Страхование киберрисков: настоящее и будущее ИБ-страхования
Компания MarketsAndMarkets подсчитала, что объем мирового рынка киберстрахования в 2020 году составил $7,8 млрд. К 2025 году, как ожидается, эта цифра достигнет $20,4 млрд. Ежегодный рост ожидается на уровне 21,2%. Драйвером роста является увеличение числа кибератак, в том числе с помощью вирусов-вымогателей, а также пристальное внимание регуляторов к проблеме. В России, по подсчетам «Сбербанка», на борьбу с последствиями кибератаки крупные российские компании тратят, в среднем, порядка 11 млн руб. Для СМБ эта цифра заметно ниже и составляет 1,6 млн руб. Специалисты «Сбербанка» полагают, что в обозримой перспективе, к 2025 году, российский рынок ИБ-страхования вырастет до 10 млрд руб.
Что касается прогресса в киберстраховании, то издание Forbes, например, прогнозирует, что в ближайшие пять леть популярность такой услуги будет неизменно расти — тут эксперты едины во мнении. Кибератаки становятся все более изощренными и разрушительными; параллельно растет рынок средств защиты, в том числе защиты страховой, если все другие методы не сработали.
Помимо этого ожидается, что в некоторых странах и в некоторых отраслях — например в здравоохранении и финансовой сфере — покупка страховки компаниями от киберрисков в перспективе станет обязательной, став чем-то вроде кибер-ОСАГО.
Также ожидается, что в ближайший пять лет ИБ-страховки станут стандартизированными. В настоящее время они значительно отличаются по своим лимитам и вопросам, которые покрывают. Каждая компания, работающая на рынке, предлагает страховку, исходя из собственного понимания сути проблемы. В будущем, как ожидается, появятся общие стандарты. Пользователям будет проще ориентироваться в продуктах.
Кроме того, как прогнозируют специалисты Forbes, многие страховки будут с адаптивными, гибкими условиями, с помесячной оплатой: внедрили, например, в компании новые средства безопасности, и оплата за страховку сразу снизилась.
Также есть и ложка дегтя: так, в Forbes ожидают, что в ближашие пять лет произойдет как минимум одна крупная массовая киберкатастрофа, которая повлечет крупные выплаты, превышающие собранные премии, рынок уйдет в минус. В результате этого события появится новая модель расчета рисков. Но несмотря на это, страховые компании продолжат активно нанимать собственных ИБ-экспертов для углубления понимания проблематики.
Напомним, киберстрахование (cyber insurance) — страхование, которое позволяет компаниям «подстелить соломку» на случай кибератаки. В таком случае предприятие будет хотя бы частично финансово защищено от потерь, если подобный инцидент произойдет.
Тем не менее, очевидно, что от самих кибератак подобное страхование не защищает ни в малейшей степени. И очень важно, чтобы застрахованная компания понимала, от чего именно она застрахована, а от чего — и это даже важнее — нет.
Отметим, что цена подобной страховки может заметно отличаться — компании, которая не слишком печется об ИБ и уже попадала в неприятности, киберстраховка может обойтись заметно дороже, чем предприятию, известному своей ИБ-скрупулезностью и ни разу не сталкивавшемуся с серьезными проблемами. Также недешево подобные страховки обходятся в таких секторах, как здравоохранение и финансы, в силу того, что и первые и вторые работают с весьма «чувствительными» данными. Ну и конечно, никто не захочет страховать компанию, которая уделяет вопросам ИБ так мало внимания, что становится прямо-таки готовой компанией-жертвой.
Обычно киберстраховка покрывает следующие вопросы: расследование кибератаки, восстановление затронутых атакой данных (включая найм высококвалифицированных ИБ-специалистов со стороны), затраты на юристов, а также выплаты гражданам, данные которых были затронуты в ходе инцидента.
При этом большинство специалистов сходятся в мысли, что в настоящее время самой разрушительной атакой является нападение вируса-вымогателя. Интересно, что выплата суммы по требованию вымогателей, хотя и довольно часто входят в киберстраховку, не поощряется властями, многочисленные выплаты множат ряды преступников, жаждущих легких денег.
Еще одной потенциально крупной денежной проблемой являются фищинговые атаки по электронной почте, когда злоумышленник делает вид, что он гендиректор компании, бухгалтер или поставщик, и просит перевести на некий счет круглую сумму, иногда шестизначную. Покрытие этой ситуации предсмотрено страховками нечасто, чаще всего в этой ситуации компании придется разбираться с убытками самостоятельно.
В целом, предприятию лучше выбрать страховку, которая покрывает и атаки вымогателей, и фишинг, и DDoS-атаки. А вот убытки, связанные с потерей в ходе кибератаки интеллектуальной собствености, киберстраховкой не покрываются практически никогда. То же относится и к репутационным потерям.
В целом, после массированных атак вымогателей Wannacry и Petya, о страховании ИБ-рисков задумалось много компаний — эти вымогатели нанесли совокупный ущерб, исчисляемый миллиардами долларов. Интересно, что в случае с Petya, как указывает издание ZDNet, некоторые страховые компании не хотели платить, ибо якобы источник этого вымогателя — российские военные, а значит это проявление кибервойны, и платить не нужно.
В целом, как упомянуто выше, страховые компании больше всего опасаются масштабной кибератаки, поддерживаемой властями какой-либо страны, которые нанеет заметный ущерб одновременно большому количеству клиентов. Эдакий киберураган с массированными последствиями. Тем не менее, напомним, что как полагают в Forbes, это почти неизбежно произойдет.
Интересно, что некоторые страховые компании настолько не хотят платить своим клиентами возмещения в случае киберинцидента, что отправляют в компанию своих ИБ-специалистов помочь наладить безопасность на высоком уровне.
В России страхование киберрисков предлагает, в частности, компания «Сбербанк страхование». Для СМБ-сегмента минимальная стоимость киберстраховки составляет от 4300 до 456 тыс рублей год. Продукт включает в себя пять различных программ, защищая, например, от простоя из-за DDoS-атаки или несанкционированного списания средств. В качестве ИБ-экспертов привлекаются специалисты компании BI.ZONE. В Allianz ИБ-страховку Allianz Cyber Protect начали предлагать в нашей стране в 2016 году. Также с 2013 года ИБ-риски можно застраховать в AIG (продукт CyberEdge). С 2018 года застраховать киберриски можно и в компании «АльфаСтрахование», продукт АльфаCyber предлагается совместно с компанией Group-IB. Помимо этого, можно воспользоваться страхованием киберрисков в компании «Согаз» (продукт Sogaz Cyber Security).
Опубликовано 15.03.2021