Согласно результатам опроса, проведенного InfoWatch, только 28% респондентов сообщили, что их организация имеет страховку от киберинцидентов. При этом ущерб именно от утечек данных, произошедших в результате таких инцидентов, застрахован лишь у 16% опрошенных компаний. Спрос на страхование киберрисков зависит от масштаба бизнеса, отмечают исследователи, – о наличии полисов в основном сообщают представители крупных компаний, а отсутствие чаще отмечают представители малого и среднего бизнеса.

Если говорить о рисках, которые покрывают полисы киберстрахования, то большинство компаний страхуют и внешние, и внутренние риски – об этом сообщили 86% опрошенных. Оставшиеся 14% респондентов выбрали для себя только один тип рисков – только внешние или только внутренние. Одна из главных внутренних причин утечек данных – действия сотрудников, однако с точки зрения страхования единого подхода к таким инцидентам нет. В России в полисы киберстрахования чаще всего включают только фишинг, а другие потери под воздействием социальной инженерии, как правило, признают нестраховыми случаями. В свою очередь, умышленные действия сотрудников (Insider Threats) не входят в большинство полисов киберстрахования, и представители ряда страховых организаций считают, что ущерб от таких действий не может быть застрахован в силу российского законодательства. При этом есть мнение, что варианты страховых программ на отечественном рынке всё же есть – например, страхование профессиональной ответственности или рисков действий первых лиц для топ-менеджеров.

Важный нюанс отечественного рынка киберстрахования, на который обращают внимание авторы исследования, – штрафы за утечки данных и возможные убытки из-за выплат выкупа вымогателям в России законодательно страховать запрещено. При этом у компаний интерес к такой опции есть.

Как отмечают аналитики, ключевая ценность киберстрахования в мировой практике заключается в том, что во многих странах в его рамках можно полностью застраховать ответственность перед третьими лицами, что позволяет покрыть штрафы, пени и компенсации. Российская практика не дает возможность застраховать штрафы – например, риски значительного ущерба по этой статье в случае с оборотными штрафами за утечку персональных данных. Такой подход во многом снижает интерес к киберстрахованию. Сегодня эксперты оценивают российский рынок в 3,5-4 млрд руб., что составляет до 1% от мирового рынка страхования киберрисков.

Российские страховые компании при принятии решения о выплате в первую очередь принимают во внимание расходы на проведение экспертизы (15%) и расследование инцидента (13%), а также расходы на восстановление работоспособности ИТ-систем (11%), восстановление данных (11%) и аудит ИБ после утечки (9%). Представители страховых компаний подтвердили, что принимают все эти расходы для одобрения выплаты, но условия могут различаться в зависимости от состава полиса и конкретных условий.

Компании, имеющие договоры страхования от киберинцидентов, приводят список документов, которые, по их опыту, необходимы для получения выплат: в него входят заявление в органы внутренних дел, журнал событий инцидента и заключение компьютерно-технической экспертизы по итогам инцидента. Могут потребоваться дополнительные документы в зависимости от типа ущерба, при этом базового перечня в большинстве случаев достаточно, отметили представители страховых компаний.

Страховщики также отмечают еще одну проблему – сложности с оценкой ущерба от утечек информации. Единого стандарта на рынке не существует, и сами застрахованные компании далеко не всегда имеют собственные методики оценки ущерба от киберинцидентов. Между тем, и в России, и за рубежом утечка данных признается страховым событием только в том случае, если ущерб от нее подтвержден соответствующими документами. Если же компания не сможет оценить и зафиксировать ущерб, то такой случай не будет признан страховым, а убытки не будут компенсированы. Поэтому отсутствие методик оценки ущерба можно назвать одним из серьезных препятствий на пути дальнейшего развития рынка страхования киберрисков в России.