Атака с компенсацией: готов ли бизнес страховать свои киберриски и почему

Атака с компенсацией: готов ли бизнес страховать свои киберриски и почему

Атака с компенсацией: готов ли бизнес страховать свои киберриски и почему

Компании задумываются о страховании собственных киберрисков, осознавая, какой удар по их бизнесу могут нанести действия киберпреступников. Страховка же помогает быстрее восстановиться после инцидента, компенсировать потери, в целом повысить уровень киберзащиты организации.

 

 

 

 

 

  1. Введение
  2. Об исследовании
  3. Кто уже страхует киберриски?
  4. Кто планирует внедрить услугу?
  5. Цена и другие преграды
  6. Выводы

Введение

На рынке ИБ всё чаще встречается услуга киберстрахования, или страхования киберрисков. Первые общедоступные предложения появились в России в 2017 году, а уже в 2020-м эксперты зафиксировали пятикратное увеличение спроса на услугу. В 2021 году тенденция сохранилась и спрос вырос ещё на 60 %. На такой всплеск во многом повлияла пандемия, вынудившая бизнес уйти в онлайн и перевести сотрудников на удалённую работу. Одновременно с этим увеличилась и активность хакеров: только за 2020 год число киберпреступлений выросло почти на 80 %. На этом фоне стало очевидным, что с кибератакой и её последствиями теперь может столкнуться абсолютно любая компания независимо от отрасли и масштаба. Мы решили выяснить, какие компании уже сегодня пользуются услугой киберстрахования и почему, а также что останавливает других от приобретения полиса. Результатами нашего исследования делимся в этой статье.

Об исследовании

Для понимания перспектив развития киберстрахования на российском рынке, ожиданий компаний от услуги, оценки востребованности и анализа уже имеющегося опыта нашими специалистами в первом квартале текущего года был проведён опрос. В число респондентов вошли как коммерческие организации (60 %), так и предприятия государственного сектора (40 %), включая федеральные и региональные органы власти. В число опрошенных попали представители различных сегментов бизнеса (B2G, B2E, B2B, SMB) из крупных городов. В опросе приняли участие представители разных отраслей, таких как нефтегазовая, металлургическая и горнодобывающая промышленность, финансы, транспорт, ретейл и ТЭК.

Кто уже страхует киберриски?

Доля компаний, которые уже пользуются услугой страхования киберрисков, пока невелика: всего 6 %. При этом почти две трети из них — это представители финансов и ИТ, что неудивительно — ведь это две наиболее цифровизированные отрасли. Кроме того, такие компании, как правило, имеют достаточные бюджеты, чтобы направить деньги не только на развитие непосредственно самой системы ИБ, но и на формирование её финансовой защиты в формате страхования киберрисков. При этом в традиционно консервативных отраслях тоже есть потребители этой услуги. Так, 16 % респондентов, страхующих киберриски, приходится на нефтегазовую и электроэнергетическую промышленность, а также на органы госвласти.

Страхуют киберриски, как правило, крупные корпорации и организации, обладающие значительными бюджетами и распределённой ИТ-инфраструктурой. Для них вывод из строя даже отдельных сегментов сети может привести к остановке бизнес-процессов, на восстановление которых требуется много времени. Страховая выплата в этом случае поможет покрыть часть убытков и компенсировать простой.

  • 38 % работающих с услугой компаний отметили, что страхование позволило им быстрее восстановиться после киберинцидента;
  • более 60 % респондентов внедрили этот инструмент для повышения уровня защищённости компании;
  • 2/3 считают, что их компания стала гораздо привлекательнее (для клиентов, партнёров, сотрудников) после внедрения киберстрахования.

Кто планирует внедрить услугу?

Доля тех, кто планирует внедрить услугу в ближайшей перспективе, не так уж и мала: 21 %. Но здесь распределение несколько иное и лидирующую позицию занимают ИТ-компании (33 % респондентов), а представители финансовой отрасли, напротив, несколько отстают (лишь 9 % из них собираются работать со страхованием киберрисков в будущем). Если же говорить о других отраслях, то здесь распределение более ровное: по 13 % на нефтедобывающую, электроэнергетическую отрасли и на ретейл, 11 % — на органы госвласти.

Среди них 63 % считают, что страхование киберрисков поможет повысить уровень защищённости компании. Более трети респондентов рассматривают услугу как способ быстрее оправиться после инцидента. Кроме того, 42 % участников опроса полагают, что услуга будет способствовать возврату инвестиций в ИБ.

Цена и другие преграды

Полученные результаты говорят о том, что и коммерческие, и государственные организации понимают, что в современных условиях потери от кибератак фактически становятся постоянной статьёй расходов. Но, к сожалению, по причине своей дороговизны данная услуга пока доступна лишь ограниченному кругу компаний: 33 % организаций указали этот фактор в качестве основного барьера для её приобретения.

Здесь хотелось бы обратить внимание на важность соотношения вложений непосредственно в саму защиту и в страховку — соблюдение так называемого Security Insurance Balance. Очевидно, что делать бесконечные инвестиции в ИБ, доводя их чуть ли не до абсурда, контрпродуктивно. В то же время нельзя и полагаться исключительно на страховые выплаты в надежде, что они помогут компенсировать все последствия атаки.

Именно поэтому, на наш взгляд, оптимальным решением здесь может стать формирование комплексного предложения «ИБ + страхование» в режиме «одного окна». Если речь идёт о сервисной модели ИБ, то комплексное предложение может быть на 10–15 % дороже изначальной стоимости ИБ-услуг, считают большинство опрошенных. Компания также может строить ИБ по модели «in-house», и тогда она сама обращается в страховую — и здесь сложно рассчитать примерную стоимость услуги, поскольку каждое предложение индивидуально.

 

Рисунок 1. График оптимизации расходов

График оптимизации расходов

 

Вместе с тем на текущий момент не так много организаций (всего 13 %) готовы сменить своего ИБ-провайдера на нового, предлагающего помимо прочего услугу киберстрахования.

Примечательно, что здесь наибольшую готовность демонстрируют компании среднего и малого бизнеса (SMB), а также некрупные представители B2B. В целом SMB на общем фоне проявляет наибольший интерес к услуге киберстрахования:

  • 23 % малых и средних компаний планируют внедрить данный продукт,
  • 16 % готовы сменить ИБ-провайдера при наличии комплексного предложения «ИБ + страхование»,
  • более 55 % рассматривают киберстрахование как финансовый инструмент ИБ.

Такие результаты вполне объяснимы. Для представителей среднего и малого бизнеса даже простая атака со стороны низкоквалифицированных злоумышленников может привести к серьёзным последствиям вплоть до банкротства. При этом стоимость содержания в штате опытного ИБ-специалиста может быть сопоставима с ежегодной страховой премией или даже превышать её размер. Также у небольших компаний менее разветвлённая ИТ-инфраструктура, и смена сервис-провайдера для них — менее сложный и ресурсозатратный процесс, чем, например, для крупных корпораций.

Также от приобретения киберстраховки большинство компаний останавливает тот факт, что эта задача не находится у них в приоритете. И это вполне объяснимо. Для начала надо выстроить комплексную систему ИБ, что связано с выбором провайдера и набора нужных услуг и сервисов, а также их дальнейшей настройкой и наращиванием (при необходимости) системы защиты. И тогда страхование киберрисков, в частности остаточных, станет своего рода финальным штрихом, направленным на повышение общей защищённости компании и её ИТ-инфраструктуры. А «дырявую» инфраструктуру вряд ли кто-то согласится застраховать — или же стоимость полиса будет неоправданно высокой.

Поэтому в первую очередь мы говорим именно о страховании остаточных рисков, то есть тех, закрытие которых становится экономически нецелесообразным. Это и есть тот самый Security Insurance Balance. В таком варианте киберстрахование станет доступным не только для крупных компаний, но и для представителей SMB и банков с базовой лицензией (ББЛ). Последние, будучи представителями финансовой отрасли и вынужденные следовать требованиям регулятора, весьма заинтересованы в подобной услуге.

Если же говорить о других причинах, по которым компании не внедряют услугу киберстрахования, то здесь стоит отметить:

  • непонимание ценности продукта как такового — 20 %,
  • внутренние регламенты компании — 19 %,
  • отсутствие необходимости с точки зрения лиц принимающих решения — 16 %,
  • отсутствие доверия к поставщикам услуг — 6 %.

Очевидно, что на это накладывается также и сложность регламентирования. Особенно это касается длительных инцидентов, когда трудно зафиксировать время и дату начала атаки и доказать её связь с возникшим ущербом.

В связи с тем, что продукт относительно нов, в настоящее время не так много готовых и «обкатанных» решений. Отсюда и определённый скепсис со стороны потенциальных потребителей. По этой же причине не все понимают пользу, которую киберстрахование может принести, и рассматривают его лишь как пустую трату денег и неокупаемые вложения.

И здесь стоит отметить, что 9 % компаний, опрошенных нами, столкнулись с той ситуацией, когда пожалели, что на момент наступления киберинцидента у них не был оформлен киберполис, благодаря которому они могли бы восстановиться гораздо быстрее.

Выводы

Как видно, интерес к услугам страхования киберрисков со стороны бизнеса есть. Как мы уже отметили, в компаниях различных уровней и сфер деятельности формируется понимание необходимости не только существенного увеличения бюджетирования ИБ, но и проработки дополнительных мер защиты, одной из которых и является страхование киберрисков.

Очевидно, для того чтобы занять прочную нишу на российском рынке ИБ, услуге требуется какое-то время, в результате чего постепенно появятся новые и более доступные предложения, включая комплексные услуги. Особенно это актуально в эпоху современности, когда все уже практически привыкли к формату «одного окна», при котором в одном месте возможно получить все требуемые услуги и продукты.

При этом компаниям стоит осознавать, что один только полис не защитит от кибератаки и прежде чем идти в страховую, нужно «довести до ума» свою ИБ-защиту. Только в таком варианте это будет разумным и эффективным шагом, а страховая выплата поможет действительно компенсировать часть потерь и быстрее восстановиться после инцидента.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru