• 11 мая, 2025
  • 30

Киберриски выходят на первый план

Овчинникова Анна

Начальник управления перестрахования ответственности и финансовых рисков АО РНПК

Киберриски выходят на первый план

Бурное развитие информационных технологий и частота киберинцидентов до сих пор не привели к росту спроса на страховые решения для защиты от киберрисков. Начальник управления перестрахования ответственности и финансовых рисков АО РНПК Анна Овчинникова рассказала о том, как меняется картина профиля рисков предприятий и компаний, и какие импульсы могут быть нужны для развития киберстрахования в России.

ССТ: В прогнозе «Альянс Рискбаро­метр» на 2025 год содержатся данные об ожидаемых опасностях, где первое место отдано киберпреступлениям. Насколько риски реальных убытков, связанных с киберпреступлениями, актуальны для России, и какие из них наиболее вероятны?

Анна Овчинникова: С развитием циф­ровых технологий преступления в сфе­ре информационной безопасности ста­новятся все более серьезной угрозой для бизнеса, государства и общества. Киберпреступления приобретают все более сложный характер, появляются

новые инструменты для кибервзломов и атак. Мошенники массово перешли в сегмент хищения не материальных, а электронных активов.

Цифры в сегменте киберпреступле­ний поражают. Так, в 2024 году Лабо­ратория Касперского зафиксировала более 500 тыс. атак с использованием программ-вымогателей. Вирусы-шиф­ровальщики, главная цель которых — получить от владельцев зараженных компьютеров выкуп за разблокировку зашифрованной вирусом информации, остаются основной причиной убытков в сегменте киберстрахования.

В то же время большинство совре­менных средств защиты от компьютер­ных атак и преступлений появляются постфактум как ответ на существующие угрозы. А статистические данные пока только подтверждают, что риск нарас­тает, является малоуправляемым, плохо контролируемым и высоковероятным.

Как результат, мы видим новую картину профиля рисков предприятий и компаний, где на первое место в рей­тинге угроз выходят риски, связанные с утратой, утечкой и потерей инфор­мации в результате киберинцидентов. Для целого ряда российских компаний, в частности, в сфере торговли и банков­ского сектора, а также для госорганов характерен высокий уровень цифрови­зации процессов, работа с огромным объемом оцифрованной информации, включая персональные данные физлиц.

Самым значительным риском являются потенциальные убытки от остановки производства, коммер­ческой деятельности в результате киберинцидента. Для крупных компа­ний приостановка деятельности даже на несколько дней может обернуться огромными потерями прибыли и су­щественными суммами компенсации ущерба третьим лицам.

В условиях таких угроз наличие пред­ложений по страхованию киберрисков становится важным инструментом для защиты компаний от возможных катастрофических потерь.

ССТ: Принимает ли РНПК риски, связанные с киберпреступлениями, в перестрахование: какие требова­ния предъявляются к предстрахо­вой оценке риска и возникают ли сложности?

А. О.: РНПК участвует в перестрахова­нии киберрисков, считая этот сегмент важным и перспективным, и заинте­ресована в его развитии. Перестра­ховщик готов участвовать в пилотных проектах отрасли и оказывать под­держку рынку на базе собственной экспертизы.

В условиях таких угроз наличие предложе­ний по страхованию киберрисков становится важным инструментом для защиты компаний от возможных катастро­фических потерь.

Основной фокус РНПК — это качество риска, его контролируемость и возможность управле­ния со стороны страхо­вателя. При проведении предстраховой экспер­тизы источником перво­начальной информации выступают данные анкеты, заполняемой страхователем, которая, помимо традиционных вопросов, содержит блок специали­зированных данных. Для изучения и скоринга рисков запрашиваются до­полнительные внутренние документы, регламенты, справки, которые могут изучаться с привлечением специали­стов по информационной безопасно­сти, и при необходимости — внешних экспертов.

Андеррайтинг киберрисков — это не аудит информационной безопасно­сти, который проводят специализиро­ванные компании. Хотя его результаты могут учитываться страховщиком.

Андеррайтеры страховой компании оценивают уровень зрелости IT-про­цессов и информационной безопас­ности в целом: насколько хорошо идентифицированы, структурированы и контролируемы процессы компании, как выстроено управление инцидента­ми, насколько быстро система может быть восстановлена.

Стоит отметить, что не все стра­хователи готовы к предоставлению внутренних документов по управ­лению риском во время проведения предстраховой экспертизы. Компа­нии ссылаются на высокий уровень конфиденциальности, что не позволяет провести полноценную экспертизу, которая особенно актуальна при при­нятии на страхование рисков крупного бизнеса. Это, в свою очередь, сказы­вается на возможности страховщиков и перестраховщиков предоставлять максимально широкое покрытие.

ССТ: Достаточно ли на нашем страхо­вом рынке экспертов, которые могут профессионально работать по оценке таких рисков? Есть ли какие-то прави­ла по расчету лимита ответственности страховщика?

А. О.: Страхованием киберрисков сей­час занимаются, в основном, крупные страховщики, в штате которых такие специалисты есть.

Индивидуальный и детальный андер­райтинг, как правило, требуется для крупного бизнеса, больших страховых сумм и индивидуальных решений. Для малого и среднего бизнеса страховщи­ки разработали стандартные решения с упрощенным андеррайтингом, так называемые коробочные продукты и конструкторы, которые позволяют клиенту самостоятельно выбирать риски и макси­мальный объем покрытия.

При построении программ страхования киберрисков, на мой взгляд, прежде всего есть смысл отталкиваться не от максимально возможных лимитов, а от страховой суммы, которая требуется клиенту. Лимит ответствен­ности должен соответствовать профилю и деятельно­сти компании, включенным в программу страховым рискам и возмещаемым расходам, а также максималь­ному убытку, который возможен в результате реали­зации киберрисков. Если не планируется включать в договор риски потери прибыли в результате перерыва в производстве из-за кибератаки, большинству ком­паний миллиардные лимиты вряд ли потребуются.

На страхование рисков ответственности за утечку персональных данных и конфиденциальной информа­ции и дополнительных расходов существенных лими­тов также не нужно, так как возможные убытки от этих рисков пока не носят катастрофический характер в силу существующей практики и законодательства.

При разработке программы желательно проанали­зировать, включены ли элементы покрытия кибер­рисков или отдельные киберриски в существующие страховые программы по конкретному страхователю или группе компаний, например, в программы стра­хования имущества, ответственности, страхования от нелояльности персонала, ВВВ. И если включены, то с какими лимитами и на каких условиях. Это по­зволит сформировать более полное покрытие рисков и отследить кумуляцию, если она присутствует.

ССТ: Перестрахование киберрисков идет как обли­гаторное или факультативное? В каких случаях РНПК может отказать в перестраховочной защите?

А. О.: Программы по страхованию киберрисков пере­страховываются факультативно, так как заключение средних и крупных договоров, подлежащих перестра­хованию, на рынке пока носит единичный характер.

Основные причины для отказа РНПК от участия в принятии риска — отсутствие или ограниченная информация, необходимая для проведения предстра­ховой экспертизы, и низкое качество риска.

ССТ: Как обстоят дела с убытками в киберстраховании?

А. О.: Несмотря на то, что тема киберстрахования стала в последнее время популярной, и об этом много говорят и страховщики, и страхователи, нет информации о каком-либо реальном ущербе, подлежащем страхованию. Статистика отсутствует.

Кроме того, есть сложность в иденти­фикации и внешней экспертизе самого факта наступления страхового события, т. к. в отличие от классического страхо­вания, где мы можем видеть очевидный результат, к примеру, от воздействия огня при пожаре, и знать о его причине, установленной госорганами, с кибе­ринцидентами все гораздо сложнее: история вопроса скрыта в «электрон­ных мозгах» и не является материально осязаемой. Это отчасти влияет на спрос на страхование киберрисков, который должен быть выше, исходя из данных о количестве киберинцидентов.

ССТ: Насколько сегодня формулировки правил страхования киберрисков, пред­ставленных на рынке, соответствуют российскому законодательству?

А. О.: За основу российских правил страхования киберрисков были взяты условия вордингов международных страховщиков, дочерние компании которых присутствовали в России и из­начально активно пытались развивать данное направление. Не все тексты правил хорошо читаются на русском языке, и не все термины могут соответ­ствовать существующим стандартам информационной безопасности. На это накладывается еще и тот фактор, что сама терминология по кибербез­опасности в российской нормативной базе пока не полностью сформирована. В правилах до сих пор могут оставаться элементы покрытия из западных поли­сов, страхование которых юридически спорно с точки зрения российского законодательства, например страхова­ние рисков, связанных с виртуальным вымогательством (расходов на выплату сумм выкупа преступникам за разбло­кировку данных).

Но есть и позитивный момент: страхование киберрисков в России развивается более 10 лет, и рынок за эти годы уже проделал большой путь по адаптации западных вор­дингов к требованиям российского законодательства и нашей российской специфике рисков. Активно развива­ется нормативно-правовая база, идет процесс стандартизации в области информационной безопасности — все это способствует дальнейшему совер­шенствованию правил страхования и улучшению отечественных страхо­вых продуктов.

Основные причины для отказа РНПК от участия в принятии риска — отсут­ствие или ограниченная информация, необходи­мая для проведения пред­страховой экспертизы, и низкое качество риска.

ССТ: Что в будущем ждет киберстрахо­вание?

А. О.: На мой взгляд, бурное развитие информационных технологий и частота киберинцидентов красноречиво гово­рят о том, что важность и популярность страховых решений для защиты от ки­беррисков должны расти. Однако сегод­ня существенного увеличения спроса на такое страхование не наблюдается, что вы­зывает вопросы. Поэтому в текущем году РНПК планирует провести ком­плекс встреч со страхов­щиками и с потенциаль­ными страхователями, чтобы выявить факторы, которые тормозят раз­витие киберстрахования. Связано ли это с отсутствием реальных реализовавшихся убытков у крупных компаний, которые могут позволить себе такую страховую защиту? Или причина кроется в отсутствии на рынке предложения с объемами покрытия и лимитами, нужными клиентам? Диалог со страховщиками и клиентами позволит нам, как ключевому провай­деру емкости, понять, есть ли реальные потребности в нашей поддержке, чем мы можем быть полезны рынку, чтобы дать нужный импульс для развития киберстрахования в России.

Похожие статьи

Как просчитать катастрофу

Как просчитать катастрофу

Российская Национальная Перестраховочная Компания (РНПК) — основной держатель всех российских крупных страховых рисков — разработала собственные модели оценки вероятных экономических последствий…
Аналитика: выплаты страхового рынка за 5 лет

Аналитика: выплаты страхового рынка за 5 лет

В анализе рассматриваются динамика и объем выплат страховщиков в разных сегментах страхового рынка, а также факторы, которые на них влияют.
Убытки взяли курс на цифровизацию

Убытки взяли курс на цифровизацию

Скорость и качество урегулирования являются конкурентными преимуществами в эпоху цифровой трансформации. Руководитель блока урегулирования убытков ПАО СК «Росгосстрах» Арман Гаспарян рассказал…