Всероссийского союза страховщиков (ВСС) Евгений Уфимцев, выступая в феврале 2024 года на Уральском форуме «Кибербезопасность в финансах», отметил высокий потенциал роста страховых премий в киберстраховании, который, как считает спикер, может быть примерно в 100 раз выше нынешних показателей.

Но стоит учесть особенность подсчетов – из общего объема страховых премий по итогам 2023 года - 1,3 млрд рублей – на специализированные полисы по страхования киберрисков пришлось не более 40%. Остальную сумму – 60% - составили договора с элементами киберстрахования.

Попробуем разобраться, почему отечественный бизнес не спешит вкладываться в страхование киберрисков.

Бюджеты бизнеса на обеспечение информационной безопасности всегда ниже, чем нужно. Это справедливо не только в отношении специализированных решений в сфере ИБ, но и в отношении страховой защиты. Однако, уже в 2023 году бюджеты на киберзащиту, в среднем на 20%, увеличили более половины всех российских предприятий (данные Yandex Cloud и «Деловые решения и технологии»).

Компании финансовой отрасли, по сведениям ГК «Солар», направляли на обеспечение информационной безопасности 5–6% от совокупного бюджета на ИТ.

Но на страхование многие до сих пор смотрят как на лишние расходы. Как считают в Forbes, на киберстрахование компании тратят меньше 1% бюджета на цифровую защиту. При этом обращают внимание на этот вид полисов только около 10% компаний, а оформляют — не больше 5%. Правда, предотвратить возникновение угроз и убытков наличие страхового полиса не в силах, однако позволит минимизировать убытки от инцидента, покрыв хотя бы часть их них.

Сложности с оценкой рисков. Стоит еще раз отметить, что страхование киберрисков – рынок пока еще очень молодой. По страховым случаям было мало значимых кейсов, собрано недостаточно статистики для того, чтобы составить четкие, единые для всех правила страхования, методики расчета рисков по договору и оценки стоимость ущерба.

Страховщики, практикующие страхование киберрисков, предлагают, по большей части, полисы с индивидуальными условиями страхования и набором покрываемых рисков. Все зависит от запроса клиента.

Уже стандартно полисами покрываются ущерб от кибератак, потери баз данных, утечки персональных данных, кибервымогательства, приостановки производственных и бизнес-процессов и ущерб третьим лицам.

Но очень трудно оценить, соответствуют ли риски, попадающие под страховое покрытие, реальным рискам, составить полное и подробное описание страховых событий, процесса урегулирования страховых случаев, как и рассчитать подлежащие выплате суммы.

Выплат по страховым случаям также было не так много, чтобы иметь достоверную статистическую выборку. В основном, выплаты связаны с приостановками деятельности компании из-за кибервоздействия и убытками из-за этих перерывов в работе. По самым последним данным, лимиты покрытия по договорам составляют от 100 млн до 2 млрд рублей, но подавляющее большинство договоров заключается на суммы в пределах 0,5 млрд рублей.

Но в покрытие, как правило, не входит человеческий фактор - действия сотрудников компании, умышленные или нет. Собственно, пишут эксперты, ущерб от действий сотрудников тоже можно включить в договор страхования, но это заметно увеличит его стоимость (от 15 до 40%).

Ситуация осложняется тем, что многие компании предпочитают не обнародовать информацию о хакерских атаках на их системы, их успешности и убытках, которые они понесли.

Отсутствие нормативной базы. В отечественном сегменте киберстрахования пока еще отсутствует единая нормативная база, которая регулировала бы все необходимые стандарты, процедуры и алгоритмы. И это сильно тормозит развитие рынка.

Потенциальные клиенты неохотно предоставляют страховым компаниям доступ к данным о своей системе безопасности и тонкостям информационной защиты. И этот фактор также сильно затрудняет оценку рисков. Использует ли компания только лицензионные программные продукты, как защищены ее базы данных, прошли ли сотрудники обучение основам кибербезопаности, как разграничены права доступа у сотрудников компании и т.д.?

Рынок вырастет, и это неизбежно?

В марте 2025 страховой брокер Mainsgroup обнародовал свои прогнозы по рынку. Эксперты компании считают, что в ближайшие годы сегмент киберстрахования будет расти, а собранные премии увеличатся в объемах от 41% до 54% в год. Такое же мнение высказали большинство - 94,8% - опрошенных компанией страховых компаний, страховых брокеров и страхователей.

Прежде всего, считают респонденты, росту рынка будет способствовать увеличение числа кибератак, изобретаемые мошенниками новые типы и новые каналы атак, новые цели для атак (криптоактивы, устройства интернета вещей (IoT), использование фейковых новостей, рост числа «хактивистов» и потеря устойчивости алгоритмов шифрования - некоторые их них были созданы еще в 1990-х годах и используются до сих пор. Как следствие, вырастет и спрос на такие полисы со стороны компаний, более всего от этих атак страдающих.

Вторым фактором, способным придать рынку значимый импульс, может стать создание института обязательного страхования киберрисков и перечня отраслей, игроки которых обязаны страховать киберриски или свою ответственность - например, финансовый сектор, системно-значимые компании в промышленности, железнодорожных и авиаперевозках, или операторы, работающие с персональными данными.

И такие проекты обсуждались за последние годы несколько раз. Правда, до «обязаловки» в сегменте киберстрахования дело пока не дошло.

Но, полагают эксперты, именно операторы персональных данных – самые вероятные кандидаты на обязательное страхование. Поправки в Федеральный закон о персональных данных, которые подразумевают обязательное страхование киберрисков и создание у операторов резервных фондов для возмещения ущерба пострадавшим, активно обсуждаются в сети с начала 2024 года. И, по некоторым оценкам, введение обязательной киберстраховки приведет к росту объема премии в сегменте «Киберстрахование» до 10 млрд рублей в год.

Персональные данные продолжают утекать, отмечают спикеры, а, между тем, их важность как стратегического ресурса только возрастает. Но пока в недрах страхового рынка обсуждается, будет и стоимость полиса зависеть от категории данных (медицинские, финансовые и т.д.), как будет распределяться ответственность в результате утечки, как будет оцениваться ущерб пострадавшего от утечки и в каких лимитах покрываться, можно ли будет отнести затраты на страхование на себестоимость. А главное – не превратится ли обязательное страхование в налог, который не будет иметь никакого отношения к развитию отрасли ИБ и регулированию персональных данных.