Об этом сообщил совладелец страхового брокера Mains Павел Озеров на фестивале по кибербезопасности Positive Hack Days (PHDays Fest).
В своем выступлении Павел Озеров отметил, что масштабы киберрисков растут: за 10 лет число подтвержденных киберпреступлений в России выросло в 46 раз, только во II квартале 2024 г. в странах СНГ было совершено в 2,6 раза больше киберпреступлений, чем за тот же период 2023 г., причем подавляющее их большинство — 76% — пришлось на Россию. Ущерб, нанесенный киберпреступниками российской экономике только за 2023-24 гг., оценивается не менее чем в 1 трлн рублей. 37% клиентов говорят, что самый актуальный для них киберриск — это приостановка деятельности вследствие кибератаки.
По словам Павла Озерова, многие компании, отказываясь от киберстрахования, ссылаются на наличие разного рода технических и программных средств защиты от кибервоздействия.
«Между клиентом и страховщиком существует пропасть: клиент не готов впустить в инфраструктуру, а страховщик не готов страховать без объективных данных об уровне защищенности. Нужен медиатор, который сможет дать понятную и прозрачную оценку защищенности компании», — отметила Наталья Воеводина, генеральный директор АО «Кибериспытание», партнер фонда Сайберус.
Однако, как показывает статистика по уже совершенным киберпреступлениям, 88% инцидентов связаны с человеческим фактором и социальной инженерией — тем, от чего ни техника, ни программные комплексы защитить не могут. Кроме того, как считают 56% опрошенных экспертов в сфере кибербезопасности, в ближайшие максимум два года ИИ станет ключевым инструментом хакеров, т. е. предупредить и предотвратить атаки будет сложнее.
Сравнивая динамику роста рынка киберстрахования в России и мире, Павел Озеров отметил, что отечественный рынок растет заметно активнее мирового. Так, объем общемирового рынка по итогам 2023 г. оценивался в $14,02 млрд, что на 24,8% больше, чем годом ранее, а к 2031 г., по прогнозам экспертов, он вырастет до $59,96 млрд, т. е. среднегодовой рост составит 19,92%.
В России же рынок киберстрахования за 2020-2024 г. вырос в 12,5 раз, с 0,2 до 2,5 млрд р. (среднегодовой рост 86,1%), и продолжает расти. Вопрос в том, какими будут его дальнейшие темпы роста, насколько успешно будет развиваться этот вид страхования.
По мнению Павла Озерова, развитие рынка киберстрахования сейчас тормозят четыре ключевых фактора. Первый — это ограниченность лимитов страхования и возможностей перестрахования. Второй фактор состоит в том, что бизнес не видит для себя ценности в киберстраховании: он и так тратит серьезные средства на техническое и программное обеспечение своей кибербезопасности и не понимает, для чего нужно выделять бюджет еще и на страхование. Третий — общее недоверие бизнеса к киберстрахованию — по сути дополняет второй. Компании не дают страховщикам всю информацию о своей системе безопасности, не допускают андеррайтеров к внутренним данным для объективной оценки рисков, опасаясь разглашения коммерческой тайны, и т. д.
Четвертый фактор — страховщики сейчас работают каждый сам по себе, в сегменте отсутствует унифицированная терминология, нет единых методик оценки рисков, расчета страховых премий и выплат при наступлении страхового случая, нет единой процедуры урегулирования убытков и т. д. Из-за этого, в частности, бизнес лишен возможности сравнить предложения разных страховщиков и выбрать наиболее оптимальное для себя по наполнению и стоимости — нередко в такой ситуации руководители компаний решают отказаться от киберстрахования.
По мнению Павла Озерова, нужно создать единый центр компетенций для разработки стандартов оценки и сертификации защищенности информационных систем, оценки рисков, других жизненно необходимых стандартов и методик, а также для сбора и анализа информации по инцидентам. Также необходимо разработать единый механизм страхования с унифицированными терминологией, правилами, формами документов и процедурами — это облегчит взаимодействие страховщиков не только с клиентами, но и между собой. Этот вопрос может решить пул киберстраховщиков — они в первую очередь заинтересованы в унификации этого направления страхования. Этот же пул может решить и проблему ограниченности страховых лимитов через сострахование в комфортных для себя долях. И третье направление работы — совершенствование законодательной базы. Нужно унифицировать и закрепить законодательно основную терминологию киберстрахования и его базовые принципы, расширить перечень отраслей, для которых киберстрахование должно стать обязательным, ввести стимулирующие налоговые льготы для компаний, страхующихся от киберрисков, перенести ответственность за киберриски или ее часть на интеграторов, разработать нормативную базу для параметрических продуктов и т. д.
Схожей точки зрения придерживается и исполнительный директор АО «СОГАЗ» Анар Бахшалиев, который в своем выступлении на конференции назвал одним из тормозящих развитие рынка факторов конфликт интересов бизнеса и страховщика на этапе андеррайтинга: компании стараются не допускать андеррайтеров в периметр своих систем кибербезопасности и не дают им исчерпывающий доступ к данным, что не позволяет адекватно оценить защищенность систем и потенциальные риски. Также он отметил необходимость трансформации рынка: «Рынок киберстрахования — это небольшой рынок сделок, с долей менее 0,1%. Этот „бутиковый рынок“ не может быстро стать массовым и занять значимую долю без форсированного роста инвестиций капитала со стороны страховщиков. Для обеспечения позитивной динамики осознанного приобретения и формирования массового рынка необходимы простые, понятные продукты, в том числе с цифровым клиентским путем. Такие продукты способны обеспечить хорошие темпы роста рынка киберстрахования, а рост объема рынка позволит страховщикам больше в него инвестировать своим капиталом. Отдельно хочу отметить, речь идёт об осознанно приобретаемых продуктах с клиентской ценностью. При реализации такого подхода рынок осознанного кибер страхования имеет все шансы удвоиться к 2027 г.».
