- 11 мая, 2025
- 30
Киберриски выходят на первый план

Бурное развитие информационных технологий и частота киберинцидентов до сих пор не привели к росту спроса на страховые решения для защиты от киберрисков. Начальник управления перестрахования ответственности и финансовых рисков АО РНПК Анна Овчинникова рассказала о том, как меняется картина профиля рисков предприятий и компаний, и какие импульсы могут быть нужны для развития киберстрахования в России.
ССТ: В прогнозе «Альянс Рискбарометр» на 2025 год содержатся данные об ожидаемых опасностях, где первое место отдано киберпреступлениям. Насколько риски реальных убытков, связанных с киберпреступлениями, актуальны для России, и какие из них наиболее вероятны?
Анна Овчинникова: С развитием цифровых технологий преступления в сфере информационной безопасности становятся все более серьезной угрозой для бизнеса, государства и общества. Киберпреступления приобретают все более сложный характер, появляются
новые инструменты для кибервзломов и атак. Мошенники массово перешли в сегмент хищения не материальных, а электронных активов.
Цифры в сегменте киберпреступлений поражают. Так, в 2024 году Лаборатория Касперского зафиксировала более 500 тыс. атак с использованием программ-вымогателей. Вирусы-шифровальщики, главная цель которых — получить от владельцев зараженных компьютеров выкуп за разблокировку зашифрованной вирусом информации, остаются основной причиной убытков в сегменте киберстрахования.
В то же время большинство современных средств защиты от компьютерных атак и преступлений появляются постфактум как ответ на существующие угрозы. А статистические данные пока только подтверждают, что риск нарастает, является малоуправляемым, плохо контролируемым и высоковероятным.
Как результат, мы видим новую картину профиля рисков предприятий и компаний, где на первое место в рейтинге угроз выходят риски, связанные с утратой, утечкой и потерей информации в результате киберинцидентов. Для целого ряда российских компаний, в частности, в сфере торговли и банковского сектора, а также для госорганов характерен высокий уровень цифровизации процессов, работа с огромным объемом оцифрованной информации, включая персональные данные физлиц.
Самым значительным риском являются потенциальные убытки от остановки производства, коммерческой деятельности в результате киберинцидента. Для крупных компаний приостановка деятельности даже на несколько дней может обернуться огромными потерями прибыли и существенными суммами компенсации ущерба третьим лицам.
В условиях таких угроз наличие предложений по страхованию киберрисков становится важным инструментом для защиты компаний от возможных катастрофических потерь.
ССТ: Принимает ли РНПК риски, связанные с киберпреступлениями, в перестрахование: какие требования предъявляются к предстраховой оценке риска и возникают ли сложности?
А. О.: РНПК участвует в перестраховании киберрисков, считая этот сегмент важным и перспективным, и заинтересована в его развитии. Перестраховщик готов участвовать в пилотных проектах отрасли и оказывать поддержку рынку на базе собственной экспертизы.
В условиях таких угроз наличие предложений по страхованию киберрисков становится важным инструментом для защиты компаний от возможных катастрофических потерь.
Основной фокус РНПК — это качество риска, его контролируемость и возможность управления со стороны страхователя. При проведении предстраховой экспертизы источником первоначальной информации выступают данные анкеты, заполняемой страхователем, которая, помимо традиционных вопросов, содержит блок специализированных данных. Для изучения и скоринга рисков запрашиваются дополнительные внутренние документы, регламенты, справки, которые могут изучаться с привлечением специалистов по информационной безопасности, и при необходимости — внешних экспертов.
Андеррайтинг киберрисков — это не аудит информационной безопасности, который проводят специализированные компании. Хотя его результаты могут учитываться страховщиком.
Андеррайтеры страховой компании оценивают уровень зрелости IT-процессов и информационной безопасности в целом: насколько хорошо идентифицированы, структурированы и контролируемы процессы компании, как выстроено управление инцидентами, насколько быстро система может быть восстановлена.
Стоит отметить, что не все страхователи готовы к предоставлению внутренних документов по управлению риском во время проведения предстраховой экспертизы. Компании ссылаются на высокий уровень конфиденциальности, что не позволяет провести полноценную экспертизу, которая особенно актуальна при принятии на страхование рисков крупного бизнеса. Это, в свою очередь, сказывается на возможности страховщиков и перестраховщиков предоставлять максимально широкое покрытие.
ССТ: Достаточно ли на нашем страховом рынке экспертов, которые могут профессионально работать по оценке таких рисков? Есть ли какие-то правила по расчету лимита ответственности страховщика?
А. О.: Страхованием киберрисков сейчас занимаются, в основном, крупные страховщики, в штате которых такие специалисты есть.
Индивидуальный и детальный андеррайтинг, как правило, требуется для крупного бизнеса, больших страховых сумм и индивидуальных решений. Для малого и среднего бизнеса страховщики разработали стандартные решения с упрощенным андеррайтингом, так называемые коробочные продукты и конструкторы, которые позволяют клиенту самостоятельно выбирать риски и максимальный объем покрытия.
При построении программ страхования киберрисков, на мой взгляд, прежде всего есть смысл отталкиваться не от максимально возможных лимитов, а от страховой суммы, которая требуется клиенту. Лимит ответственности должен соответствовать профилю и деятельности компании, включенным в программу страховым рискам и возмещаемым расходам, а также максимальному убытку, который возможен в результате реализации киберрисков. Если не планируется включать в договор риски потери прибыли в результате перерыва в производстве из-за кибератаки, большинству компаний миллиардные лимиты вряд ли потребуются.
На страхование рисков ответственности за утечку персональных данных и конфиденциальной информации и дополнительных расходов существенных лимитов также не нужно, так как возможные убытки от этих рисков пока не носят катастрофический характер в силу существующей практики и законодательства.
При разработке программы желательно проанализировать, включены ли элементы покрытия киберрисков или отдельные киберриски в существующие страховые программы по конкретному страхователю или группе компаний, например, в программы страхования имущества, ответственности, страхования от нелояльности персонала, ВВВ. И если включены, то с какими лимитами и на каких условиях. Это позволит сформировать более полное покрытие рисков и отследить кумуляцию, если она присутствует.
ССТ: Перестрахование киберрисков идет как облигаторное или факультативное? В каких случаях РНПК может отказать в перестраховочной защите?
А. О.: Программы по страхованию киберрисков перестраховываются факультативно, так как заключение средних и крупных договоров, подлежащих перестрахованию, на рынке пока носит единичный характер.
Основные причины для отказа РНПК от участия в принятии риска — отсутствие или ограниченная информация, необходимая для проведения предстраховой экспертизы, и низкое качество риска.
ССТ: Как обстоят дела с убытками в киберстраховании?
А. О.: Несмотря на то, что тема киберстрахования стала в последнее время популярной, и об этом много говорят и страховщики, и страхователи, нет информации о каком-либо реальном ущербе, подлежащем страхованию. Статистика отсутствует.
Кроме того, есть сложность в идентификации и внешней экспертизе самого факта наступления страхового события, т. к. в отличие от классического страхования, где мы можем видеть очевидный результат, к примеру, от воздействия огня при пожаре, и знать о его причине, установленной госорганами, с киберинцидентами все гораздо сложнее: история вопроса скрыта в «электронных мозгах» и не является материально осязаемой. Это отчасти влияет на спрос на страхование киберрисков, который должен быть выше, исходя из данных о количестве киберинцидентов.
ССТ: Насколько сегодня формулировки правил страхования киберрисков, представленных на рынке, соответствуют российскому законодательству?
А. О.: За основу российских правил страхования киберрисков были взяты условия вордингов международных страховщиков, дочерние компании которых присутствовали в России и изначально активно пытались развивать данное направление. Не все тексты правил хорошо читаются на русском языке, и не все термины могут соответствовать существующим стандартам информационной безопасности. На это накладывается еще и тот фактор, что сама терминология по кибербезопасности в российской нормативной базе пока не полностью сформирована. В правилах до сих пор могут оставаться элементы покрытия из западных полисов, страхование которых юридически спорно с точки зрения российского законодательства, например страхование рисков, связанных с виртуальным вымогательством (расходов на выплату сумм выкупа преступникам за разблокировку данных).
Но есть и позитивный момент: страхование киберрисков в России развивается более 10 лет, и рынок за эти годы уже проделал большой путь по адаптации западных вордингов к требованиям российского законодательства и нашей российской специфике рисков. Активно развивается нормативно-правовая база, идет процесс стандартизации в области информационной безопасности — все это способствует дальнейшему совершенствованию правил страхования и улучшению отечественных страховых продуктов.
Основные причины для отказа РНПК от участия в принятии риска — отсутствие или ограниченная информация, необходимая для проведения предстраховой экспертизы, и низкое качество риска.
ССТ: Что в будущем ждет киберстрахование?
А. О.: На мой взгляд, бурное развитие информационных технологий и частота киберинцидентов красноречиво говорят о том, что важность и популярность страховых решений для защиты от киберрисков должны расти. Однако сегодня существенного увеличения спроса на такое страхование не наблюдается, что вызывает вопросы. Поэтому в текущем году РНПК планирует провести комплекс встреч со страховщиками и с потенциальными страхователями, чтобы выявить факторы, которые тормозят развитие киберстрахования. Связано ли это с отсутствием реальных реализовавшихся убытков у крупных компаний, которые могут позволить себе такую страховую защиту? Или причина кроется в отсутствии на рынке предложения с объемами покрытия и лимитами, нужными клиентам? Диалог со страховщиками и клиентами позволит нам, как ключевому провайдеру емкости, понять, есть ли реальные потребности в нашей поддержке, чем мы можем быть полезны рынку, чтобы дать нужный импульс для развития киберстрахования в России.