Российский рынок киберстрахования остается нишевым: полисы от киберинцидентов есть менее чем у трети компаний, а риски утечек данных застрахованы еще реже.
Исследование ГК InfoWatch показало, что рынок киберстрахования в России по-прежнему остается ограниченным: лишь 28% участников опроса заявили о наличии у их компаний страховых полисов, покрывающих последствия киберинцидентов. Еще ниже оказался показатель страхования ущерба, связанного непосредственно с утечками данных — такие риски застрахованы только у 15,7% организаций. Аналитики отмечают, что востребованность подобных продуктов напрямую зависит от размера бизнеса. Крупные компании значительно чаще оформляют страховое покрытие, тогда как среди представителей малого и среднего бизнеса преобладает обратная тенденция: отсутствие полисов подтвердили 72% респондентов из сегмента МСБ.
Большинство компаний, которые используют киберстрахование, стремятся охватить как внешние угрозы, так и внутренние риски. О таком подходе сообщили 86% участников исследования. Остальные организации предпочитают страховать только один тип угроз — либо атаки извне, либо внутренние инциденты.
В InfoWatch напоминают, что одной из наиболее распространенных причин утечек данных остаются действия сотрудников. Однако единых правил страхования подобных случаев на российском рынке до сих пор нет. На практике страховые компании чаще всего включают в покрытие последствия фишинговых атак, тогда как иные инциденты, связанные с социальной инженерией, обычно не признаются страховыми случаями.
Большинство российских программ киберстрахования не покрывает риски Insider Threats (умышленные действия сотрудников). Представители страхового рынка объясняют это ограничениями законодательства, полагая, что ущерб от преднамеренных действий персонала не может быть объектом страхования. Тем не менее некоторые участники рынка считают, что определенные инструменты защиты все же существуют. В частности, речь идет о страховании профессиональной ответственности или о программах, ориентированных на риски, связанные с действиями топ-менеджеров и руководителей компаний.
Авторы исследования обращают внимание и на еще одну особенность российского рынка: законодательство не позволяет страховать штрафы за утечки данных, а также убытки, связанные с выплатой выкупа кибервымогателям. При этом бизнес проявляет интерес к подобным механизмам защиты, поскольку именно такие расходы зачастую становятся наиболее чувствительными после серьезных атак.
Руководитель ЭАЦ InfoWatch Михаил Смирнов отмечает, что в международной практике основная ценность киберстрахования заключается в возможности полностью застраховать ответственность перед третьими лицами. В ряде стран это позволяет компенсировать штрафы, неустойки и различные выплаты пострадавшим. В России такой подход не применяется: действующее регулирование не дает возможности страховать штрафные санкции, включая потенциальные оборотные штрафы за утечки персональных данных. По мнению эксперта, именно это существенно снижает привлекательность киберстрахования для бизнеса. Сейчас объем российского рынка киберстрахования оценивается в 3,5–4 млрд рублей, что составляет менее 1% мирового рынка страхования киберрисков.
При рассмотрении страховых случаев российские страховщики в первую очередь оценивают расходы, связанные с проведением экспертизы и расследованием инцидента — на них приходится 15% и 13% соответственно, а также расходы на восстановление работоспособности ИТ-систем (11%), восстановление данных (11%) и аудит ИБ после утечки (9%). Представители страховых организаций подтверждают, что подобные расходы действительно могут быть включены в выплаты, однако конкретные условия зависят от содержания полиса и индивидуальных параметров договора.
Компании, уже имеющие опыт взаимодействия со страховщиками после киберинцидентов, отмечают, что для получения компенсации обычно требуется стандартный набор документов. В него входят заявление в правоохранительные органы, журнал событий, фиксирующий ход инцидента, а также результаты компьютерно-технической экспертизы. В отдельных случаях страховщики могут запросить дополнительные материалы, связанные с характером причиненного ущерба, однако базового комплекта документов чаще всего оказывается достаточно.
Еще одной серьезной проблемой участники рынка называют отсутствие единых методик оценки ущерба от утечек информации. Как подчеркивает Михаил Смирнов, многие компании не располагают собственными механизмами расчета потерь, связанных с киберинцидентами, а универсального отраслевого стандарта пока не существует. При этом как в России, так и за рубежом утечка данных признается страховым событием только при наличии документально подтвержденного ущерба. Если организация не способна корректно оценить и зафиксировать последствия инцидента, страховая компания может отказать в признании случая страховым, а убытки останутся непокрытыми. По мнению экспертов InfoWatch, именно отсутствие прозрачных и общепринятых подходов к оценке ущерба сегодня является одним из ключевых факторов, тормозящих развитие рынка киберстрахования в России. Блокировки интернета становятся риском для цифровой экономики Корпоративная ИТ-система после запуска Что скрывается за зелеными показателями SLA
Источник: www.it-world.ru