Кибербезопасность и страхование киберрисков

В рамках Уральского форума «Кибербезопасность в финансах 2026» 20 февраля 2026 года при поддержке Всероссийского союза страховщиков и Российского союза автостраховщиков (РСА) прошла сессия на тему «Страхование киберрисков». Насыщенная дискуссия во время форума позволила рассмотреть ключевые аспекты и услышать мнение ведущих экспертов, в том числе, по возможности введения вмененного страхования киберрисков. Модератором сессии выступил президент ВСС и РСА Евгений Уфимцев.

Евгений Уфимцев

Президент Всероссийского союза страховщиков

Киберстрахование: слышать и учитывать потребности рынка

В последнее время наблюдается большое количество атак на ин­фраструктуру, причем происходили действительно очень тяжелые инци­денты, когда информационные системы финансового сектора с трудом вы­держивали атаки. На наш взгляд, это безусловно требует усиления работы в сфере кибербезопасности.

Массовые атаки обозначили ряд про­блем. В частности, организациям очень быстро требовались деньги, чтобы оплатить услуги специалистов по ло­кализации последствий инцидента и компенсировать потери, поскольку если в компании не работает инфор­мационная система, во многих случаях у нее останавливаются бизнес-про­цессы. Если организация выпадает на несколько недель из бизнеса, она резко теряет в своих доходах.

Исходя из этого, наиболее востре­бованный акцент сейчас такой: для критической инфраструктуры любого предприятия необходима высокая степень защищенности, а самому предприятию при этом важны и нужны быстрые выплаты для устранения неполадок по факту выявленного кибе­ринцидента. Поэтому сейчас велика потребность в страховых продуктах, которые позволяли бы организациям в оперативном режиме локализовывать и оператив­но решать возникающие проблемы.

Такой вариант страховой защиты очень похож на ремонт автомобиля по каско. Если тебе нужен ремонт, страховщик, хорошо зная сервисы, напра­вит тебя на нужную СТО. Да, ты сам, конечно, тоже можешь сделать ремонт, но проще, когда ты запла­тил за страховку, получил полный сервис в случае наступления страхового случая и без головной боли поехал дальше.

Поэтому в киберстраховании сейчас наметилась основная потребность в определенных продуктах, связанных с компенсацией на восстановление и по­крытие уже возникшего ущерба.

Другая сложность связана с перебоями, которые могут возникать в работе информационных систем, и она в свою очередь меняет подходы страховщи­ков в части организации системы урегулирования убытков. Указанный аспект уже выходит за рамки развития киберстрахования. Он касается внутрен­них бизнес-процессов страховщиков, их собствен­ной операционной устойчивости и изменения подходов к созданию резервной инфраструктуры при невозможности работать электронным спосо­бом. В настоящее время страховое сообщество как раз прорабатывает альтернативные каналы взаимо­действия клиента с компанией.

В развитии киберстрахования хочу отме­тить активную роль Совета Федерации в лице Артема Геннадьевича Шейкина. В диалоге с зако­нодателем о новых страховых продуктах важно слышать и учитывать потребности всех участников рынка.

Николай Галушин

Генеральный директор АО «Национальная страховая информационная система»

Рынок киберстрахования в России: состояние, проблемы и перспективы развития

Киберстрахование в России находит­ся на этапе активного становления. Несмотря на растущее число кибе­ратак и увеличение объемов утечек данных, рынок страховой защиты от этих рисков сталкивается с рядом структурных ограничений. В данном обзоре рассмотрены текущее со­стояние отрасли, основные подходы к страхованию, ключевые нерешенные вопросы и потенциальные сценарии развития.

ТЕКУЩЕЕ СОСТОЯНИЕ РЫНКА: КОЛИЧЕСТВЕННЫЕ И КАЧЕСТВЕННЫЕ ХАРАКТЕРИСТИКИ

Российский рынок киберстрахова­ния характеризуется высокой степе­нью неопределенности и фрагментар­ности.

– Отсутствие официальной стати­стики. Сегмент киберрисков до сих пор не выделен в официальной отчетности страховщиков. Это де­лает невозможным точный подсчет объема рынка. По экспертным оценкам совокупный объем собран­ной страховой премии составляет от 1 до 2 млрд рублей.

– Единичные крупные проекты. Рынок держится на точечных сделках. Так, например, крупней­шим известным договором явля­ется полис «Норильского никеля» со страховой суммой 2–3 млрд рублей.

– Преобладание «коробочных» продуктов. Основной драйвер текущих продаж — не осознанный спрос бизнеса, а банковский канал. Значительная часть полисов реали­зуется в рамках ковенантных обя­зательств заемщиков по кредитным договорам.

– Отсутствие законодательного регулирования. На сегодняшний день в России нет законов, обязыва­ющих компании страховать кибер­риски. Это делает сегмент полно­стью добровольным, что сдерживает его рост.

– Методологический кризис. У участников рынка отсутствует единое понимание объекта стра­хования, методики оценки ущерба и самого страхового случая. Вопрос «что страховать и как?» остается открытым.

– Перестраховочные ограниче­ния. Российские страховщики имеют существенные лимиты по перестрахованию киберрисков за рубежом. Фактически единствен­ным доступным механизмом явля­ется государственная Российская национальная перестраховочная компания (РНПК).

– Барьеры для добровольного спроса.

ОБЪЕКТЫ СТРАХОВАНИЯ: ЧТО МОЖНО ЗАЩИТИТЬ?

В зависимости от потребностей биз­неса киберстрахование может покры­вать три категории объектов:

Инфраструктура (аппаратный комплекс)

Страхование физических активов, таких как серверы, сетевое оборудова­ние, от повреждений в результате ки­бератак. Например, перегрев из-за вы­вода из строя систем охлаждения или физическое разрушение.

Ограничение: Это классическое имущественное страхование, которое всегда было и остается добровольным. Заставить собственника страховать «железо» невозможно.

Программное обеспечение (программный комплекс)

Программное обеспечение является нематериальным активом. Прямое страхование стоимости лицензий нецелесообразно, однако востребован­ным продуктом может стать покрытие расходов на восстановление ПО, по­врежденного вредоносным кодом или в результате хакерской атаки.

Перспектива: Только добровольное страхование.

Информация, включая персональные данные

Самый сложный и перспективный блок.

Проблема: По данным РКН объ­ем утечек персональных данных с 2021 года составил до 3 млрд записей. В таких условиях страхование «от факта утечки» теряет практиче­ский смысл — событие стало слишком массовым.

Решение: Целесообразно сместить фокус на страхование гражданской ответственности.

Развитие рынка в чисто добровольном ключе маловероятно по нескольким причинам:

1. Скрытность инцидентов: компании предпочитают не разглашать информацию о кибератаках, чтобы избежать репутационных потерь.
2. Отсутствие экономии на безопасности: наличие стра­ховки не позволяет сократить расходы на информационную безопасность, что снижает экономическую мотивацию для ее приобретения.

3. На рынке отсутствуют сложив­шиеся и формализованные механизмы оценки рисков (до их принятия на страхо­вание) и при расчете сумм страхового возмещения (после наступления страхового события).

ПРЕДЛАГАЕМАЯ МОДЕЛЬ: СТРАХОВАНИЕ ОТВЕТСТВЕННОСТИ

Наиболее эффективным видит­ся переход от страхования актива к страхованию ответственности за его использование.

Вмененное или обязательное страхование

Для определенных, особенно зна­чимых категорий объектов ключевой информационной инфраструктуры (ОКИИ) предлагается ввести обяза­тельное страхование ответственности за вред, причиненный третьим лицам в результате утечки персональных данных.

Дифференциация минимальных страховых сумм может базироваться на категории значимости ОКИИ.

Ключевое условие: Наличие четкой причинно-следственной связи между действиями или бездействием опера­тора данных и наступившим ущербом у субъекта этих данных.

Добровольное расширение

Дополнительно компании смогут страховать расходы на восстановле­ние данных, утраченных в результате кибератак, фишинга или действий сотрудников (включая социальную инженерию).

Компании могут по своему усмот­рению увеличивать лимиты ответ­ственности по договорам страхования, но уменьшать их не имеют право (лимиты привязаны к категории зна­чимости ОКИИ).

КЛЮЧЕВЫЕ ВОПРОСЫ ДЛЯ ФОРМИРОВАНИЯ РЫНКА

Для запуска полноценного рынка киберстрахования необходимо найти ответы на следующие вопросы.

1. Границы ответственности ОКИИ. Если объект КИИ выполнил все предписания надзорных органов по защите информации, но данные все равно были похищены, должен ли он нести ответственность?
2. Солидарная ответственность вендоров. Долж­ны ли разработчики ПО и поставщики «железа» (систем информационной безопасности) нести долю ответственности, если их продукты не смог­ли предотвратить утечку или атаку?
3. Форма страхования. Какой механизм выбрать: добровольный, вмененный (как условие деятель­ности) или обязательный (по закону)?
4. Инструменты обеспечения. Будет ли договор страхования единственным инструментом, или допускаются альтернативы: финансовая гарантия банка или наличие собственных средств на счетах?
5. Размер покрытия. Каков необходимый и доста­точный размер страховой суммы, чтобы защитить интересы потерпевших, но не сделать страховку неподъемной для бизнеса?

ПОТЕНЦИАЛ И ПРОГНОЗ РАЗВИТИЯ

Несмотря на текущие сложности, эксперты стра­хового рынка оценивают потенциал сегмента как высокий.

При решении методологических и законодательных проблем объем страховой премии может достичь 40 млрд руб. в год.

Реализация этого потенциала напрямую зависит от:

– выбранного характера страхования (доброволь­ный vs обязательный)

– создания эффективной системы контроля за ис­полнением требований

– разработки прозрачных механизмов фиксации страховых случаев и оценки ущерба.

РЕЗЮМЕ

Рынок киберстрахования в России находится в точ­ке бифуркации.

Без вмешательства регулятора и создания четких правил игры, особенно в части ответственности за утечки персональных данных, сегмент так и оста­нется нишевым — 1–2 млрд руб.

Однако при правильном законодательном импуль­се и переходе к модели страхования ответственно­сти для ОКИИ рынок способен вырасти в десятки раз, достигнув показателей зрелых страховых рынков.

Игорь Фатьянов

Генеральный директор ГК «Зетта Страхование»

От чего страхуют киберриски?

Как наличие огнетушителя на ка­ждом углу не гарантирует защиту от возникновения пожара, так и лю­бая компания имеет предел устойчи­вости к проникновению в свои инфор­мационные системы. Сегодня бизнес тратит достаточно много денег на киберзащиту, поскольку основные активы переходят в цифровую среду. Но взлом — это тот риск, которому потенциально подвержено каждое предприятие, независимо от степени своей защищенности.

ИЗМЕНЕНИЕ ТРЕНДА

Ранее киберинциденты мы наблюда­ли, в основном, в секторах торговли и производства. Сейчас фокус злоу­мышленников немного сместился в финансовый сектор, сферу информа­ции и связи.

«Коммерческий взлом» имеет целью кражу и последующую продажу данных, а не нанесение ущерба, в то время как диверсия изначально нацелена на причинение конкретного ущерба и создание резонанса.

Еще одно важное изме­нение тренда произошло за последние два года: если до этого взломы носили «коммерче­ский характер», когда данные шифровались или похищались с целью переиспользования или выкупа, то те­перь речь идет о диверсиях, то есть умышленном нанесении ущерба. Соответственно, целями атаки реже становятся финансовые организации и структуры, которые занимаются массовой обработкой персональных данных, и чаще — объекты крити­ческой инфраструктуры. Классиче­ский пример — сотовый оператор, у которого большие массивы персо­нальных данных, и он одновременно является объектом критической инфраструктуры.

Основная разница заключается в том, что «коммерческий взлом» имеет целью кражу и последующую продажу данных, а не нанесение ущер­ба, в то время как диверсия изначаль­но нацелена на причинение конкрет­ного ущерба и создание резонанса. Соответственно, меры защиты также разделяются по этим двум основным векторам.

Что касается обсуждаемой сейчас идеи ввести вмененное страхование киберрисков, то, во-первых, хочу отметить, что в мире в принципе не так много прецедентов вмененно­го страхования именно собственных активов. Мы здесь волей-неволей будем вынуждены находиться впе­реди планеты всей с точки зрения защиты объектов критической инфраструктуры от взломов и их последствий. Во-вторых, нет такого уровня подверженности этим рискам, чтобы говорить о вмененном страхо­вании.

РЕСУРСНОСТЬ БИЗНЕСА

Ключевым фактором здесь являет­ся наличие необходимых ресурсов, прежде всего, финансовых. Средний убыток по киберстрахованию за по­следние несколько лет кардинально вырос. Если раньше сумма убытка выше 50 млн руб. была абсолютным исключением, то в прошлом году произошло сразу несколько таких страховых случаев. Уже сформирова­лась практика урегулирования, есть четкие регламенты, опыт подключе­ния форензик-команд.

Понятен и размер возможного ущерба, и он достаточно большой — для очень крупных инфраструктур­ных объектов он может составлять многие сотни миллионов рублей, которые должны быть доступны здесь и сейчас. А если у бизнеса таких денег нет, то либо восстановление ложится дополнительной нагрузкой на госу­дарство, либо наносится финансовый удар по стабильности предприятия, которое обеспечивает эту критиче­скую инфраструктуру.

Соответственно, страхование выгля­дит как наиболее эффективный спо­соб обеспечения бизнеса средствами на восстановление после кибератак, с одной стороны, и контроля за нали­чием на каждом объекте разумного плана по обеспечению непрерывно­сти деятельности (business continuity plan) — с другой.

В России административная ответственность без вины не наступает, но при этом существует два вида вины: умысел и неосторожность

УМЫСЕЛ И НЕОСТОРОЖНОСТЬ

Что касается страхования от потерь персональных данных, то здесь под­ходы наших западных коллег разно­образны, они готовы страховать все риски вплоть до оборотных штрафов. Емкость рынка им это, в целом, позволяет.

Напомню, что в России административная от­ветственность без вины не наступает, но при этом существует два вида вины: умысел и неосто­рожность. Страховщи­ки во всем мире, если говорить упрощенно, ра­ботают со страхованием неосторожности. Знаю, что отдельные компании на российском рынке тоже пытаются внедрить эту практику, но она не совсем соответ­ствует нашему законодательству.

Существует подход, позволяющий связывать ущерб утечки из конкрет­ной системы с потерями в этой системе. Допу­стим, если у вас неза­конно списали деньги со счета в банке вследствие утечки персональных данных из этого банка, то такой риск вполне можно покрывать поли­сом страхования.

На зарубежных рынках наличие страхования является смягчающим обстоятельством и фактором сниже­ния размера штрафа. Там регулиро­вание исходит из того, что компания не просто формально исполнила какие-то приказы, но предприняла все необходимые действия для защиты данных. Страхование же рассматри­вается как часть этого комплекса профилактических мероприятий и существенно влияет на штрафные санкции.

У нас такая ситуация тоже возможна, но проблема в том, что страховщики еще до конца не определились: а в слу­чае страхования ответственности что является, собственно, ущербом?

Пока, на мой взгляд, вопрос о страховании киберрисков до конца не проработан. По-насто­ящему работающее ре­шение может появиться только на стыке глубокой экспертизы страховщи­ков, реалистичного по­нимания бизнес-рисков и взвешенного подхода со стороны регулятора.

То есть нет, как говорят юристы, ка­зуальности — прямой причинно-след­ственной связи между событием и нанесенным ущербом.

Как неоднократно пу­блично заявляли в прес­се и с трибун уважаемые эксперты, персональные данные всех россиян уже хоть раз, но утек­ли. Поэтому связать конкретную утечку с ущербом довольно сложно. Существует подход, позволяющий связывать ущерб утечки из конкретной систе­мы с потерями в этой системе. Допустим, если у вас неза­конно списали деньги со счета в банке вследствие утечки персональных данных из этого банка, то такой риск вполне можно покрывать полисом страхования.

Аналогичный подход может быть и в кейсе с сотовыми операторами. А вот если посмотреть, например, на энергосбытовые организации, то ситуация другая. Украсть там ваши деньги невозможно, а вот персональ­ные данные могут быть похищены. И как устанавливать ущерб?

Пока, на мой взгляд, вопрос о страховании киберрисков до конца не проработан. По-настоящему ра­ботающее решение может появиться только на стыке глубокой экспертизы страховщиков, реалистичного пони­мания бизнес-рисков и взвешенного подхода со стороны регулятора. Наша задача — предложить рынку меха­низм, который действительно будет защищать. К такому диалогу мы от­крыты и готовы.

Илья Смирнов

Директор Департамента страхового рынка Банка России

Вопросы вмененного страхования

Страхование вообще — очень полез­ная и нужная штука, и страхование киберрисков здесь не является исклю­чением. Но в обществе всегда, когда нам что-то навязывают, возникает некоторое отторжение. Русский человек, россиянин любит свободу. Определенная свобода в принятии решений, свобода в действиях — это у нас в крови. Мы не любим, когда нам говорят, что и как надо делать. Но при этом мы — разумные люди в лучшем смысле этого слова, поэтому готовы к каким-то требованиям и ограниче­ниям, если есть понимание, зачем это нужно.

ОТВЕТЫ НУЖНО ИСКАТЬ ВМЕСТЕ

Мне кажется, что вот этот вопрос «зачем?» является ключевым в страхо­вании. Если мы говорим о вмененном виде страхования, давайте попробуем на него ответить.

Сама логика вмененного страхова­ния предполагает, что это требование, необходимое для реализации соответ­ствующей деятельности. Если ты не за­страховался, то наступают какие-то по­следствия, вплоть до невозможности осуществления профильной деятель­ности. Например, у таксистов есть обязанность купить полис страхования ответственности. Если он его не купил, он не может перевозить пассажиров.

Получается, если страхование киберрисков станет вмененным, то ка­кой-то круг организаций потенциально не сможет осуществлять свою деятель­ность, если у них не будет страховки. Готово ли общество к таким послед­ствиям? Это вопрос, ответ на который нам надо искать совместно и со стра­ховщиками, и с их потенциальными клиентами, то есть с бизнесом.

Из первого вопроса вытекает следу­ющий: а что это могут быть за орга­низации, кому нельзя работать без полиса? Ведь и у детского садика возникают риски, если компьютер директора взломали и данные о детях куда-то утекли. Или мы рассматриваем только крупный инфраструктурный бизнес, например, какую-то энерго­генерирующую компанию? Какими будут критерии? Ведь очевидно, что последствия для экономики региона или даже всей страны при киберин­циденте на градообразующем или системно значимом предприятии будут гораздо более серьезными, чем при утечке данных из детсада.

И раз уж мы говорим о последствиях, то возникает третий закономерный вопрос: а чем поможет страхование в этой части? Классический вариант — это страхование ответственности, когда мы понимаем, что страхуемся не для себя, а для потенциального пострадавшего от наших действий или бездействия.

Как это происходит при ДТП? Если я в кого-то въеду на дороге, то чело­век не должен переживать, не должен бегать за мной, не должен разыски­вать, кто компенсирует его расходы на ремонт — он получит возмещение от страховой. А дальше страховая сама будет разбираться с виновником ДТП. Таким образом, в случае с автограж­данской ответственностью проблема пострадавшего так или иначе, в том или ином объеме будет решена.

ЧТО ТАКОЕ НЕПРЕРЫВНОСТЬ?

В случае с вмененным страхова­нием киберрисков важно ответить на вопрос: а кого мы страхуем? Мы страхуем граждан и готовы выплатить им триллионы рублей при наступлении страхового случая? Или мы страхуем сами компании, у которых может реа­лизоваться киберриск? Пока ни у кого нет четкого ответа на этот вопрос.

Сегодня в этой теме у меня ощущение такое, к сожалению, что мы немного ходим кругами. Допустим, мы говорим, что ответственность какой-нибудь крупной компании заключается в том, чтобы она непрерывно осуществля­ла свою деятельность: генерировала электроэнергию, качала воду в систему водоснабжения, обеспечивала рейсы са­молетов… Но тогда насколько правиль­но начинать вопрос со страхования?

Законодатель действительно устано­вил принцип непрерывности деятель­ности в таких отраслях, как транспорт, электроэнергетика и др. Принцип есть, реализации этого принципа нет. А что значит непрерывность? Допу­стим, полдня простоя — это хорошо, это плохо, это мало? А 15 минут или 5 минут, если речь идет об энергетике? Думаю, для больницы и минуты хватит для трагедии, если там в это время какая-то сложная операция идет. На­верное, эти проблемы как-то решаются в профильных ведомствах, профиль­ными регуляторами, специалистами по технической безопасности и т. д.

Представители страхового сооб­щества со своей стороны, не будучи большими специалистами в техниче­ских регламентах, не обнаружили кон­кретных нормативов непрерывности, от нарушения которых страховщики и должны, собственно, страховать. Это не значит, что их нигде нет, возможно, требуются дополнительные консульта­ции с профессиональным сообществом в разных отраслях. Если такой норма­тив есть, тогда потенциально можно обсуждать вопрос о том, что страховка необходима для ускорения восстанов­ления производственных мощностей.

Банк России готов обсуждать вме­ненное страхование при определенных условиях. Обязательное — не готов принципиально. Но в любом случае, для начала обсуждения нам нужно понимать, о каком продукте идет речь. Что мы страхуем и главное — зачем это нужно обществу. Общество — это шире, чем страховщики, это наши граждане, это наш бизнес. Я пони­маю, зачем это нужно страховщикам, но зачем это нужно обществу в ши­роком смысле этого слова — это тот принципиальный вопрос, без которого движение к внедрению вмененного страхования от киберрисков, мне ка­жется, очень затруднительно.

Банк России готов обсуждать вмененное страхование при определенных условиях