За оцінкою Allied Market Research, до 2022 р глобальний ринок страхування кіберрісков досягне $ 14 млрд, а за оцінкою Allianz, в 2025 році він становитиме $ 20 млрд. З 2016 року ринок страхування кіберрісков в США збільшився на 35%, йдеться в дослідженні Fitch, до $ 1,35 млрд, але там вважають, що в реальності він більше.
Але премії за кіберріскі - це крапля в морі для спільного ринку страхування. У 2015 р страховики США зібрали $ 1,5-3 млрд таких премій, йдеться в лютневому дослідженні Deloitte (компанія посилається на оцінки регуляторів і рейтингових агентств). А загальний розмір премій, зібраних в США в 2015 р, склав $ 505,8 млрд. У жовтні 2016 р поліс страхування кіберрісков був лише у 29% компаній США.
Сплеск попиту на страхування кіберрісков відзначається кожен раз, коли відбувається гучна хакерська атака, відзначають експерти, опитані WSJ. Так було, наприклад, після атаки на сервери Yahoo в 2014 р, коли хакери зламали 500 млн паролів користувачів; кібератаки на Національний комітет Демократичної партії США в червні 2016 року і злому IT-системи бюро кредитних історій Equifax, в результаті якого в руки зловмисників могли потрапити особисті дані 300 млн чоловік.
У 2017 р від програм-вимагачів Wannacry і Petya постраждали сотні тисяч комп'ютерів по всьому світу. Однією з жертв став датський промисловий конгломерат Moller-Maersk, що володіє найбільшим в світі бізнесом контейнерних перевезень, його збитки складуть $ 200-300 млн, пише WSJ. У страховій компанії AIG після атак Wannacry попит на страхування кіберрісков виріс в Азії на 87%, а в глобальному масштабі - на 38%, повідомляє FT.
Tryg, найбільша датська страхова компанія, очікує, що через п'ять років страхувати кіберріскі буде 90% її клієнтів. «Не буває зараз корпоративних клієнтів, які не страхують будівлі і автомобілі, - сказав Reuters гендиректор Tryg Мортен Хюббе. - Думаю, через кілька років стане настільки ж очевидно, що потрібно страхувати кіберріскі ».
Продати кота в мішку
Ринок страхування кіберрісков міг би рости і швидше - потенційний попит досить великий, - якби не його незрілість. Страховики не розуміють, що саме вони продають, а їх клієнти - що саме вони купують. «З'явилося так багато нових страхових продуктів, які ще не випробувані, - сказав WSJ віце-президент страхової компанії Travelers Тім Френсіс, - що в один прекрасний день почнуть надходити звернення про страхові випадки, і тоді ми дізнаємося, значать слова, які ми використовували в полісах, саме те, що ми мали на увазі ». Але найчастіше розбиратися з цим доводиться юристам, додає він.
«Що буде, якщо завтра якийсь веб-хостинг піддасться DDoS-атаці або його зламають хакери і компанії, які користуються ним, не зможуть обслуговувати своїх клієнтів? Звідки нам знати, що купили у нас поліс страхування кіберрісков не зберігають всі в одному кошику - хмарний сервіс, веб-хостинг, поштовий сервер, SaaS (програмне забезпечення як послуга)? »- зазначає один із страховиків, який брав участь в дослідженні Deloitte.
Кілька респондентів Deloitte порівнювали ризики, пов'язані з кібератаками, з ризиками терактів: в обох випадках група осіб навмисно намагається завдати шкоди, такі атаки можуть статися будь-коли, будь-де і постраждати від них може хто завгодно. Через страх отримати величезні збитки багато страхових і перестрахувальні компанії після 11 вересня 2001 р перестали страхувати ризики, пов'язані з тероризмом. «У кінцевому підсумку все зводиться до того, що ми не розуміємо, які ризики ми беремо на себе, - сказав Deloitte ще один страховик. - У нас недостатньо інформації про те, де джерело ризику, щоб ми могли його скоротити ».
У світі відбувається справжня гонка озброєнь в кіберсекторе і можливість здійснити масштабну кібератаку є у кілька десятків країн, відзначає Брюс Боланд, IT-директор в країнах Азії компанії FireEye, що займається питаннями безпеки. «Страхові поліси зазвичай не покривають військові дії. А це означає, що надзвичайно важливим стає визначення кібератак: хто знає, хто за ними стоїть? »- говорить він.
Але навіть якщо страховий поліс від кіберрісков є, не факт, що в разі злому він покриє всі збитки. Тим більше що, наприклад, збиток репутації відразу може і не виявитися. У червні 2014 р працює в США мережа ресторанів China Bistro, плата за таку послугу $ 134 000 на рік, дізналася, що хакери вкрали у неї номери кредиток 60 000 клієнтів. Страховик виплатив China Bistro $ 1,7 млн як компенсацію за розслідування та судові витрати, але самої мережі довелося заплатити $ 1,9 млн компанії, яка займається процессингом карт, пише WSJ.
Росія тільки починає
Страхування інформаційних ризиків є невідомим і незрозумілим для більшості споживачів цієї послуги, говориться в матеріалах урядової програми «Цифрова економіка» на 2017-2020 рр. »(З проектом документів ознайомилися« Ведомости »). У Росії укладено менше 20 договорів страхування, більшість оформлено підприємствами з іноземною участю в «дочках» іноземних страховиків. За словами заступника голови ЦБ Володимира Чистюхін, проблема є і на ринках інших країн: страхові компанії і регулятори говорять, що цей вид розвивається, але стійким тренд назвати не можна.
Зміст страхової послуги з кіберстрахованію не стандартизовані, в світовій практиці варіюється від країни до країни і залежить від законодавчого середовища, говориться в матеріалах програми. «Калька» з американського чи західноєвропейського продукту практично не відповідає потребам підприємств у російської юрисдикції. У ній пропонується за участю держави формувати тарифи, стандарти і залучати для роботи Російську національну перестрахувальну компанію. А також введення обов'язкового страхування від кіберзагроз з 2020 року для більшості стратегічних галузей. Однак з цим поки не згоден ЦБ (див. Вріз).
Є проблеми і з виділенням цього виду страхування в окремий клас - на відміну від страхування для захисту «фізичних» активів підприємства витрати на страхування кіберрісков не можуть бути виключені з податкової бази компаній, що знижує економічний інтерес до такого страхування. У програмі передбачені зміни в страховому законодавстві, що зрівнюють страхування інформаційних і «фізичних» активів.
Поки грім не гримнув
Багато великих і середні банки страхують ризики електронних і комп'ютерних злочинів в рамках договору комплексного банківського страхування від злочинів, каже начальник управління страхування фінансових інститутів і партнерів компанії «Ингосстрах» Дмитро Шапошников. У нефінансовому секторі, за його словами, активний інтерес до страхування кіберрісков почав з'являтися тільки останнім часом. У «Ингосстрах» нерідко звертаються великі компанії, які побоюються припинення основної діяльності, якщо вийдуть з ладу IT-системи.
У компанії «Альфастрахування» на початок вересня було кілька десятків корпоративних клієнтів, які страхують кіберріскі із загальною сумою покриття 100 млн євро, розповів керівник управління страхування фінансових ризиків компанії Андрій Макаренцев. Він також зазначає, що найчастіше кіберстрахованіе як додаткове покриття до основного полісу вибирають банки. За словами Макаренцева, клієнти недооцінюють багато кіберріскі, включаючи виведення з ладу обладнання в результаті хакерських атак, організацію вибухів, пожеж, помилкового спрацьовування сигналізацій в результаті злому і порушення систем безпеки через зовнішній доступ. Але він також зазначає, що попит на страхування кіберрісков поступово зростає.
«РЕСО-гарантія» не страхує від кіберзагроз, говорить заступник гендиректора компанії Ігор Іванов. За його словами, у компанії немає даних для коректного розрахунку такого ризику. «Мабуть, таких даних поки недостатньо навіть у найбільших світових страховиків, хоча останнім часом запит на такі або пов'язані частково з кібербезпекою страхові послуги з'являється», - додає він. Але «РЕСО-гарантія» бере участь у страхуванні ризиків міжнародних клієнтів AXA, яка є одним з її акціонерів.
Ринок страхування кіберрісков тільки починає формуватися і не всі добре уявляють, як здійснювати розрахунок потенційного збитку, згоден старший менеджер департаменту з управління ризиками компанії Deloitte Анатолій гострозорі. Однак «продукти по кіберріскам вже у багатьох страховиків готові, тому новим гравцям буде нескладно адаптуватися», відзначає він. Хоча поки кіберріскі не реалізуються, багато організацій не готові розглядати їх всерйоз і сподіваються на власний захист, додає гострозорі, в першу чергу страхові продукти по кіберріскам розглядатимуть банки, оскільки там почастішали випадки виведення активів.
«Що буде, якщо завтра якийсь веб-хостинг піддасться DDoS-атаці або його зламають хакери і компанії, які користуються ним, не зможуть обслуговувати своїх клієнтів?Звідки нам знати, що купили у нас поліс страхування кіберрісков не зберігають всі в одному кошику - хмарний сервіс, веб-хостинг, поштовий сервер, SaaS (програмне забезпечення як послуга)?
А це означає, що надзвичайно важливим стає визначення кібератак: хто знає, хто за ними стоїть?
