Пока бот не грянет

Российский рынок киберстрахования с 2022 года постепенно выходит из тени: за последние пять лет объем премий вырос в разы, а интерес со стороны бизнеса, особенно среднего, стал ощутимее. Поводом для этого послужил не только рост числа атак, но и новые требования законодательства, грозящие компаниям оборотными штрафами за утечку данных. Однако до массового спроса еще далеко: полисы остаются дорогими, андеррайтинг — сложным, а подходы к оценке рисков единообразием не отличаются.

Выйти из полноэкранного режима

Развернуть на весь экран

На старт, внимание, хак!

Из всех корпоративных имущественных видов страхование киберрисков самое молодое. Полноценный старт этого вида страхования в России пришелся на 2017 год: несмотря на то что первый полис в виде отдельного продукта был запущен в 2012 году страховщиком AIG, второй подобный продукт от Allianz появился лишь в 2016 году. Но и в дальнейшем основными поставщиками услуг страхования от киберрисков были исключительно «дочки» иностранных страховщиков. Российские компании запустили такие страховки лишь в 2018–2019 годах.

Начиная с 2020 года рынок киберстрахования в России ощутимо прирастал. «Темпы роста как количества договоров, так и страховой премии исчислялись двузначными цифрами и достигали 30% в год, но это абсолютно объяснимо: на скромных вводных легко показать существенный рост»,— отмечает директор департамента страхования финансовых и профессиональных рисков страхового брокера Remind Ольга Глазкова.

В 2023–2024 годах темпы роста рынка снизились — ежегодно он рос уже на 10–15%. Основных причин роста рынка в последние три года несколько: локализация договоров страхования киберрисков для «дочек» иностранных компаний, которые с 2022 года были исключены из материнских глобальных страховых программ и стали заключать договоры локально, а также возросшие кибератаки почти на все отрасли экономики — компании начали включать киберугрозы в свои карты рисков и искать варианты их минимизации.

В 2025 году к этим факторам добавился еще один драйвер роста — закон «Об оборотных штрафах», который ужесточает требования к обеспечению кибербезопасности и вводит значительные финансовые санкции за инциденты, связанные с утечками персональных данных и нарушениями в защите информации.

С 2020 по 2025 год количество кибератак на российские компании неуклонно росло, особенно резко — с 2022 года. Например, в 2023 году число инцидентов удвоилось по сравнению с предыдущим годом и достигло 130–140 тыс., говорит ведущий аналитик отдела мониторинга ИБ компании «Спикател» Алексей Козлов. В 2024году МВД зафиксировало около 765 тыс. киберпреступлений, однако это лишь зарегистрированные инциденты. При этом уровень раскрытия киберпреступлений остается низким, в 2024 году он не превышал 25%, указывает эксперт практики кибербезопасности «ТеДо» Максим Кошелев.

За январь—май 2025 года количество атак выросло еще на 20% к аналогичному периоду 2024 года, отмечает Алексей Козлов. Хотя доля успешных атак держится в диапазоне 5–10%, злоумышленники адаптируют тактики — растет число атак с политическим подтекстом, кибершпионажа и вымогательства. Широко применяются многовекторные ковровые DDoS-атаки — умеренные по мощности и сложные для детектирования. Все чаще комбинируются объемные атаки с интеллектуальными (L7), целью которых становится кратковременное нарушение работы, особенно во время пиковых событий, таких как распродажи и праздники.

По пальцам застраховать

Отдельной статистики по киберстрахованию в России нет, так как по природе своей договор страхования киберрисков представляет собой гибрид страхования имущества и страхования ответственности, а во внутренней структуре страховщика вообще относится к страхованию финансовых рисков.

Ранее Банк России, ссылаясь на данные опроса крупнейших российских страховщиков, заявлял, что доля киберстрахования не превышала 1% взносов по страхованию прочего имущества юридических лиц, то есть составляла не более 500 млн руб., или 0,01% доли всех страховых премий рынка, говорит старший директор рейтингов финансовых институтов рейтинговой службы НРА Айназ Хайруллина.

В компании «СберСтрахование» оценивают этот рынок примерно в 450–550 млн руб. При этом его потенциальный объем составляет от 1,5 млрд до 2 млрд руб., а число клиентов — порядка 250 тыс. экономически активных компаний. По оценкам «ТеДо», сейчас не более 10% российских компаний застрахованы от киберпреступлений. Как отмечают в Remind, совокупная страховая емкость российского рынка киберстрахования оценивается на уровне 3–4 млрд руб. на один договор и обеспечивается в основном за счет собственного удержания страховой компании и поддержки Российской национальной перестраховочной компании.

Что страховать будем?

Современный договор киберстрахования строится по модульному принципу и, как правило, включает две основные секции — имущественная секция защищает внутренние интересы компании, а секция ответственности покрывает ущерб, причиненный третьим лицам, объясняют в Remind. Каждая секция наполняется содержанием индивидуально исходя из специфики деятельности клиента: компании, работающие с персональными данными (например, банки, маркетплейсы), в первую очередь интересуются секцией ответственности, а производственные компании и e-commerce — страхованием перерыва в деятельности.

Например, в рамках имущественной секции можно застраховать потерю прибыли вследствие приостановки деятельности из-за недоступности информационной системы компании (аналог перерыва в деятельности в договорах страхования имущества), дополнительные расходы компании на устранение неполадок и восстановление системы до работоспособного уровня. Также сюда можно отнести убытки компании, связанные с кибервымогательством: расходы на внешних консультантов и специалистов, которых компания привлечет для работы с этой проблемой, в части случаев — выплата суммы выкупа как мера по минимизации убытка, когда восстанавливать системы экономически нецелесообразно и эта позиция будет однозначно принята всеми сторонами—участницами процесс: самой компанией, страховщиком, привлеченными специалистами и госорганами.

В рамках секции ответственности можно застраховать претензии от третьих лиц, включая регулятора, полученные компанией вследствие нарушения конфиденциальности данных (это утечка персональных данных и утечка коммерческой информации). Сюда же можно включить расходы на юридическую защиту по поданным в отношении компании претензиям, расходы на защиту репутации и бренда компании, расходы на диагностику ИТ-системы компании и устранение негативных последствий атаки.

«Замкнутость российского страхового рынка привела к дополнительной эволюции этого вида страхования, и классическое покрытие в российском исполнении может также быть дополнено рисками гибели или повреждения промышленного и компьютерного оборудования компании, а также рисками хищения денежных средств»,— говорит Ольга Глазкова. Однако чаще всего эти риски покрываются в рамках подлимитов, так как в полном объеме могут быть застрахованы через другие, более специализированные виды страхования.

На свой страх и риск

Главное отличие киберстрахования от классических договоров по имуществу и ответственности — причина ущерба.

Для активации полиса инцидент должен быть признан кибератакой или киберинцидентом (целенаправленная атака на IT-систему, внедрение вредоносного ПО или внезапный технический сбой). Типовые исключения в полисах киберстрахования схожи с другими видами страхования — умышленные действия сотрудников, военные и экологические катастрофы, ядерные риски, использование нелицензионного ПО и повторяющиеся убытки, отмечает руководитель отдела страхования корпоративной ответственности и финансовых линий «Абсолют Страхования» Алина Растошинская.

Тарифы на киберстрахование в России находятся в диапазоне от 0,6% до 1,3% от страховой суммы, следует из опросов страховщиков.

На цену влияет множество факторов: сфера деятельности клиента, объем покрытия, качество киберзащиты и история инцидентов. «Выплат по страховым случаям пока было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, возникшими из-за кибервоздействия (ошибка в программном коде, вредоносное ПО и так далее) и повлекшими убытки»,— отмечают в страховом брокере Mainsgroup.

Сейчас основными рисками, запрашиваемыми для страхования, все чаще становятся разглашение персональных данных и штрафы, перерыв в производстве, в том числе в результате технического сбоя, кибервымогательство и расходы на восстановление данных, говорит Алина Растошинская. «По нашей статистике, чаще всего страхуются от киберрисков представители оптовой и розничной торговли, а также сельского хозяйства»,— отмечает старший вице-президент, руководитель блока «Управление благосостоянием» Сбербанка Руслан Вестеровский.

Полис для самых маленьких

Интерес к полисам проявляют как крупные организации, так и компании из сегмента малого и среднего бизнеса (МСБ), причем последние интересуются этим видом страхования более активно. На это есть две причины: ограниченность IT-бюджета и гибкость организационной структуры. Мелкий бизнес может застраховать киберриски через коробочные продукты, но это направление еще слабо развито и не является фокусом большинства страховщиков.

По данным «Сбера», спрос на эти полисы со стороны МСБ особенно активно рос в 2024 году: совокупная страховая сумма составила более 8,5 млрд руб. против 2,4 млрд руб. в 2023 году. По словам первого заместителя директора департамента информационных технологий СДМ-банка Андрея Герасимова, стоимость коробочных решений для малого бизнеса сейчас составляют 80–250 тыс. руб. в год со страховой суммой 10–50 млн руб.

Классическое киберстрахование в России пока доступно только юридическим лицам, но для физических лиц существуют программы страхования средств на банковских картах и счетах, добавляют в «СберСтраховании».

Такой полис покрывает финансовые потери, если деньги были списаны мошенниками: через поддельный сайт, по украденным реквизитам, в результате взлома приложения, методами социальной инженерии. Также в него могут быть включены расходы на восстановление документов или компенсация в случае кражи личных вещей.

Пока не взломают

Российский рынок киберстрахования продолжает оставаться нишевым и пока не демонстрирует бурного роста, характерного для аналогичных направлений в зарубежной практике. Как отмечает Руслан Вестеровский, темпы роста этого сегмента в последние годы не превышают среднего уровня роста рынка non-life-страхования: фокус компаний смещен в сторону создания современных и надежных систем информационной защиты, в то время как страхование воспринимается как вторичная мера.

Основные проблемы — отсутствие накопленной практики заключения договоров, разнородность рисков в зависимости от масштаба и специфики бизнеса клиентов, недостаток достоверной статистики для корректного андеррайтинга и резервирования, а также отсутствие стандартов оценки защищенности, объясняет Айназ Хайруллина. Кроме того, нехватка киберсюрвейеров (специалистов по расследованию киберинцидентов и анализу последствий) затрудняет урегулирование убытков и выработку единых подходов.

Формирование единого подхода к страхованию киберрисков в России пока невозможно, уверен Максим Кошелев. В первую очередь из-за отсутствия нормативно закрепленной методики оценки цифровых рисков. Кроме того, серьезное препятствие создают высокая неоднородность ИТ-инфраструктуры клиентов, различия в уровнях зрелости информационной безопасности и доступности внутренней информации. Компании, опасаясь утечек, нередко отказываются раскрывать данные, необходимые страховщику для анализа, что усложняет андеррайтинг и расчет тарифов. Как следствие, полисы остаются дорогими и технически сложными, а уровень требований к IT-безопасности клиентов — высоким.

Тем не менее перспективы у рынка есть. Драйверами станут расширение законодательных требований в области защиты данных клиентов, рост осведомленности о возможностях страховой защиты, интеграция киберстрахования в бизнес-процессы компаний, а также наработка практики урегулирования убытков и формирование баз данных, прогнозирует директор по страховым и инвестиционным рейтингам агентства «Эксперт РА» Екатерина Серова.

Этот текст — часть проекта ИД «Коммерсантъ», посвященного трендам бизнеса и финансового рынка. Еще больше лонгридов с анализом ключевых отраслей российской экономики, экспертных интервью и авторских колонок — на странице Review.

Анна Абрамцева