«Ростелеком Солар» сообщил об исследовании о киберрисках и их | Телега страховщика

«Ростелеком Солар» сообщил об исследовании о киберрисках и их страховании.

В первой половине 2022 года было проведено исследование экспертами. Было опрошено около 400 респондентов, включая представителей госсектора и коммерческих организаций из сфер нефтегаза, металлургии и горнодобывающей промышленности, финансов, транспорта, ретейла и ТЭК.
Ключевые тезисы:
⁃ 6% респондентов уже пользуются услугой страхования киберрисков, а 21% планирует воспользоваться услугой в будущем;
⁃ 2/3 из тех, кто уже страхует риски, - это представители ИТ и финансовой отрасли;
⁃ респонденты считают, что киберстраховка сделает компанию более привлекательной для инвесторов, повысит уровень ее защищенности и поможет быстрее восстановиться после инцидента; -для 33% основной барьер для внедрения киберстраховки - отсутствие бюджета;
⁃ 1/3 респондентов готовы к подорожанию услуг ИБ за счет страховки на 10%.

Отметим, что страхование от кибер-рисков в нашей стране носит какой-то специфический характер. Прежде всего, надо вывести за скобки коробочные продукты, которые продаются через банковский канал продаж для корпоративных клиентов (как правило, МСП) в качестве дополнительной «услуги» при кредитовании. Здесь количество договоров может измеряться сотнями тысяч, а убыточность близка к нулю процентов. Не будем вслух говорить о навязываемой услуге.

Стоит отдельно смотреть на другие сегменты рынка, где потребность в защите существует, где она осознанна. Тут страхование можно разделить на редкое / единичное количество договоров страхования, которые заключались на большие суммы с проведением детального анализа рисков и с почившим в бозе перестрахованием рисков на международных рынках.
Договоры заключались с рядом крупных (фин) компаний, тщательно прорабатывались и сам процесс заключения договора страхования мог занимать полгода.

Отдельно стоит группа договоров страхования, частью которых было покрытие от компьютерных преступлений. Это комплексные договоры страхования. И рука не поднимается их в полном объёме отнести к страхованию кибер рисков. В целом же сам подход с переносом мировой практики страхования кибер рисков под кальку с включением в покрытие репутационных рисков или покрытия восстановления деловой репутации или отвественности за раскрытие персональных данных не может прижиться в стране.

Компании, которые бы хотели купить серьёзные лимиты по кибер рискам, как правило, не готовы раскрывать информацию в полном объёме о системе ИБ компании, что важно с точки зрения оценки риска, а отсутствие международного перестрахования не позволяет предоставить большие стразовые суммы.
В итоге наличие договора страхования от кибер рисков носит скорее маркетинговый характер - некая галочка о том, что такой договор страхования имеется. Хотя в целом в любом случае основная защита возлагается не на договор страхования, а на собственную ИБ.

Количество договоров страхования может кратно возрасти, и рынок стать совершенно другого масштаба, если государственные органы дадут недвусмысленные рекомендации бизнесу по заключению договоров страхования от кибер рисков.

При этом надо осознавать, что и само страхование таких рисков делится на каско (страхование самого железа, которое может быть выведено из строя из-за кибератак, включая стоимость восстановления ПО, баз данных, информации) и на ответственность перед третьими лицами за возможное раскрытие информации из-за кибератак и взлома ИТ систем.
Заставить страховать железо нельзя, заставить страховать ответственность можно. Но тогда важна и сложившаяся судебная практика с подходами по определению величины претензии и оценке достаточности предпринимаемых мер в области ИБ, которые были направлены на защиты информационных массивов.
В целом, сложно получается.

И массовости без указующего перста не будет. Если об осознанном или вменённом страховании говорить.
А если будут требоваться крупные лимиты, то мы опять упираемся в аппетиты к риску со стороны госперестраховщика - РНПК.