Промышленные предприятия понимают необходимость страхования киберрисков

Эксперты обсудили состояние рынка и особенности страхования предприятий от последствий киберугроз.

В II квартале 2024 года в России вредоносные объекты были заблокированы на 22,5% компьютеров АСУ, согласно исследованию «Ландшафт угроз для систем промышленной автоматизации». Интенсивность кибератак на промышленные предприятия и масштабы возможных последствий для жертв заставляют компании не только совершенствовать системы кибербезопасности, но и искать дополнительную защиту от киберугроз. Одним из ключевых инструментов системы управления рисками является киберстрахование. Готовность российского рынка к такому виду страхования обсудили на Kaspersky Industrial Cybersecurity Conference, которая прошла с 25 по 27 сентября в Сочи.

Многие современные российские компании достигли высокого уровня зрелости — они вышли на качественно новый уровень с точки зрения кибербезопасности и готовы дополнительно страховаться от потерь в результате кибератак. Чаще всего это представители реального сектора экономики — предприятия из горнодобывающей, металлургической, нефтегазовой, нефтехимической, энергетической отраслей. Об этом заявил ведущий эксперт по исследованиям угроз информационной безопасности «Лаборатории Касперского» Владимир Дащенко. По его словам, некоторые компании в России уже оформляют киберстраховые полисы¹. Такой полис — не стандартное решение вроде ОСАГО, а индивидуальный продукт, в персонализации и конфигурации которого, помимо компании-страхователя и страховщика, участвуют страховой брокер, а иногда еще и компания по кибербезопасности — в качестве консультанта брокера, страхователя или страховой компании.

Киберстраховой полис — как индивидуальный пошив костюма, до кройки которого проводятся все замеры и обговариваются все пожелания и ограничения. Киберстрахование охватывает не только ИТ, но и бизнес-процессы, и страховая компания должна убедиться в зрелости промышленного предприятия. Чтобы при наступлении страхового случая оно получило компенсацию, нужно заранее обсудить предмет страхования, риски и то, как они будут покрываться. Все должно быть учтено.

Владимир Дащенко, ведущий эксперт по исследованиям угроз информационной безопасности «Лаборатории Касперского»

Пока у страховых компаний отсутствует экспертиза для проведения аудита системы информационной безопасности предприятий. Для заказчика, с одной стороны, это преимущество — упрощается процесс оформления договора, а с другой — недостаток, ведь организации с высоким уровнем зрелости рассчитывают на снижение стоимости полиса. Страховые компании же, не имея достаточной возможности оценить уровень зрелости и степень защищенности клиентов, не могут полноценно учитывать этот параметр в ценообразовании. Об этом рассказал руководитель направления практической безопасности «Норильского никеля» Александр Ардаков. Он также отметил, что его организация одной из первых в стране оформила полис киберстрахования, но в процессе столкнулась с рядом ограничений, связанных со снижением емкости рынка страхования в России, — в этот период российские страховщики потеряли возможность перестраховываться на Западе и это повлияло на возможность страхования от ряда значительных рисков. Но сейчас ситуация стабилизировалась. Благодаря поддержке государства страховой рынок сохранил устойчивость, многие компании, взяв лучшее из мировых практик, адаптировались к текущим реалиям. Пример такой адаптации привел эксперт по киберрискам и киберстрахованию, директор по маркетингу страхового брокера Remind Армен Гюлумян. По его словам, договор киберстрахования, как правило, не покрывает возможный физический ущерб в результате кибератаки, хотя для промышленных предприятий это как раз самые катастрофические из возможных сценариев. При этом страховые компании покрывают подобные сценарии с большими суммами в рамках классических видов страхования, например, страхования имущества.

При киберстраховании важно учитывать множество нюансов. В частности, как заметил Александр Ардаков, полис не покрывает расходы на регуляторные штрафы, возникающие вследствие киберинцидента, а также выплаты злоумышленникам, если организация примет такое решение в случае шифрования инфраструктуры. Армен Гюлумян пояснил, что это законодательные ограничения, и они вполне обоснованы. Важно понимать, что суммы потерь от простоя производства и задержек в отгрузке продукции в результате киберинцидента могут многократно превышать все остальные убытки, в том числе штрафные санкции. Также он напомнил и о неочевидной выгоде для предприятий. Кибератаки могут затрагивать основные активы и иметь физические последствия, а у страховых компаний и страховых брокеров накоплен огромный опыт работы с промышленными инцидентами, и эту экспертизу, по словам Армена Гюлумяна, можно и нужно использовать для более точной оценки рисков и доработки сценариев защиты и реагирования на инциденты, в том числе и в плане кибербезопасности.

1. По данным ПСБ, общий рост объема премий по направлению киберстрахования в России за 2023 год составил около 80%, примерно до 1,3 млрд рублей. Чаще всего такие программы покупают крупные клиенты из банковской сферы или промышленные предприятия. ↩︎