Киберкаско для бизнеса

Система информационной безопасности снижает вероятность киберинцидента, а страховка — его финансовые последствия. Если проводить аналогию с автомобилем, то первое — это «подушка безопасности» для любого бизнеса, а киберстрахование — это «каско». И то, и другое необходимо для уверенного движения вперед, уверен руководитель продукта «Киберстрахование» АО «СОГАЗ» Дмитрий Добродей.

ССТ: Все мы знаем про каско для авто­мобиля. Но в последнее время эксперты все чаще используют странное словосо­четание — кибер-каско для бизнеса. Это просто маркетинговый прием или есть что-то большее?

Дмитрий Добродей: Это самая точная аналогия из возможных. Когда вы по­купаете машину, вы же не ограничива­етесь лишь установкой сигнализации? Вы покупаете каско, чтобы защитить себя от финансовых потерь в случае угона или аварии.

В бизнесе система защиты информа­ции — это та самая «сигнализация», а киберстрахование — это ваше «каско» для цифро­вых активов. Оно не заменяет защиту, но страхует фи­нансовые последствия, если взлом все же произошел.

ССТ: Получается, киберстрахование — это отнюдь не признание собственной уязвимости?

Д. Д.: Абсолютно нет! Наоборот, это признак зре­лого и финансово грамотного подхода. Посмотрите на крупнейшие мировые корпорации — у них лучшие в мире отделы информационной безопасности, и при этом у многих есть киберстрахование. Представьте, что у вас самый безопасный Mercedes S-класса. Ста­нете ли вы при этом экономить на каско? Вряд ли.

Риски остаются всегда: можно стать жертвой хакер­ской атаки, фишинга или неосторожных действий сотрудника. Защита снижает вероят­ность инцидента, а страховка — его финансовые последствия.

ССТ: Если у меня украли данные клиен­тов, разве страховка вернет их обратно?

Д. Д.: Вернуть данные — задача специ­алистов по кибербезопасности. Наша задача — покрыть прямые финансовые убытки и затраты, которые неизбежно возникают после инцидента.

По сути, страховка дает не только деньги, но и доступ к команде специ­алистов, которые помогут «тушить пожар». Это критически важный момент: при наступлении страхового случая мы мгновенно подключаем свою «скорую помощь».

Представьте, что вы попали в ДТП: вы звоните не в первую попавшуюся мастерскую, а своему страховщику, ко­торый направляет вас к проверенным партнерам для быстрого и качествен­ного ремонта. Здесь то же самое — мы обеспечиваем не просто выплату, а комплексное решение проблемы.

ССТ: Некоторые компании до сих пор рассматривают киберстрахование и ин­вестиции в ИБ как взаимоисключающие вещи. Что вы скажете на это?

Д. Д.: Такой подход в корне неве­рен. Киберстрахование не подме­няет и не отменяет необходимость в качественных мерах информацион­ной безопасности — оно является их комплементарным, то есть взаимодо­полняющим элементом.

Мы обеспечиваем не просто выплату, а комплексное решение проблемы

Представьте крепкий замок на две­ри и страховку от кражи. Замок сни­жает вероятность взлома, а страховка покрывает убытки, если злоумыш­ленник все же проник внутрь. Так и здесь: сильная ИБ-защита — это «замок», а наша страховка — финан­совый щит. Более того, для инте­граторов и вендоров систем безо­пасности наличие у клиента полиса киберстрахования — это отличная точка продажи, демонстрирующая комплексный и зрелый подход к за­щите бизнеса.

Финансовые последствия инцидентов кибербезопасности

1. Расходы на IT-forensics и восстановление данных: услуги специа­листов, которые найдут «дыру» в системе и восстановят ее рабо­тоспособность.

2. Упущенная выгода: компенсация за простой бизнеса, пока ИТ-системы не работают.

3. Юридические расходы: защита в суде, если бу­дет подан иск клиентов или партнеров.

4. Репутационный ущерб: средства на услуги специалистов для вос­становления имиджа компании.

ССТ: Вы заключите договор страхова­ния, если в компании нет выстроенной системы инфобезопасности?

Д. Д.: Еще недавно считалось, что тра­тить деньги надо либо на инфобезопас­ность, либо на киберстрахование, и это было проблемой. Сейчас мы сотрудни­чаем со всеми крупными интеграторами ИБ и дополняем друг друга. Если к нам приходит клиент, который говорит, что не хочет платить за информационную безопасность, а намерен просто застра­ховаться, мы указываем, что ему в лю­бом случае нужно принять меры по ИБ внутри, иначе мы просто не работаем, ведь для нас это тоже риск.

В этом случае мы как раз можем направить клиента к нашему партнеру, который поможет настроить системы информационной безопасности. Мы готовы быть гибкими, постепенно меняя стоимость страхового полиса для клиента по мере того, как он этап за этапом настраивает управление ИБ в своем бизнесе.

ССТ: Для каких клиентов предназначе­ны ваши продукты?

Д. Д.: Исторически мы работаем в основном с крупными компаниями. Но под нужды малого бизнеса мы тоже сделали продукт: у нас сейчас можно купить полис за 5 тыс. руб. с покрыти­ем 500 тыс. руб.

ССТ: Реализация каких рисков наибо­лее опасна для клиента?

Д. Д.: Для крупного бизнеса наиболее критичен перерыв в производстве — вспомните недавние кибератаки на ри­тейл или алкогольные компании. Для среднего бизнеса страшны расходы на восстановление инфраструктуры, которые исчисляются миллионами.

Не ждите, пока хакеры атакуют ваш бизнес, чтобы задуматься о киберстраховании. Информационная без­опасность — это ваша «подушка безопасно­сти», а киберстрахова­ние — это «каско» для вашего бизнеса.

ССТ: Что отличает ваши подходы от других страховых компаний?

Д. Д.: У нас покрытие очень гибкое.

При этом мы трактуем понятие кибератаки очень широко. То есть мы не говорим, что покрываем только DDOS-атаки или только фишинг — мы говорим, что есть некоторые неверные действия в области инфор­мационной безопасности, и мы их все рассматриваем как кибератаку.

Существует много разных видов ки­бератак. Одну из них, самую современ­ную, мы даже выделили это в отдель­ный продукт — промпт-инъекция. Это метод атаки на модели машинного обучения, которые используют промпт. Например, злоумыш­ленник пишет фразу, которая может заставить ИИ-помощника выдать конфиденциальную информацию или уста­новить вирус. Компании, которые занимаются ин­формационной безопас­ностью, утверждают, что сейчас защиты от такой атаки нет. Угроза наиболее актуальна для компаний, которые используют ИИ или чат-ботов на сайте.

ССТ: Очень важно своевременное расследование причин страхового случая. Это делают ваши эксперты или вы пользуетесь какими-то внешними помощниками?

Д. Д.: Мы используем все инстру­менты, существующие на рынке. Конечно, можно удовлетвориться расследованием внутренних экспертов в информационной безопасности или сторонней организации, специализи­рующейся на ИБ и нанятой клиентом. Но мы сотрудничаем со всеми круп­ными игроками этого рынка и можем предложить клиенту использовать на­ших партнеров. Мы можем запросить независимую экспертизу по внутренне­му расследованию клиента.

ССТ: Какие у вас планы по развитию продукта?

Д. Д.: У компании есть стратегия раз­вития киберстрахования до 2028 года и дальше. Мы хотим сохранить за со­бой лидирующую позицию в этом виде страхования и двигаться в сторону луч­шего управления риском. Я верю, что наше конкурентное преимущество — это точная оценка портфеля. Тогда и тариф мы будем давать клиентам максимально адекватный.

ССТ: Какую главную идею вы бы хотели донести до владельцев и руководителей бизнеса?

Д. Д.: В современном мире компью­терные системы — это такой же важ­ный и дорогой актив компании, как автомобильный парк, недвижимость или оборудование. Вы не ждете, пока ваше здание сгорит, чтобы застра­ховать его. Не ждите, пока хакеры атакуют ваш бизнес, чтобы задуматься о киберстраховании. Информационная безопасность — это ваша «подушка безопасности», а киберстрахование — это «каско» для вашего бизнеса. И то, и другое необходимо для уверенного движения вперед.

ССТ: Насколько велик интерес россий­ского бизнеса к этому направлению? Как вы оцениваете рынок?

Д. Д.: Интерес растет экспоненци­ально, рынок очень перспективный. По нашей оценке его текущая емкость только в сегменте среднего и крупно­го бизнеса достигает 3 млрд руб. Мы видим, что это лишь начальная стадия, ведь осознание киберрисков приходит ко всем игрокам без исключения.

Методология должна быть комплексной. Она обязана включать и меры ИБ для предотвращения инцидентов, и страхо­вание как механизм покрытия остаточных рисков. Нельзя говорить только о предупредитель­ных мерах, игнорируя финансовую составляю­щую последствий.

ССТ: В чем вы видите главные точки ро­ста для страховщиков в этом сегменте?

Д. Д.: Ключевая точка роста для нас — это не просто увеличение коли­чества полисов, а улучшение качества управления риском на стороне стра­ховой компании. Мы активно инве­стируем в аналитические платформы и скоринговые модели, которые по­зволяют нам точечно оценивать риски каждого клиента. Это путь от простого страхования к интеллектуальному партнерству.

ССТ: Как выстраивается ваше взаимо­действие с регулятором и отраслевым сообществом?

Д. Д.: Мы активно участвуем в ра­бочих группах по созданию единой методологии управ­ления киберрисками. Наша принципиальная позиция, которую мы от­стаиваем, заключается в том, что методология должна быть ком­плексной. Она обязана включать и меры ИБ для предотвращения инци­дентов, и страхование как механизм покрытия остаточных рисков. Нельзя говорить только о предупредительных мерах, игнорируя финансовую состав­ляющую последствий, и наоборот.

ССТ: Существуют ли для вас как для страховщика жесткие внутренние лимиты, выше которых вы не страхуете киберриски?

Д. Д.: Мы не работаем с неким «по­толком». Наш подход иной: мы готовы обсуждать очень высокие покрытия с теми клиентами, кто может про­демонстрировать зрелую систему управления киберрисками. Все зависит от глубины нашей экспертизы и анали­за защищенности компании. По сути, лимит определяет не наша внутренняя политика, а качество риск-менеджмен­та самого клиента.