Компания Mains Insurance Brokers & Consultants анонсировала свои прогнозы относительно рынка страхования киберрисков. Компания была создана осенью 2016 года выходцами из страховых фирм. Ее генеральный директор Сергей Худяков занимал пост заместителя директора в российском отделении Allianz. Решение перейти в новый бизнес он объяснил тем, что на рынке страховых компаний в России жесткая борьба, на брокерском же рынке конкуренции не чувствуется — в нашей стране на брокерский бизнес страхования рисков приходится лишь 15%. В западных странах через брокеров идет почти 90% страхового бизнеса.
Одним из главных направлений бизнеса в Mains сразу сделали страхование киберрисков, несмотря на то что этот сегмент в нашей стране практически не развит, его размер — около 10 млн руб. Но, как полагают в компании, с 2019 года начнется стремительный рост, и к 2025-му объем страховых премий (сумма, выплачиваемая страхователям) достигнет 1 млрд руб.
По мнению экспертов, этому есть две причины. Во-первых, увеличивающееся количество атак и растущий ущерб от их последствий. Уже сейчас, по данным ежегодного исследования Allianz Risk Barometer, которое проводится среди директоров и риск-менеджеров крупных предприятий, в Европейском регионе, куда входит Россия, киберриски заняли второе место в перечне наиболее серьезных рисков для предприятий.
В 2016 году по количеству зарегистрированных утечек информации Россия заняла второе место — 213 зарегистрированных утечек конфиденциальной информации и 70 млн атак на российские информационные ресурсы (на первом, разумеется, США). Ущерб от кибератак в России в 2015 году составил 203,3 млрд руб., 0,25% ВВП. И это только случаи, ставшие достоянием гласности.
Во-вторых — позиция регуляторов, и российских и зарубежных, которые все больше ужесточают требования к хранению и обработке персональных данных, особенно в условиях «тотальной цифровизации».
Разумеется, компании вкладываются в киберзащиту, но стопроцентной гарантии она не дает. А киберинцидент — это не только пресловутая «утрата доверия клиентов», но и, например, убытки от простоя, если атаке подверглись производственные мощности. Тут счет может идти на десятки миллионов долларов; например, завод «Рено» в Румынии, дающий около 3% ВВП страны, после хакерской атаки «простоял» в мае почти на 150 млн долл.
Страхование рисков поможет смягчить финансовые последствия «аварии» системы ИТ-безопасности, подобно тому как добровольное страхование автомобиля помогает в случае ДТП.
Разница между страхованием ИТ-системы и страхованием машины состоит в том, что в последнем случае страховая премия рассчитывается с учетом статистики, принимающей во внимание марку автомобиля, год его выпуска, регион и т. д. В случае с киберинцидентами статистики пока нет, да и вряд ли будет: каждый случай, каждая система безопасности не похожа на другую. Поэтому оценка рисков осуществляется экспертными методами. Работа страхователя со страхуемым начинается с аудита системы. Такой аудит сейчас в России осуществляют несколько компаний, в частности «Инфосекьюрити», Group-IB, «Лаборатория Касперского».
Эксперты сделают заключение о состояние системы ИТ-безопасности, предложат меры по ее совершенстованию. Выводы эксперта можно не признавать, а представить страховщику оценку своих экспертов, но тогда размер страховой премии, которую попросит брокер, будет выше.
Другая часть работы брокера — собрать пул перестраховочных компаний, которые, ознакомившись с состоянием систем ИТ-безопасности клиента, предложат наилучшие условия.
При наступлении страхового случая Mains готова взять на себя широкий спектр выплат, в зависимости от условий контракта: возмещение финансового вреда третьим лица, хранившим данные у страхуемого; его убытков от перерыва в производственной деятельности; расходов на экспертов, устанавливающих причины инцидента; расходов на организацию контакт-центра, на антикризисный пиар, на уведомление пострадавших, а также компенсацию прочих расходов, связанных с кибервымогательством.
Страхование ИТ-рисков кажется пока экзотическим и трудноформализуемым делом, однако, как отметили в Mains, схожее с ним страхование ответственности директоров предприятий от последствий их ошибок вполне состоялось как бизнес, этот рынок уже составляет около 5 млрд руб.