В правительстве и IT-отрасли России активно обсуждается инициатива введения обязательного страхования компаний от кибератак, учитывая рост числа таких атак. Эту идею выдвинул Совет Федерации, и она также получила поддержку Министерства цифрового развития (Минцифры). Однако на данный момент еще нет четких критериев оценки ущерба, который компании могли бы получить в результате кибератаки и за который следовало бы компенсировать. Центральный банк, который регулирует рынок страхования, считает, что для создания единых требований к такой услуге необходимо наработать достаточный опыт в этой области.
Эта инициатива позволила бы создать рынок страхования от киберугроз в России, аналогично тому, как обязательное страхование гражданской ответственности автовладельцев (ОСАГО) обеспечивает финансовую защиту автомобилистов в случае ДТП. Киберстрахование, в свою очередь, предоставило бы компаниям финансовую защиту в случае кибератак и утечек данных.
Инициатива о создании механизма страхования компаний от кибератак начала обсуждаться публично летом, и парламент намерен подробно разработать этот механизм в ближайшее время.
Согласно информации, предоставленной Артемом Шейкиным, сенаторы на данный момент активно работают над созданием механизма обязательного киберстрахования рисков и угроз (ОКРУГ). Они получают обратную связь и консультации от профильных министерств, экспертов и формируют концепцию законопроекта. Также отмечается, что часть тезисов этого законопроекта будет зависеть от окончательной редакции закона об оборотных штрафах, так как идея создания киберстрахования была направлена на борьбу с утечками персональной информации.
IT-отрасль приветствует эту инициативу с интересом, поскольку ранее не существовало подобного механизма на законодательном уровне. Компании по-прежнему подвергаются риску кибератак, и в случае инцидентов им не предоставляется никакой компенсации. Эта идея вызвала активные обсуждения среди экспертов и представителей бизнеса. Киберугрозы, такие как взломы, шифровальщики, фишинг или DDoS-атаки, становятся все более актуальными, и предложение о киберстраховании может помочь компаниям лучше защитить себя от таких атак. Планируется внести законопроект в Государственную Думу после создания необходимой нормативной базы.
Киберстрахование, согласно Дмитрию Хомутову, директору компании Ideco, призвано обеспечивать компенсацию финансовых затрат бизнеса в случае инцидентов, связанных с нарушением кибербезопасности. Оно включает в себя покрытие расходов на юридическую и PR-помощь, возмещение убытков клиентам и контрагентам, а также восстановление работоспособности информационных систем. Кроме того, киберстрахование сопровождается экспертной поддержкой, включающей в себя анализ уязвимостей, разработку регламентов по противодействию и реагированию на киберугрозы.
Главное преимущество киберстрахования заключается в том, что оно предоставляет финансовую защиту в случае успешной кибератаки. Это особенно важно, учитывая масштабы потенциальных убытков от таких атак. Например, компания может потерять доступ к критическим данным или столкнуться с утечкой персональных данных клиентов. Киберстрахование помогает предприятиям обезопасить себя от этих угроз и обеспечить финансовую поддержку в случае несчастного случая.
В последние годы интерес к страхованию компаний от киберугроз и последствий кибератак значительно возрос в России. Этот интерес начал проявляться с 2022 года, когда количество кибератак на российскую IT-инфраструктуру значительно увеличилось, а случаи утечек персональных данных стали более частыми. Общее число кибератак на российские компании в апреле-июне увеличилось почти в два раза, достигнув 12,7 тысяч инцидентов. IT-компании стали особенно уязвимыми, с увеличением атак вчетверо, достигнув 4 тысяч. Доля IT-компаний среди всех жертв хакеров выросла до 17%. Обсуждение механизма страховых выплат компаниям в случае утечек данных и других инцидентов началось в контексте законопроекта об оборотных штрафах, который разрабатывается Минцифрой, чтобы ужесточить работу с персональными данными компаний в России.
Спрос на страхование киберрисков со стороны российских компаний значительно вырос в последние два года, более чем на 20%. В ближайшие несколько лет этот сегмент может достичь объема 8–10 миллиардов рублей. Рост киберрисков сделал спрос на такие виды страхования более осознанным и актуальным для бизнеса.
Зарубежный опыт показывает, что рынок киберстрахования активно развивается. По оценке индийской консалтинговой компании MarketDigits, мировой рынок киберстрахования в 2023 году составляет $13,33 миллиарда долларов, и к 2030 году ожидается достижение отметки в $84,62 миллиарда среднегодовым темпом роста в 26,1%. Пандемия COVID-19 стала одним из факторов стимулирования роста этого направления, так как цифровизация бизнеса и переход к удаленной работе сделали организации более уязвимыми в сфере кибербезопасности.
Однако стоит отметить, что в некоторых странах, таких как Сингапур, часть компаний пока не рассматривает приобретение страховки от кибератак. Это связано с тем, что некоторые компании не видят серьезных угроз со стороны хакеров и не хранят конфиденциальные данные в интернете. Также высокая стоимость страховых пакетов и отсутствие единого стандарта для классификации потерь от кибератак сдерживают рост этого вида страхования.
В России интерес к киберстрахованию также растет, особенно среди компаний, которые обрабатывают большие объемы пользовательских данных, таких как маркетплейсы, интернет-гиганты, банки, страховые и медицинские учреждения. Субъекты критической инфраструктуры также начинают обращать внимание на киберстрахование, осознавая потенциальные риски от кибератак на их объекты. Введение законодательных мер, подобных оборотным штрафам за утечку персональных данных, может способствовать дополнительному развитию этой отрасли в России.