Пресса о страховании, страховых компаниях и страховом рынке

Коммерсантъ, приложение, 26 марта 2026 г.

Вышли в море утечек

Участники рынка страховых услуг столкнулись с резким ростом утечек чувствительной информации

42 просмотра

По итогам 2025 года число кибератак на страховые компании выросло почти в полтора раза. По реакции страховщиков, такие инциденты для них крайне чувствительны, поскольку их отработка является сложной, затратной и длительной. С 2027-го регулятор обязал страховщиков реализовать стандартный уровень защиты цифровой информации. Но примерно для половины участников рынка страховых услуг даже эта цель пока представляется недостижимой.

Атаки и утечки растут

По оценкам системного интегратора «Кросс технолоджис»,? в 2025 году число кибератак на страховые организации выросло на 45%, достигнув нескольких десятков тысяч за год. Это рекордный прирост с 2022-го. В среднем на одну страховую компанию приходилось примерно 4 тыс. атак, при этом доля успешных атак составила 8–9%, добавляют в компании.

По данным экспертно-аналитического центра ГК InfoWatch, в 2025 году страхование стало одной из немногих сфер, где выросло количество утечек — рост составил 20%. И этот рост последовал за значительным падением в 2024-м, отмечает руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев.

Доля страховщиков в утечках из компаний финсектора составила более 20% по итогам неполного 2025 года, оценивают в системном интеграторе «Информзащита». Это максимальный показатель с 2022-го, когда на страховой сегмент приходилось лишь 10–12% утечек (см. “Ъ” от 24 ноября 2025 года). Примерно четверть всех атак на страховщиков преследуют кражу данных как основную цель, а в целом данные так или иначе утекают в 60% кибератак, отмечает руководитель департамента развития и архитектуры «Кросс технолоджис» Евгений Балк.

Страховые компании действительно хранят много данных, в том числе уникальных, что дополнительно привлекает хакеров. Помимо персональных данных, контактов и банковских реквизитов, информации об имуществе, здесь есть информация о страхуемых объектах и медицинская информация, говорит господин Балк. Такие данные позволяют злоумышленникам оценить финансовые возможности потенциальной жертвы, обогащать информацию о ней из медицинских страховых случаев, иногда даже информацию о психологическом состоянии, что делает возможным создавать глубокие, детальные скрипты для проведения целевых атак с использованием методов социальной инженерии.

Защита отстает

Вместе с тем уровень защищенности страховых компаний отстает от банковского сектора. Страховые компании ломают примерно теми же способами, что и любые другие компании с сетевым присутствием — только у страховщиков в среднем по сравнению с банками и крупными IT-компаниями слабее процессы безопасности и больше подрядчиков с доступом к системам, подтверждает независимый эксперт в сфере информационной безопасности Сергей Белов. Он приводит несколько сценариев атак:

Уязвимости на внешнем периметре. У страховщиков обычно много сервисов на внешнем периметре: VPN, веб-порталы для клиентов и агентов, доступ к почте и т.п. Сервисы анализируются на наличие уязвимостей, и, если сервис самописный (с низким качеством кода) или, например, используется некоторое коробочное решение с известными уязвимостями, то злоумышленник довольно быстро находит точку входа в корпоративную сеть и дальше двигается внутри инфраструктуры.

Утечки. Логины и пароли сотрудников или агентов могут утечь из других сервисов либо попасть в открытый доступ (например, в так называемые компиляции логов со стилеров) в виду заражения компьютера одного из сотрудников. После этого злоумышленник просто входит в личный кабинет или внутреннюю систему и выгружает необходимую информацию. Для страховых это особенно болезненно, потому что в таких базах часто лежат паспорта, контакты, данные об имуществе и страховых случаях.

Атаки через подрядчиков. У страховых компаний обычно много партнеров: контакт-центры, IT-интеграторы, медицинские сервисы и т.п. Если взломают одного из таких подрядчиков, злоумышленник может получить доступ к системам страховщика через доверенные интеграции.

Инсайдер. Бывает, что точкой утечки данных является сотрудник, который за некоторое вознаграждение либо осуществляет точечные выгрузки из информационных систем страховщика, либо продает крупную компиляцию данных по всем клиентам. Это особенно релевантный сценарий, если в компании отсутствует DLP и мониторинг обращений к чувствительным данным.

Внутренняя ошибка. Неверные настройки облачных хранилищ, открытые базы данных, случайная публикация выгрузки клиентов — такие истории регулярно встречаются и иногда приводят к утечкам не меньше, чем целенаправленные атаки.

Наиболее уязвимыми с точки зрения утечек информации в последние годы выглядят небольшие страховые компании, уточняет господин Арсентьев. Вместе с тем, по его словам, крупным игрокам в определенном смысле приходится труднее — наличие материальных ресурсов еще не гарантирует, что компания может поддерживать сложную систему ИБ и оперативно адаптировать ее под меняющийся ландшафт угроз.

В 2023 году в «Согазе» была зафиксирована утечка, содержащая более 8,3 млн записей, в том числе ФИО, дату рождения, логин, хэшированный пароль, телефонный номер, e-mail, а также место работы застрахованных граждан. В январе 2025 года стало известно об утечке персональных данных примерно 500 тыс. клиентов страховщика «АльфаСтрахование-Жизнь». В ноябре 2025-го масштабной хакерской атаке подверглась страховая компания ВСК, по результатам которой пострадала работоспособность ИТ-инфраструктуры компании.

Наступил предел устойчивости

В ЦБ согласились рассмотреть вмененное страхование от киберрисков, то есть регулятор согласился на диалог. По мнению экспертов, рынок готов к тому, чтобы стандарты кибербезопасности были заданы страховщиками посредством полисов. В связи с этим Всероссийский союз страховщиков (ВСС) готовит свои предложения регулятору по киберстрахованию.

Большие потери

«Рост кибератак бьет по трем ключевым точкам: операционная устойчивость (простои системы), финансовые потери (восстановление, штрафы, иски) и репутация (утрата доверия клиентов). В условиях, когда основа страхования — работа с персональными данными, даже единичный инцидент может иметь долгосрочные последствия для бизнеса»?,— поясняет руководитель управления информационной безопасности «АльфаСтрахования» Евгений Солянкин.

Борьба с последствиями утечек — это сложный и порой длительный процесс определения точки входа, блокирования действия злоумышленников внутри контура информационных систем страховщика, восстановления поврежденной информации при наличии таких возможностей, отмечает глава НСИС Николай Галушин. Процесс также включает расследование с привлечением внешних экспертов, уведомление регуляторов и клиентов и постинцидентный аудит, добавляет Евгений Солянкин. По его оценкам, затраты варьируются от нескольких сотен тысяч до миллионов рублей в зависимости от сложности и масштабов расследуемой атаки.

Штрафные санкции

Рост инцидентов заставляет Банк России ужесточать требования к страховщикам, подтягивая их к банковским стандартам информационной безопасности и операционной надежности, указывает руководитель развития бизнеса по защите данных Positive Technologies Виктор Рыжков.

Из опубликованных 17 февраля текущего года изменений в положение регулятора «Об установлении обязательных требований… по защите информации… в целях противодействия осуществлению незаконных финансовых операций» (№775-П от 20 апреля 2021 года) следует, что страховые компании с 2027 года обязаны реализовывать стандартный уровень защиты информации. По оценкам страхового брокера Mains, примерно у 40–60% страховых компаний реализован минимальный уровень защиты.

По мнению экспертов, это повлечет затраты самих компаний в размере от 1,5–2 млн руб. при минимальных работах и до 90–100 млн руб.— при максимальных, в отдельных случаях стоимость может быть еще выше (см. “Ъ” от 17 февраля).

По информации Всероссийского союза страховщиков (ВСС), ужесточение наказания за утечки персональных данных, введенное соответствующими изменениями в Административный кодекс (КоАП), является стимулом для повышения внимания и затрат на информационную безопасность.

С 30 мая 2025 года в силу вступили поправки в КоАП, предполагающие прямую зависимость размера штрафа от количества пострадавших субъектов и характера раскрытой информации. Так, при утечке 1–10 тыс. записей наказание составит до 5 млн руб., до 100 тыс.— в пределах 10 млн руб., более 100 тыс. субъектов либо 1 млн и более идентификаторов — до 15 млн руб. За утечку биометрических данных штраф составит до 20 млн руб. Если компания допустила утечку повторно, ей выпишут оборотный штраф — в среднем 1–3%, но не менее 20 млн руб. и не более 500 млн руб.

По информации «АльфаСтрахования», на рынке растет практика страхования собственных киберрисков — страховщики покупают полисы, чтобы передать часть непредсказуемых рисков, получить доступ к кризисной экспертизе и выполнить требования партнеров.

Юлия ПОСЛАВСКАЯ

В материале упоминаются: Компании, организации: АльфаСтрахование 14723 АльфаСтрахование-Жизнь 677 Всероссийский союз страховщиков (ВСС) 13154 ВСК (Страховой дом ВСК) 6127 Мэйнс страховые брокеры и консультанты (МСБК, Mains, Mainsgroup) 183 Национальная страховая информационная система (НСИС) 700 СОГАЗ 10156 Центральный банк Российской Федерации (Центробанк, Банк России, ЦБ РФ) 37897 Персоны: Галушин Николай Владимирович Солянкин Евгений Сергеевич

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »