Что можно застраховать
Большинство рисков, которые страховщики включают в программы защиты от киберугроз, можно разделить на три группы:
- целенаправленные хакерские атаки
- внедрение вирусов и вредоносного программного обеспечения
- технические сбои и непреднамеренные ошибки в работе IT-инфраструктуры.
Полис предусматривает выплату страхового возмещения, если эти риски привели к утрате электронных данных и компьютерных программ, перерыву в коммерческой (производственной) деятельности предприятия, неправомерному использованию его вычислительных ресурсов, гибели или повреждению компьютерного и производственного оборудования.
Также страховка защитит от вымогателей - например, когда хакеры шифруют критически важную для предприятия информацию и требуют выкуп за ее разблокировку. Некоторые полисы предусматривают возмещение ущерба деловой репутации в результате киберинцидента и покрывают расходы на защиту, диагностику информационной системы и услуги IT-специалистов.
В страховку можно также включить ответственность перед третьими лицами за вред, причиненный в результате нарушения конфиденциальности.
Есть исключения из страхового покрытия - это, в первую очередь, умышленные или мошеннические действия страхователя. Также возмещение получить не удастся, если ущерб произошел в результате использования нелицензионного программного обеспечения. Не покрывают страховщики и убытки, связанные с человеческим фактором: если страхователь не заблокировал или не отменил сертификат электронной подписи после атаки, например, или не устранил недостатки в периметре информационной безопасности, из-за чего произошла повторная атака.
Сколько можно потерять
Ежегодные прямые убытки компаний в результате кибератак, по оценкам "АльфаСтрахование", составляют более 100 млрд рублей. Реальный масштаб потерь оценить сложно, т.к. около 80% инцидентов остаются неизвестными: бизнес неохотно раскрывает информацию как о самом факте атаки, так и о понесенном ущербе. Средний ущерб российских компаний от действий хакеров в 2023 году составил около 20 млн рублей, посчитали специалисты "РТК-Солар".
Самый большой ущерб нанес появившийся в 2017 году вирус Petya (также известный как NotPetya и ExPetr) - потери от него оценили более чем в 10 млрд долл. Но более известным и масштабным стал вирус WannaCry в - в том же 2017 году он атаковал компьютеры, работающие на операционной системе Microsoft Windows, в 150 странах мира. Потери от него составили 1 млрд долларов.
Чем крупнее компания, тем, как правило, она интереснее злоумышленникам. В 2013 году, например, хакеры атаковали аккаунты пользователей Yahoo, в результате чего "утекло" около 3 млрд учетных записей. В 2020 году та же участь постигла 267 млн пользователей Facebook (запрещен в РФ; принадлежит корпорации Meta, которая признана в РФ экстремистской).
Кому нужна страховка
Пока киберстрахование в России остается нишевым продуктом - по оценкам страховщиков, его предлагают всего несколько компаний, а страхуют такие риски около 5% предприятий. При этом, по оценкам Всероссийского союза страховщиков, в 2023 году количество кибератак выросло на 11% по сравнению с 2022 годом.
Страховщики выделяют пять основных последствий, к которым может привести киберинцидент:
- ущерб информационным системам и данным
- расходы на расследование
- ущерб имуществу, включая перерыв в производстве
- ответственность перед третьими лицами
- списание денежных средств.
В последнее время спрос бизнеса на киберстрахование начал расти, что эксперты связывают с ростом количества киберугроз и тем, что компании начали лучше осознавать риски. Как правило, страхуют киберриски крупные организации, обладающие значительными бюджетами и распределенной IT-инфраструктурой. Среди отраслей лидирует финансовый сектор.
В 2023 году, по данным Positive Technologies, 17% "жертв" кибератак среди организаций было в промышленности, 15% пострадавших - госучреждения, 11% - медицинские учреждения, 8% - финансовые организации. В этом году, как прогнозируют эксперты, организации столкнутся с увеличением числа атак вымогателей и новыми утечками конфиденциальных данных. Мошенники начали трансформировать подходы к реализации подобных атак и зачастую успешно достигают запланированных целей, предупреждают специалисты.