В России начали формировать единые правила для страхования от кибератак. Всероссийский союз страховщиков (ВСС) разработал методику оценки ущерба и направил ее в Минцифры. В документе предлагается определить общие подходы к добровольному страхованию киберрисков: что считать объектом страхования и страховым случаем, а также какие расходы и убытки могут компенсироваться компаниям.

В ВСС предложили включить в страховое покрытие риски повреждения и утраты электронных данных, компьютерных программ и финансовых активов в цифровой форме. Методика также охватывает ответственность бизнеса перед третьими лицами, в том числе при разглашении персональных данных, непредвиденные расходы, связанные с устранением последствий атаки, а также потери из-за перебоев в работе информационных систем. При этом киберстрахование останется добровольным. 

В национальной страховой информационной системе также предложили ввести единую методологию оценки защищенность компании до заключения договора. Предполагается создать общий стандарт на базе ГОСТов в сфере информационной безопасности. А затем — адаптировать его для промышленности, торговли и малого бизнеса.

Сейчас одной из ключевых проблем, сдерживающих развитие киберстрахования, является «размытость» критериев оценки риска, рассказал директор по информационной безопасности НСИС Алексей Янов. Разные страховщики используют собственные опросники и методики, что приводит к субъективизму при расчете премии и, главное, к сложностям в перестраховании и урегулировании убытков.

По инициативе, страховщики смогут получать итоговую оценку уровня защиты компании без доступа к чувствительной технической информации. Для крупного бизнеса ее могут рассчитывать на основе данных систем мониторинга, а для малого и среднего — за счет прохождения чек-листа. Это обеспечит прозрачное ценообразование. А в дальнейшем позволит оперативно урегулировать убытки — при наступлении страхового случая у экспертов будет слепок соответствия ГОСТу до атаки, что позволит в разы быстрее фиксировать факт взлома, оценивать ущерб и отсекать мошенничество, уверены в НСИС.

Киберстрахование сейчас активно развивается. В «АльфаСтрахование» отметили удвоенный рост числа запросов на покупку таких полисов с начала года. При этом количество заключённых договоров увеличилось на четверть. Особенно вырос интерес после ряда резонансных кибератак на крупные компании, сообщала заместитель директора по корпоративному страхованию организации Татьяна Лаврова. 

Она подчеркнула: для страховщика очень важна оценка риска защищённости бизнеса перед заключением договора. Так получится предложить более дешевые продукты тем, кто вложился в свои системы и у кого защита на высоком уровне. 

Число запросов год к году растет регулярно, подтвердила руководитель отдела страхования корпоративной ответственности и финансовых линий компании «Абсолют Страхование» Алина Растошинская. По ее словам, это связано с актуальностью темы, ростом риска и числа атак. 

Это действительно перспективное направление, потому что количество киберугроз растет и уже сам бизнес ставит эту проблему в одну из самых актуальных, особенно те компании, где есть обработка персональных данных, подчеркнул финансовый советник и основатель Rodin.Capital Алексей Родин. 

— Ко мне как к консультанту всё чаще приходят не с вопросом «нужно ли нам это вообще», а с конкретной задачей — оценить киберготовность под будущий полис. Год назад такие обращения были единичными. По рынку картина та же: с начала 2026 года число запросов на киберстрахование выросло примерно вдвое к тому же периоду прошлого года, — рассказал гендиректор «Сайбер Бизнес Консалтинг» Дмитрий Лившин. 

По его словам, спрос также подгоняет регуляторное давление. Точка перелома — это оборотные штрафы за утечки персональных данных, вступившие в силу в мае 2025 года. Такая санкция может достигать 3% годовой выручки. Наложились также рост числа атак и их смещение на критически важные отрасли: в первом квартале 2026 года на объекты критической инфраструктуры пришлось больше трёх четвертей всех атак. Плюс стало известно о выплатах на сотни миллионов рублей. Это доказало, что полис — не просто декларация.

Предложения НСИС и ВСС фактически могут снять главный тормоз для рынка — методологический кризис, когда стороны буквально говорят на разных языках. Общий стандарт и объективная формула — это то, без чего страховщик не может посчитать риск, а значит, и назначить разумную стоимость, подчеркнул Дмитрий Лившин.

Однако ГОСТ, который может лечь в основу разработки, — это банковский стандарт, и, даже вычистив из него эквайринг и смежную специфику, его не так просто перенести на МСП и промышленность. Нужна содержательная переработка, а не просто косметические изменения. Вторая оговорка ещё важнее, продолжил эксперт. Оценка по чек-листу — это всегда соответствие на бумаге, а не реальная устойчивость к угрозам. 

— Я регулярно наблюдаю такие инфраструктуры, где документация находится в идеальном порядке, средства защиты сертифицированы, а при первом же пентесте всё ложится за несколько часов. Стандарт полезен как нижняя планка или общий словарь, но, если сертификат киберготовности начнут принимать за гарантию защищённости, то проблемы неизбежно возникнут у страховщика, который по этой оценке рассчитывал премию, — отметил Дмитрий Лившин.

По его мнению, логично учитывать в оценке результаты пентестов, киберучений, данные центра мониторинга (SOC) — тогда премия будет соответствовать фактическому состоянию защиты, обновляясь вместе с ним. 

Действительно, полезно будет ввести механизм динамической оценки рисков, согласился ведущий аналитик АМаркетс Игорь Расторгуев. Киберустойчивость — не статичный показатель, и такие факторы, как патч-менеджмент, обучение персонала и история инцидентов, должны влиять на тариф в течение действия полиса. В оценку важно включать не только технические параметры, но и зрелость процессов информационной безопасности — например, наличие плана реагирования, регулярное тестирование на проникновение и управление уязвимостями. А интеграция с доверенными государственными реестрами и сервисами позволит верифицировать отдельные параметры без дополнительной нагрузки на бизнес.

Целесообразно также ввести отраслевые поправочные коэффициенты, считает Игорь Расторгуев. Он пояснил: риски остановки конвейера и недоступности платёжной инфраструктуры принципиально различаются, и формула должна это отражать. 

Стоимость полиса для компании, работающей с персональными данными физических лиц будет в разы дороже, поскольку именно этот массив данных предоставляет наибольший интерес, отметил Алексей Родин. Например, по самым скромным подсчетам ущерб крупного бизнеса может достигать 50 млн рублей от одной кибератаки с учётом прямых операционных потерей и затрат на восстановление. 

Наконец, стоит предусмотреть механизмы стимулирования. Например, скидки за достижение целевых показателей киберустойчивости (прохождение аудита, наличие актуального плана реагирования). Это будет мотивировать компании системно повышать защищённость, уверен Игорь Расторгуев.

Сейчас страховка из единичного продукта уже стала инструментом защиты от рисков. В дальнейшем рынок будет развиваться не только по охвату клиентов, но и по глубине покрытия сценариев атак, уверен Алексей Родин. 

Понятный объект, единая формула и прозрачная премия дают сопоставимость и доверие, что позволит расширить рынок, отметил Дмитрий Лившин. Сегодня он во многом держится на редких крупных полисах: крупнейший договор, о котором известно, заключил «Норникель» на 2-3 млрд рублей. Это сопоставимо со всем годовым объёмом киберстрахования. Если методика заработает, то возникнет шанс уйти с уровня уникального энтерпрайз-проекта к серийному продукту для среднего бизнеса.