Потери бизнеса от кибератак в РФ составили более 10 млн рублей в год

Атаки на информационные системы компаний приобретают все более угрожающие масштабы. Объем потерь от утечки данных за четыре года вырос почти на 30 процентов, достигнув 4 миллионов долларов на один инцидент. Такие данные приводит IBM Security, она провела масштабное исследование на тему финансового ущерба компаний от хакерских атак. Потери крупного российского бизнеса от действий киберпреступников составляют более 10 миллионов рублей в год, подсчитал российский технологический инвестор Денис Черкасов. По данным "Лаборатории Касперского", в 2016 году 42 процента российских компаний хотя бы раз теряли информацию из-за кибератак.

На борьбу с последствиями киберпреступлений тратятся баснословные деньги. Крупным компаниям ликвидация одного хакерского нападения обходится в 11 миллионов рублей, средним и малым - в 1,6 миллиона. Такие данные приводятся в исследовании Allianz, и делается вывод, что 67 процентов отечественных компаний не готовы к кибератакам.Как рассказали "РГ" в компании Positive Technologies, в банковской сфере за последнее время произошло несколько крупных инцидентов, связанных с деятельностью организованных кибергруппировок, рассылавших фишинговые письма банкам, с помощью которых получали доступ к инфраструктуре и выводили денежные средства. Результатом подобной рассылки стал инцидент в одном из банков СНГ, когда за одну ночь из его банкоматов было похищено более 2 миллионов в пересчете на рубли.

В прошлом году 42 процента российских компаний хотя бы раз теряли информацию из-за кибератак

Если в США треть компаний в обязательном порядке застрахована от киберугроз, в России этот рынок лишь зарождается. Он представлен в первую очередь западными страховщиками, наиболее известные среди них, как сообщили "РГ" в Российском клубе финансовых директоров, AIG, GrECo JLT Group, "Горизонт", "Арсеналъ".

"Для формирования рынка киберстрахования в России необходима тщательно продуманная государственная политика в этой области, в том числе и на уровне крупных игроков рынка, - сообщил "РГ" партнер, руководитель направления по развитию технологий PwC в России Тим Клау. - Киберстрахование может быть эффективным инструментом для снижения рисков информационной безопасности, его нужно рассматривать в контексте корпоративных программ управления рисками".

Эксперты считают, что страхование киберугроз пока мало популярно. "Когда перед компаниями стоит выбор, на что потратить деньги: на улучшение защиты или на страховку, то выбирают, как правило, первый вариант", - сообщил "РГ" управляющий партнер BDO Unicon Outsourcing Сергей Тиунов. Рынок страхования от хакерских атак в России только-только формируется. Не так давно "Страховой брокер Сбербанка" запустил программы защиты цифрового бизнеса и операторов данных.

Страхование - это способ уберечься от финансовых потерь в случае утечки персональных данных

В одной из страховых компаний "РГ" рассказали, что тормозит развитие этого вида страхования в первую очередь стоимость таких полисов и трудность в оценке рисков, принимаемых на страхование. Именно этот вопрос сейчас активно обсуждается в среде страховщиков. Спрос на такие страховые полисы в России есть. По данным гендиректора сети многофункциональных центров "Мой кабинет" Владимира Трофименко, рынок информационной безопасности растет примерно на 25 процентов в год. Продукт актуален в первую очередь для операторов связи, энергетических, коммунальных компаний и банков, то есть для всех видов бизнеса, имеющих базу персональных данных. В их случаях взлом, утечка или потеря которой может привести не только к репутационным рискам, но и к реальным расходам на восстановление базы.

- Страховые компании предлагают защиту не от кибератак, а от последствий проникновения хакеров в систему управления или иные электронные сервисы компаний, - пояснил "РГ" официальный представитель крупной страховой компании Юрий Нехайчук. - И в данном случае страхование - это способ уберечься от финансовых потерь в случае утечки персональных данных, финансовых или иных сведений о бизнесе.

Информационная безопасность - особый объект страхования. "Практически невозможно оценить ущерб и очень трудно определить, соответствует ли уровень безопасности компании лучшим практикам, была ли допущена халатность или специалисты предприняли все возможные меры, - считает соучредитель и технический директор компании Balabit Болаж Шейдлер. Эти два вопроса усложняют процесс моделирования ситуаций, связанных с кибербезопасностью. Степень потенциального расхождения между ожиданиями клиента и возможностями страховой компании может быть высокой.

Темп развития киберугроз диктует нам необходимость новых дополнительных инструментов минимизации рисков, уверен директор по безопасности SPSR Express Дмитрий Мананников. Поскольку рассчитывать на одни системы защиты уже не приходится, так что однозначно спрос на подобные продукты есть. Но есть очень важный нюанс - страхователи стараются не афишировать заключенные договоры, так как считают, что наличие такой информации может быть косвенным образом истолковано как слабость компьютерной защиты банка или финансовой компании и вызвать повышение интереса у преступников, сообщил "РГ" руководитель Департамента страхования и экономики социальной сферы Финансового университета при Правительстве РФ Александр Цыганов и добавил: "Практически все крупные российские страховщики имеют возможность предложить такой полис, существует развитая практика перестрахования. Перед заключением договора страховщик всегда проводит исследование систем безопасности (сюрвей) и дает свои рекомендации по предупредительным мероприятиям, которые при заключении договора становятся обязательными для страхователя. Это также повышает защищенность на случай хакерских атак".

Комментарий

Евгений Лифшиц, руководитель агентства кибербезопасности:

Потери от кибератак не поддаются подсчетам, так как редко какие компании предают огласки факты взлома. Это сильнейший удар по имиджу и деловой репутации. В среднем компании тратят на IТ до 3-4 процентов от операционных затрат. Малая доля этих средств приходится на информационную безопасность. Конкретные суммы зависят от бизнеса. Рынок защиты от киберугроз я бы оценил в 60 миллиардов рублей, что менее 10 процентов от общего ИТ-рынка России. Многие зарубежные компании страхуют киберриски в обязательном порядке, причем это не очень дорогой продукт.