Компании задумываются о страховании собственных киберрисков, осознавая, какой удар по их бизнесу могут нанести действия киберпреступников. Страховка же помогает быстрее восстановиться после инцидента, компенсировать потери, в целом повысить уровень киберзащиты организации.
- Введение
- Об исследовании
- Кто уже страхует киберриски?
- Кто планирует внедрить услугу?
- Цена и другие преграды
- Выводы
Введение
На рынке ИБ всё чаще встречается услуга киберстрахования, или страхования киберрисков. Первые общедоступные предложения появились в России в 2017 году, а уже в 2020-м эксперты зафиксировали пятикратное увеличение спроса на услугу. В 2021 году тенденция сохранилась и спрос вырос ещё на 60 %. На такой всплеск во многом повлияла пандемия, вынудившая бизнес уйти в онлайн и перевести сотрудников на удалённую работу. Одновременно с этим увеличилась и активность хакеров: только за 2020 год число киберпреступлений выросло почти на 80 %. На этом фоне стало очевидным, что с кибератакой и её последствиями теперь может столкнуться абсолютно любая компания независимо от отрасли и масштаба. Мы решили выяснить, какие компании уже сегодня пользуются услугой киберстрахования и почему, а также что останавливает других от приобретения полиса. Результатами нашего исследования делимся в этой статье.
Об исследовании
Для понимания перспектив развития киберстрахования на российском рынке, ожиданий компаний от услуги, оценки востребованности и анализа уже имеющегося опыта нашими специалистами в первом квартале текущего года был проведён опрос. В число респондентов вошли как коммерческие организации (60 %), так и предприятия государственного сектора (40 %), включая федеральные и региональные органы власти. В число опрошенных попали представители различных сегментов бизнеса (B2G, B2E, B2B, SMB) из крупных городов. В опросе приняли участие представители разных отраслей, таких как нефтегазовая, металлургическая и горнодобывающая промышленность, финансы, транспорт, ретейл и ТЭК.
Кто уже страхует киберриски?
Доля компаний, которые уже пользуются услугой страхования киберрисков, пока невелика: всего 6 %. При этом почти две трети из них — это представители финансов и ИТ, что неудивительно — ведь это две наиболее цифровизированные отрасли. Кроме того, такие компании, как правило, имеют достаточные бюджеты, чтобы направить деньги не только на развитие непосредственно самой системы ИБ, но и на формирование её финансовой защиты в формате страхования киберрисков. При этом в традиционно консервативных отраслях тоже есть потребители этой услуги. Так, 16 % респондентов, страхующих киберриски, приходится на нефтегазовую и электроэнергетическую промышленность, а также на органы госвласти.
Страхуют киберриски, как правило, крупные корпорации и организации, обладающие значительными бюджетами и распределённой ИТ-инфраструктурой. Для них вывод из строя даже отдельных сегментов сети может привести к остановке бизнес-процессов, на восстановление которых требуется много времени. Страховая выплата в этом случае поможет покрыть часть убытков и компенсировать простой.
- 38 % работающих с услугой компаний отметили, что страхование позволило им быстрее восстановиться после киберинцидента;
- более 60 % респондентов внедрили этот инструмент для повышения уровня защищённости компании;
- 2/3 считают, что их компания стала гораздо привлекательнее (для клиентов, партнёров, сотрудников) после внедрения киберстрахования.
Кто планирует внедрить услугу?
Доля тех, кто планирует внедрить услугу в ближайшей перспективе, не так уж и мала: 21 %. Но здесь распределение несколько иное и лидирующую позицию занимают ИТ-компании (33 % респондентов), а представители финансовой отрасли, напротив, несколько отстают (лишь 9 % из них собираются работать со страхованием киберрисков в будущем). Если же говорить о других отраслях, то здесь распределение более ровное: по 13 % на нефтедобывающую, электроэнергетическую отрасли и на ретейл, 11 % — на органы госвласти.
Среди них 63 % считают, что страхование киберрисков поможет повысить уровень защищённости компании. Более трети респондентов рассматривают услугу как способ быстрее оправиться после инцидента. Кроме того, 42 % участников опроса полагают, что услуга будет способствовать возврату инвестиций в ИБ.
Цена и другие преграды
Полученные результаты говорят о том, что и коммерческие, и государственные организации понимают, что в современных условиях потери от кибератак фактически становятся постоянной статьёй расходов. Но, к сожалению, по причине своей дороговизны данная услуга пока доступна лишь ограниченному кругу компаний: 33 % организаций указали этот фактор в качестве основного барьера для её приобретения.
Здесь хотелось бы обратить внимание на важность соотношения вложений непосредственно в саму защиту и в страховку — соблюдение так называемого Security Insurance Balance. Очевидно, что делать бесконечные инвестиции в ИБ, доводя их чуть ли не до абсурда, контрпродуктивно. В то же время нельзя и полагаться исключительно на страховые выплаты в надежде, что они помогут компенсировать все последствия атаки.
Именно поэтому, на наш взгляд, оптимальным решением здесь может стать формирование комплексного предложения «ИБ + страхование» в режиме «одного окна». Если речь идёт о сервисной модели ИБ, то комплексное предложение может быть на 10–15 % дороже изначальной стоимости ИБ-услуг, считают большинство опрошенных. Компания также может строить ИБ по модели «in-house», и тогда она сама обращается в страховую — и здесь сложно рассчитать примерную стоимость услуги, поскольку каждое предложение индивидуально.
Рисунок 1. График оптимизации расходов
Вместе с тем на текущий момент не так много организаций (всего 13 %) готовы сменить своего ИБ-провайдера на нового, предлагающего помимо прочего услугу киберстрахования.
Примечательно, что здесь наибольшую готовность демонстрируют компании среднего и малого бизнеса (SMB), а также некрупные представители B2B. В целом SMB на общем фоне проявляет наибольший интерес к услуге киберстрахования:
- 23 % малых и средних компаний планируют внедрить данный продукт,
- 16 % готовы сменить ИБ-провайдера при наличии комплексного предложения «ИБ + страхование»,
- более 55 % рассматривают киберстрахование как финансовый инструмент ИБ.
Такие результаты вполне объяснимы. Для представителей среднего и малого бизнеса даже простая атака со стороны низкоквалифицированных злоумышленников может привести к серьёзным последствиям вплоть до банкротства. При этом стоимость содержания в штате опытного ИБ-специалиста может быть сопоставима с ежегодной страховой премией или даже превышать её размер. Также у небольших компаний менее разветвлённая ИТ-инфраструктура, и смена сервис-провайдера для них — менее сложный и ресурсозатратный процесс, чем, например, для крупных корпораций.
Также от приобретения киберстраховки большинство компаний останавливает тот факт, что эта задача не находится у них в приоритете. И это вполне объяснимо. Для начала надо выстроить комплексную систему ИБ, что связано с выбором провайдера и набора нужных услуг и сервисов, а также их дальнейшей настройкой и наращиванием (при необходимости) системы защиты. И тогда страхование киберрисков, в частности остаточных, станет своего рода финальным штрихом, направленным на повышение общей защищённости компании и её ИТ-инфраструктуры. А «дырявую» инфраструктуру вряд ли кто-то согласится застраховать — или же стоимость полиса будет неоправданно высокой.
Поэтому в первую очередь мы говорим именно о страховании остаточных рисков, то есть тех, закрытие которых становится экономически нецелесообразным. Это и есть тот самый Security Insurance Balance. В таком варианте киберстрахование станет доступным не только для крупных компаний, но и для представителей SMB и банков с базовой лицензией (ББЛ). Последние, будучи представителями финансовой отрасли и вынужденные следовать требованиям регулятора, весьма заинтересованы в подобной услуге.
Если же говорить о других причинах, по которым компании не внедряют услугу киберстрахования, то здесь стоит отметить:
- непонимание ценности продукта как такового — 20 %,
- внутренние регламенты компании — 19 %,
- отсутствие необходимости с точки зрения лиц принимающих решения — 16 %,
- отсутствие доверия к поставщикам услуг — 6 %.
Очевидно, что на это накладывается также и сложность регламентирования. Особенно это касается длительных инцидентов, когда трудно зафиксировать время и дату начала атаки и доказать её связь с возникшим ущербом.
В связи с тем, что продукт относительно нов, в настоящее время не так много готовых и «обкатанных» решений. Отсюда и определённый скепсис со стороны потенциальных потребителей. По этой же причине не все понимают пользу, которую киберстрахование может принести, и рассматривают его лишь как пустую трату денег и неокупаемые вложения.
И здесь стоит отметить, что 9 % компаний, опрошенных нами, столкнулись с той ситуацией, когда пожалели, что на момент наступления киберинцидента у них не был оформлен киберполис, благодаря которому они могли бы восстановиться гораздо быстрее.
Выводы
Как видно, интерес к услугам страхования киберрисков со стороны бизнеса есть. Как мы уже отметили, в компаниях различных уровней и сфер деятельности формируется понимание необходимости не только существенного увеличения бюджетирования ИБ, но и проработки дополнительных мер защиты, одной из которых и является страхование киберрисков.
Очевидно, для того чтобы занять прочную нишу на российском рынке ИБ, услуге требуется какое-то время, в результате чего постепенно появятся новые и более доступные предложения, включая комплексные услуги. Особенно это актуально в эпоху современности, когда все уже практически привыкли к формату «одного окна», при котором в одном месте возможно получить все требуемые услуги и продукты.
При этом компаниям стоит осознавать, что один только полис не защитит от кибератаки и прежде чем идти в страховую, нужно «довести до ума» свою ИБ-защиту. Только в таком варианте это будет разумным и эффективным шагом, а страховая выплата поможет действительно компенсировать часть потерь и быстрее восстановиться после инцидента.