Один из важных вопросов, который сейчас стоит для экономики — это киберстрахование, сообщил глава Всероссийского союза страховщиков (ВСС) и Российского союза автостраховщиков (РСА) Евгений Уфимцев на Уральском форуме по кибербезопасности. Он подчеркнул, что этот вопрос уже «перезрел». 

За последний годы в России наблюдается взрывной рост утечек персональных данных, заявил на круглом столе глава НСИС Николай Галушин. С 2021 по 2025 год утекло 1,7-3,3 млрд записей.

Ранее обсуждался вариант, чтобы за каждую утекшую персональную запись человек получал 5 тыс. рублей. Однако, учитывая объемы данных в интернете, в случае таких выплат сумма компенсаций дошла бы до 16,5 трлн рублей, поэтому такой подход неправильный, считает Николай Галушин. 

По его мнению, человек должен получать выплату, если будет доказано, что утечка привела к убыткам с его стороны. Однако нужно разделять, где информация просочилась в интернет из-за «разгильдяйства», а где за это должна нести ответственность компания и работать страхование. 

Кроме того, полной защиты не бывает, все равно есть риски взлома, отметил технический директор по развитию отрасли Positive Technologies Алексей Сидорюк. Наиболее эффективная модель была бы в коллаборации защищенность от киберрисков, настройки всех систем и проверки угроз, а также страхования остаточных рисков, которые все равно есть даже если заказчик все делает правильно. 

Сейчас идет рост атак на госструктуры, произошли публичные кейсы, когда компании потеряли крупные суммы. При этом 72% всех кибератак на пространстве СНГ приходится именно на Россию, подчеркнул спикер. 

Любая компания имеет предел устойчивости к взломам. В основном атаки происходили в торговле и производстве, а сейчас несколько сместились к финансам и страхованию, а также связи — основные угрозы там, рассказал генеральный директор ГК Зетта Страхование Игорь Фатьянов. Если раньше взломы носили коммерческий характер, то последние два года речь именно о диверсиях и целевом характере атак. Сейчас страдают объекты критической инфраструктуры, убытки из-за нападений также выросли. Из-за сложившейся ситуации Россия волей-неволей должна быть впереди. Страхование выглядит как наиболее логичный вариант покрытия рисков, банковские гарантии в таких случаях практически никогда не работают, подчеркнул эксперт. 

— Мне кажется, государству нужно уже включаться в данный процесс в части каких-то рекомендаций, требований, а может быть, даже и обязательности по каким-то отдельный вещам, для того, чтобы киберстрахование действительно активно использовалось, — сообщил Евгений Уфимцев. 

Банк России готов обсуждать вмененное страхование, обязательное — не готов принципиально, ответил на круглом столе директор департамента страхового рынка ЦБ Илья Смирнов. Однако, по его словам, для начала обсуждения нужно понимать, о каком продукте идет речь, что мы страхуем и главное — зачем это нужно обществу. Нужно понимать — мы страхуем граждан и готовы выплатить им те самые 16 трлн, компании или потенциальных клиентов. С этим нужно определиться в концепции, отметил Илья Смирнов.  

Глава ВСС отметил: обратить внимание нужно на два направления — страхование рисков повреждения инфраструктуры: восстановление оборудования, помощи в восстановлении после кибератак или киберугроз, и нанесения вреда самой организации. А также — страхование от того вреда, который нанесла утечка данных. 

В ВСС готовы представить регуляторы и рынку свои предложения, сообщил Евгений Уфимцев. По итогам этой рабочей группы союз подготовит свою инициативу. Речь идет именно о вмененной форме, с фокусом на инфраструктуру, уточнил директор по рискам «СберСтрахования», председатель рабочей группы ВСС Владимир Новиков

Он добавил: мы используем страхование не для компенсаций, а для обеспечения высококлассных услуг по кибербезопасности для всех компаний. А с защитой инфраструктуры будет и меньше утечек персональных данных. 
 

К 2027 года рынок может вырасти до 5 млрд рублей, оценил руководитель продукта «Киберстрахование» АО «СОГАЗ» Дмитрий Добродей. Он растет не только за счет страховщиков, но и за счет порога риска. Убытки по киберинцидентам достигают десятков миллионов в день. Это все предпосылки к росту рынка, считает эксперт.

Защитить себя заставить нельзя, добавила заместитель директора по корпоративному бизнесу по имущественному страхованию АО «АльфаСтрахование» Татьяна Лаврова. Однако инциденты на инфраструктуру компаний с персданными влияют на многих людей, появляются риски для целого ряда сфер. Поэтому страхование тут нужно, считает она.  

Завершающим элементом для защиты любой организации, инфраструктуры и системы должна быть страховка. Рынок к этому готов, и союз предложения подготовит, заключил на круглом столе Евгений Уфимцев. 

— Ситуация с утечками персональных данных давно перестала быть просто статистикой. По данным «Перспективного мониторинга», только за январь этого года в открытый доступ утекло более 398 миллионов записей россиян. И мы видим последствия уже по тому, как изменилось качество мошеннических звонков: злоумышленники не просто знают номер телефона, они обращаются по имени-отчеству, в курсе наших покупок, могут назвать код от домофона. Это прямое следствие того, что наши данные стали фактически общественным достоянием, а компании, которые их собирают, зачастую относятся к защите формально. Рынок явно требует оздоровления, и подход здесь должен быть серьёзным и жёстким, — подчеркнул партнер 5D Consulting Алексей Карпунин. 

Он добавил: если цена ошибки для маркетплейсов, банков и операторов связи станет ощутимой, а страховщики начнут диктовать им стандарты безопасности — это и будет тем самым взрослением отрасли. Опыт других стран здесь показателен: например, недавний штраф корейского регулятора в 21,4 млрд вон (около 1,3 млрд рублей) в адрес Louis Vuitton Korea за утечку данных клиентов — уже достаточно серьёзный сигнал рынку. Современный мир изменился: персональные данные сегодня — такой же критический актив, как и деньги на счетах. И относиться к ним иначе больше нельзя. Поэтому важно не просто принять закон, а сделать так, чтобы он заработал правильно.

Причем важно защитить от утечек и людей. Однако установление последовательности событий, при которых произошла утечка персональных данных, зачастую представляет собой нерешаемую задачу, считает независимый экономист Андрей Бархота. Поэтому, по его мнению, человеку стоит осуществлять страховую выплату в любом случае (понес ли он непосредственные убытки из-за утечки или нет). Однако размер компенсации может быть диверсифицированным, с применением различных дисконтом, предложил он. Так выплата может достигать 500 тыс. рублей.

Логичнее совершать выплату по факту утечки, так как потери и последствия могут носить долгосрочный характер и, чем больше времени прошло, тем сложнее будет доказать эту взаимосвязь, отметил финансовый советник и основатель Rodin.Capital Алексей Родин.

Обычно выплата покрывает ущерб, однако в случае персональных данных достаточно сложно дать оценку и скорее всего надо делать привязку к объему бизнеса и информации, которая потенциально может быть интересна мошенникам в части персональных данных, добавил он. 

В то же время эксперты сходятся во мнении, что страхование в этой сфере необходимо. И в новом законодательстве нужно продумать все вопросы, которые участники рынка подняли в обсуждении. Так страхование будет работать вместе с системами по кибербезопасности, защищать компании и граждан.