Кибербезопасность уперлась в доверие

Большинство компаний настороженно относятся к страхованию от утечек данных, а обладатели страховки нередко сталкиваются с неполучением страховой выплаты в случае инцидента. Однако главная причина такой ситуации — страхователи не доверяют страховщикам и боятся сообщать об утечках. По словам экспертов, повысить уровень проникновения страхования и увеличить долю страховых выплат могут только реальные претензии к бизнесу в случае утечек и отказа детализировать оценку ущерба.

Выйти из полноэкранного режима

Развернуть на весь экран

Большая часть российских компаний не страхуют риски, связанные с утечками информации, следует из исследования InfoWatch. Доля таких организаций составляет 51% от общего числа опрошенных компаний, в которых была утечка информации. Как заявили в InfoWatch, запросы были направлены более 2,5 тыс. организаций, при этом были верифицированы и учтены анкеты представителей 350 компаний. Респондентами выступили директора организаций и их заместители, а также руководители финансовых и юридических подразделений.

Вместе с тем, по оценкам главы Национальной страховой информационной системы (оператор базы данных страховщиков) Николая Галушина, от общего количества юрлиц, зарегистрированных в РФ, не имеют покрытия от утечки данных 99% компаний. Объем рынка киберстрахования по итогам 2024 года составил около 3 млрд руб., а в 2025 году может превысить 3,5 млрд руб., оценивает совладелец страхового брокера Mainsgroup Павел Озеров.

Значительная доля незастрахованных компаний может говорить о слабой готовности бизнеса к подобным рискам, о недоверии институтам страхования и об отсутствии предложений на рынке страхования киберрисков, считают авторы исследования. Страхователи сталкиваются с тем, что не могут найти подходящее по суммам и рискам покрытие, поскольку в такие договоры вводятся исключения в отношении актуальных для страхователя рисков (см. “Ъ” от 8 ноября 2024 года). В частности, не покрываются убытки при условии использования нелицензионного программного обеспечения, исключаются из состава страхового покрытия убытки от DDoS-атак. Средняя стоимость полиса составляет 40–60 тыс. руб., а сумма выплат составляет 25–85 млн руб. (см. “Ъ” от 14 октября 2024 года).

Вместе с тем страховые выплаты получили лишь 17% опрошенных компаний, тогда как 25% застрахованных организаций возмещение не поступило, следует из данных InfoWatch. Среди тех, кто не получил страховую выплату, большая часть (79%) и не обращались за ней, что может свидетельствовать о низком доверии к страховым организациям или говорить о том, что издержки обращения за страховой выплатой преобладают над выгодами, отмечается в исследовании. Для 21% компаний страховщик признал случай нестраховым.

Кроме того, по мнению экспертов, основной барьер для глубокого проникновения страхования в защиту данных состоит в нюансах оценки возможного ущерба от действия киберпреступников. «Правила страхования последствий кибератак предполагают перечисление перечня защищаемой информации и стоимости доступа к этой информации»,— поясняет независимый эксперт Андрей Бархота. Компании в лице служб информационной безопасности и IT-подразделений не готовы давать андеррайтерам страховщиков доступ к полным данным о своей информационной защите для оценки рисков, указывает Павел Озеров.

Страховые компании склонны недооценивать стоимость информации, тогда как сами компании чаще ее переоценивают, указывают эксперты. В результате страховые тарифы не всегда соответствуют ожиданиям страхователей, отмечает Андрей Бархота. Повысить проникновение киберстрахования можно, если будут реальные случаи предъявления претензий бизнесу в связи с утечками чужих данных и показательные решения по взысканию средств с тех, кто допустил утечки, уверен Николай Галушин.

Юлия Пославская