Полис ограниченного действия: что даёт киберстраховка компаниям
6 мин
122
10
По данным Sophos, в 2024 году только 1% компаний получил полную компенсацию по киберстраховке, а в среднем выплата покрывала 63% затрат по киберинциденту. Пол Вагенсейл (Paul Wagenseil), контент-стратег в CyberRisk Alliance, проанализировал причины отказа в полном покрытии и рассказал, как это исправить. На основе этих данных «Киберболоид» сравнил ситуацию в России с мировой и выяснил, что у нас много общего.
Пол Вагенсейл (Paul Wagenseil) — контент-стратег в CyberRisk Alliance. Проводит исследования и готовит аналитические отчёты об инструментах, сервисах и новых разработках в сфере кибербезопасности. Берёт интервью у экспертов, ведёт виртуальные саммиты и панельные дискуссии. Экс-редактор в Tom’s Guide, Laptop Magazine, TechNewsDaily.com и SecurityNewsDaily.com.
В том же опросе Sophos выяснилось, что около 40% руководителей и менеджеров не знают точно, покроет ли их полис возможный ущерб и какие инциденты являются приоритетными. Такая неосведомлённость оборачивается большим стрессом в момент атаки и увеличивает затраты на исправление.
Источник: отчёт Sophos
Почему страховая компания может отказать в полном возмещении
Расходы упёрлись в потолок. В 63% случаев респондентам отказали в полной компенсации, потому что сумма поданных претензий больше максимальной суммы покрытия, которая указана в полисе.
Например, резко возросли затраты на восстановление данных. Согласно другому отчёту Sophos, стоимость выкупа у программ-вымогателей в 2024 году составляет 2 млн долларов. Это в пять раз больше, чем в 2023 году. А средний платёж — 3,9 млн долларов, что в 2,6 раза выше.
В России средняя сумма выкупа выросла за год в полтора раза и составила 14 млн рублей. А средний платёж вырос до 10 млн рублей.
Страховка, сумма которой рассчитывалась по данным 2–3-летней давности, скорее всего, уже не покроет резко возросшие затраты на восстановление данных после атаки программы-вымогателя.
Клиент не придерживается сценария. 58% респондентов заявили, что страховая компания отказала в полном покрытии, так как не одобрила выплату выкупа вымогателям. Дело в том, что с ростом количества атак программ-вымогателей многие страховщики стали включать в договор сценарии действий при наступлении инцидента. Например:
- В течение двух часов отключить заражённые устройства от сети, уведомить внутреннюю команду ИБ, сообщить страховой компании.
- Не предпринимать действий по переговорам или оплате выкупа до консультации с экспертом, назначенным страховщиком.
- В течение 24 часов провести анализ и оценку ущерба.
- В течение 48 часов принятие решения об оплате выкупа совместно с консультантом и страховщиком.
- Подготовить отчёт о происшествии и предоставить его страховой компании.
Если компания нарушит этот сценарий, допустим, сама вступит в переговоры с вымогателями или оплатит выкуп без согласования, страховщик может отказать в выплате.
Претензии вышли за рамки страховки. 45% опрошенных заявили, что пострадали от инцидентов, которые не покрывались их полисами. Происходило это из-за желания сэкономить и покупки дешёвой страховки с минимальным покрытием. В 40% виновато было невежество руководителей, которые не знали точно, на что распространяется их страховка.
Невыполнение требований. 14% респондентов, которым отказали в некоторых страховых выплатах, признались, что не внедрили все необходимые по договору меры кибербезопасности.
Основные причины
- Взносы дорожают. Страховые компании повышают тарифы, чтобы не отставать от быстрорастущих затрат на восстановление. Многие компании не могут позволить себе тот же тип покрытия, что был у них раньше, и покупают страховку подешевле.
- Более строгие требования к покрытию. Страховщики увеличивают список мер, которые необходимо внедрить перед покупкой полиса. Именно поэтому некоторые организации, у которых ранее была киберстраховка, больше не могут получить её.
- Ничего не меняется в кибербезе. Многие компании не внедряют новых мер безопасности, которые могли бы уменьшить страховые взносы и/или получить большее покрытие.
- Отсутствие коммуникаций. Юридические, финансовые и комплаенс-команды не умеют общаться с IT-командами и командами SOC, которые напрямую работают с инцидентами. Отчёты от ИБ не доходят до них, и в результате покрытие может не отражать фактических понесённых затрат или затронутых систем.
42% респондентов заявили, что наличие страховки важно для потенциальных клиентов или партнёров. А для 34% это обязательная часть правил и положений их отрасли бизнеса.
Что покрывает киберстраховка в России
Киберстрахование работает на российском рынке уже несколько лет. За последние годы услуга стала гораздо популярнее. Поговаривают даже о введении обязательного страхования киберрисков на государственном уровне. При этом, по разным оценкам, сейчас такие полисы оформляют всего 5–7% компаний.
«Мы в „Соларе“ видим интерес к киберстрахованию у средних и крупных организаций из отрасли онлайн-торговли, а также из финансового сектора, IT и производства. Такой интерес может быть связан с желанием компаний дополнительно защититься от киберрисков, реализация которых может привести как к приостановке бизнес-процессов (а значит, и к недополученной прибыли), так и к утечкам данных и, как следствие, штрафам и серьёзному репутационному ущербу».Алексей Пашковруководитель направления WAF ГК «Солар»
В связи с тем, что продукт относительно новый, в настоящее время на рынке не так много готовых и «обкатанных» решений. Отсюда и определённый скепсис со стороны потенциальных потребителей. По этой же причине не все понимают пользу, которую киберстрахование может принести, и рассматривают его лишь как пустую трату денег и неокупаемые вложения. Компании также сомневаются в страховом покрытии и недостаточно информированы о политике и практике поставщиков таких услуг.
На основе опроса, проведённого экспертами ГК «Солар», с участием более 400 компаний. В число респондентов вошли как коммерческие организации (60%), так и предприятия государственного сектора (40%), включая федеральные и региональные органы власти. В опросе участвовали представители различных сегментов бизнеса (B2G, B2E, B2B, SMB) и отраслей (нефтегаз, металлургия и горнодобывающая промышленность, финансы, транспорт, ретейл и ТЭК)
В свою очередь, у российских страховых компаний требования к клиентам также растут. Перед заключением договора они в обязательном порядке:
- запрашивают аудит;
- изучают историю киберинцидентов и реагирование на них;
- оценивают инфраструктуру и в целом состояние ИБ.
При этом, по информации страхового брокера Mainsgroup, представившего исследование рынка страхования киберрисков в начале марта 2025 года, этот сегмент плохо развит: всего 8 из 15 страховщиков России предоставляют услугу по киберстрахованию.
Какие виды атак покрывает киберстраховка в России:
Источник: Cyber Media
Здесь хотелось бы обратить внимание на важность соотношения вложений непосредственно в саму защиту и в страховку — соблюдение так называемого Security Insurance Balance. Очевидно, что делать бесконечные инвестиции в ИБ, доводя это чуть ли не до абсурда, бессмысленно. В то же время нельзя полагаться исключительно на страховые выплаты в надежде, что они помогут компенсировать все последствия атаки.
Именно поэтому оптимальным решением может стать формирование комплексного предложения «ИБ + страхование» в режиме одного окна. Компания также может строить ИБ по модели in-house, и тогда она сама обращается в страховую организацию — и здесь сложно рассчитать примерную стоимость услуги, так как каждое предложение индивидуально.
Как получить хорошее покрытие по киберстраховке
Лучший способ улучшить страховку — внедрить более строгие меры кибербезопасности. Да, новые инструменты, платформы и процессы потребуют больше денег на старте. Но часть затрат окупится за счёт уменьшения страховых взносов и более широкого покрытия:
- 99,6% респондентов рассказали, что усиление мер кибербезопасности помогло улучшить их позиции в страховании.
- 76% — получили лучшее покрытие.
- 67% — добились более выгодных цен на существующее покрытие, например в виде более низких франшиз или страховых взносов.
- 30% — улучшили существующие условия. Например, получили более высокие лимиты покрытия.
Ещё один способ убедиться, что у компании есть необходимое покрытие, — при выборе полиса киберстрахования привлечь к обсуждению все заинтересованные стороны, в том числе сотрудников, которым приходится бороться с угрозами. «Это гарантирует, что любые инвестиции соответствуют потребностям организации», — сказано в отчёте Sophos.
При этом компаниям стоит осознавать, что один только полис не защитит от кибератаки. И прежде чем идти в страховую организацию, нужно довести до ума свою ИБ-защиту. Только в таком варианте это будет разумный и эффективный шаг, а страховая выплата сможет действительно компенсировать часть потерь и быстрое восстановление после инцидента.
