Идем на риск: почему киберстрахование не пользуется спросом? Аналитика IT-World
Постоянный рост числа преступлений в сфере ИТ, рост убытков от кибератак, простоя и утечек данных - казалось бы, услуги страхования от киберугроз должны пользоваться спросом. Но этот сегмент рынка развивается медленнее даже самых скромных прогнозов. О том, почему так происходит, и есть ли у киберстрахования перспективы в России, размышляет IT-World.
Глобальный рынок
На глобальном рынке киберстрахование считается самым молодым и только начавшим развиваться сегментом. По данным Глобального обзора McKinsey, в 2023 году мировой рынок страховых услуг немногим превышал $6,9 трлн. Итоги 2024 года, по данным Statista, демонстрируют порядка $8 трлн. На этом фоне собранная в 2023 году страховая премия по киберстрахованию (возьмем данные insightaceanalytic.com - $16,46 млрд) составила всего лишь 0,24%.
Пo данным insightaceanalytic.com, объем глобального рынка киберстрахования в 2023 году оценивался в $16,46 млрд. Как прогнозируют аналитики, в период 2024-2031 г.г. средний рост рынка составит 23,94%, и к 2031 году его объем достигнет $90,26 млрд.
Составители отчета QualRisk Cyber Insurance Center (QCC) обнародовали немного другие данные, впрочем, не сильно отличающиеся: в 2023 году глобальные страховые премии в сфере киберстрахования достигли $14,4 млрд. Годовой рост этого показателя в 6% стал самым низким показателем роста за период с 2019 года. К 2030 году, считают аналитики QCC, мировой рынок киберстрахования удвоится. Основным рынком роста станет Европа, в 2030-х годах – Азия. Фокус роста сместится с рынка США, который был основным движителем в течение прошлого десятилетия.
Российский рынок
Российский страховой рынок и сегодня считается одним из самых динамично растущих в мире. Так, судя по статистике, собранной мегарегулятором – ЦБ РФ, – в 2023 году объем страхового рынка в России составлял 2,3 трлн рублей, в 2024 г.он вырос на впечатляющие 62,8% и достиг 3,7 трлн рублей.
И если основными драйверами отечественного рынка в прошедшем году были такие виды, как накопительное и инвестиционное страхование жизни, премии в которых выросли до рекордных значений, автострахование, добровольное медицинское и корпоративные виды страхования, то доля рынка, приходящаяся на страхование киберрисков, в 2023 году составляла весьма и весьма скромные 0,05% от совокупного объема рынка, или 1,3 млрд рублей.
За 10 лет с момента заключения первого в РФ договора киберстрахования на отечественном рынке уже сложился круг страховых компаний, предлагающих полисы от киберугроз. Поиск по Сети показывает, что такие виды страхования уже есть в портфелях и практикуются компаниями «Прогресс Страхование», Ингосстрах, СберСтрахование, «АльфаСтрахование», «СОГАЗ», «СОЮЗ Страхование» и рядом других.
Впрочем, так и предполагали эксперты последние несколько лет – этот сегмент, несмотря на свою молодость и новизну, должен активно развиваться. Причины – налицо: это бурный рост числа хакерских атак и утечек данных и постоянно увеличивающийся ущерб от них.
По данным Следственного комитета, в России за период с 2014 по 2022 год число преступлений с использованием информационных технологий выросло более чем в 50 раз, с 10 тыс. до 510 тыс.
Только в течение 2024 года, по данным МВД РФ, в России было совершено 765,4 тыс. киберпреступлений. Это на 13,1% больше, чем за 2023 год. Удельный вес IT-преступлений в общем числе преступлений за год вырос с 34,8% до 40%. Доля тяжких и особо тяжких составов среди киберпреступлений выросла за год на 7,8%.
Совокупный ущерб от киберпреступлений в 2024 году составил порядка 200 млрд рублей. С банковских счетов россиян, по данным ЦБ РФ, мошенники похитили рекордные 27,5 млрд рублей, и это на 74,4% больше, чем в 2023 году.
При этом уровень раскрываемости киберпреступлений падает - в 2024 году он составил порядка 23%.
Но стоит учесть особенность подсчетов – из общего объема страховых премий по итогам 2023 года - 1,3 млрд рублей – на специализированные полисы по страхования киберрисков пришлось не более 40%. Остальную сумму – 60% - составили договора с элементами киберстрахования.
Попробуем разобраться, почему отечественный бизнес не спешит вкладываться в страхование киберрисков.
Бюджеты бизнеса на обеспечение информационной безопасности всегда ниже, чем нужно. Это справедливо не только в отношении специализированных решений в сфере ИБ, но и в отношении страховой защиты. Однако, уже в 2023 году бюджеты на киберзащиту, в среднем на 20%, увеличили более половины всех российских предприятий (данные Yandex Cloud и «Деловые решения и технологии»).
Компании финансовой отрасли, по сведениям ГК «Солар», направляли на обеспечение информационной безопасности 5–6% от совокупного бюджета на ИТ.
Но на страхование многие до сих пор смотрят как на лишние расходы. Как считают в Forbes, на киберстрахование компании тратят меньше 1% бюджета на цифровую защиту. При этом обращают внимание на этот вид полисов только около 10% компаний, а оформляют — не больше 5%. Правда, предотвратить возникновение угроз и убытков наличие страхового полиса не в силах, однако позволит минимизировать убытки от инцидента, покрыв хотя бы часть их них.
Сложности с оценкой рисков. Стоит еще раз отметить, что страхование киберрисков – рынок пока еще очень молодой. По страховым случаям было мало значимых кейсов, собрано недостаточно статистики для того, чтобы составить четкие, единые для всех правила страхования, методики расчета рисков по договору и оценки стоимость ущерба.
Страховщики, практикующие страхование киберрисков, предлагают, по большей части, полисы с индивидуальными условиями страхования и набором покрываемых рисков. Все зависит от запроса клиента.
Уже стандартно полисами покрываются ущерб от кибератак, потери баз данных, утечки персональных данных, кибервымогательства, приостановки производственных и бизнес-процессов и ущерб третьим лицам.
Но очень трудно оценить, соответствуют ли риски, попадающие под страховое покрытие, реальным рискам, составить полное и подробное описание страховых событий, процесса урегулирования страховых случаев, как и рассчитать подлежащие выплате суммы.
Выплат по страховым случаям также было не так много, чтобы иметь достоверную статистическую выборку. В основном, выплаты связаны с приостановками деятельности компании из-за кибервоздействия и убытками из-за этих перерывов в работе. По самым последним данным, лимиты покрытия по договорам составляют от 100 млн до 2 млрд рублей, но подавляющее большинство договоров заключается на суммы в пределах 0,5 млрд рублей.
Но в покрытие, как правило, не входит человеческий фактор - действия сотрудников компании, умышленные или нет. Собственно, пишут эксперты, ущерб от действий сотрудников тоже можно включить в договор страхования, но это заметно увеличит его стоимость (от 15 до 40%).
Ситуация осложняется тем, что многие компании предпочитают не обнародовать информацию о хакерских атаках на их системы, их успешности и убытках, которые они понесли.
Отсутствие нормативной базы. В отечественном сегменте киберстрахования пока еще отсутствует единая нормативная база, которая регулировала бы все необходимые стандарты, процедуры и алгоритмы. И это сильно тормозит развитие рынка.
Потенциальные клиенты неохотно предоставляют страховым компаниям доступ к данным о своей системе безопасности и тонкостям информационной защиты. И этот фактор также сильно затрудняет оценку рисков. Использует ли компания только лицензионные программные продукты, как защищены ее базы данных, прошли ли сотрудники обучение основам кибербезопаности, как разграничены права доступа у сотрудников компании и т.д.?
Рынок вырастет, и это неизбежно?
В марте 2025 страховой брокер Mainsgroup обнародовал свои прогнозы по рынку. Эксперты компании считают, что в ближайшие годы сегмент киберстрахования будет расти, а собранные премии увеличатся в объемах от 41% до 54% в год. Такое же мнение высказали большинство - 94,8% - опрошенных компанией страховых компаний, страховых брокеров и страхователей.
Прежде всего, считают респонденты, росту рынка будет способствовать увеличение числа кибератак, изобретаемые мошенниками новые типы и новые каналы атак, новые цели для атак (криптоактивы, устройства интернета вещей (IoT), использование фейковых новостей, рост числа «хактивистов» и потеря устойчивости алгоритмов шифрования - некоторые их них были созданы еще в 1990-х годах и используются до сих пор. Как следствие, вырастет и спрос на такие полисы со стороны компаний, более всего от этих атак страдающих.
В 2024 году в рейтинге стран, наиболее пострадавших от DDoS-атак, Россия заняла восьмое место – таковы данные StormWall. Количество кибератак на российские организации выросло на 45%. Большинство из них были направлены на нанесение ущерба российской экономике. В топ-3 подверженных DDoS-атакам сегментов вошли финансовый сектор, госсектор и ретейл.
Только за первый квартал наступившего 2025 года, сообщают аналитики сервиса Anti-DDoS ГК «Солар», резко выросло число DDoS-атак на нефтегазовый сектор (более, чем в 8 раз в сравнении с аналогичным периодом 2024 года) и на сектор телекома (на 23%).
И такие проекты обсуждались за последние годы несколько раз. Правда, до «обязаловки» в сегменте киберстрахования дело пока не дошло.
Но, полагают эксперты, именно операторы персональных данных – самые вероятные кандидаты на обязательное страхование. Поправки в Федеральный закон о персональных данных, которые подразумевают обязательное страхование киберрисков и создание у операторов резервных фондов для возмещения ущерба пострадавшим, активно обсуждаются в сети с начала 2024 года. И, по некоторым оценкам, введение обязательной киберстраховки приведет к росту объема премии в сегменте «Киберстрахование» до 10 млрд рублей в год.
В 2023 году, сообщает сервис DLBI, на российским рынке произошло более 290 утечек, в результате которых в руках у мошенников оказались записи о 240 млн телефонных номеров и 123 млн e-mail адресов.
На предприятия e-commerce пришлось 40% инцидентов, на здравоохранение - 9%, на сферу развлечений — 8,5%. По объемам утечек лидируют банки – на их долю пришлось около 50% слитых записей с телефонными номерами.
По данным InfoWatch, Россия закончила 2024 год, заняв пятую позицию в глобальном рейтинге строку по числу утекших личных данных - 1,58 млрд записей. Это на 31,7% больше, чем в 2023 году. Фактическое количество утекших данных может быть гораздо больше, так как почти в половине зарегистрированных инцидентов количество записей неизвестно.
В феврале 2024 года Роскомнадзор сообщил об утечке 500 млн данных о россиянах. Какие именно данные попали в сеть – не уточнялось, однако один только этот случай «перекрыл» по своим масштабам утечки практически всего предыдущего 2023 года.
Написать комментарий