Пресса о страховании, страховых компаниях и страховом рынке

Коммерсантъ онлайн, 10 июня 2026 г.

Цифровым данным не хватает защиты

Киберстрахование становится частью информационной безопасности бизнеса

81 просмотр

Рост числа кибератак и увеличение стоимости связанных с ними инцидентов заставляют компании по-новому смотреть на вопросы управления рисками. Раньше основное внимание уделялось предотвращению угроз. Сегодня бизнес оценивает возможные последствия атак с точки зрения финансовых потерь, простоев и устойчивости ключевых процессов. В условиях, когда полностью исключить вероятность инцидента становится все сложнее, компании задумываются о киберстраховании как инструменте защиты.

Кибератака как бизнес-кризис

«За последние несколько лет число кибератак на корпоративный сектор выросло в разы. Это стало возможным, в частности, из-за перехода киберпреступников на более высокий технологический уровень и использования ИИ-инструментов»,— заявил зампредправления «Сбера» Станислав Кузнецов на сессии «Стресс-тест в реальном времени: как не потерять миллиарды при кибератаке», организованной в рамках ПМЭФ страховой компанией ВСК. В свою очередь, первый заместитель директора Федеральной службы по техническому и экспортному контролю (ФСТЭК) Виталий Лютиков отметил, что это связано также с тем, что компании нередко пренебрегают обычной цифровой гигиеной: по результатам мониторинга ФСТЭК, из порядка 5 тыс. предприятий 54% организаций до сих пор имеют критические уязвимости, которые могут быть использованы злоумышленниками для проникновения и развития атаки. А 69% компаний не применяют двухфакторную аутентификацию для привилегированных учетных записей. Очень часто используются слабые пароли или даже пароли по умолчанию. Все это говорит о слабом контроле над периметром и активами.

Сегодня стало очевидно, что киберугроза перешла из зоны ответственности ИТ-директора в повестку финансового директора (CFO) компании, поскольку это уже не столько вопрос защиты данных, сколько вопрос финансовой устойчивости компании. По мнению руководителя группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергея Полунина, сейчас киберинцидент нередко приводит к простоям важнейших процессов, сбоям в работе с клиентами и сложностям при выполнении требований регуляторов. В результате под угрозой оказывается устойчивость компании в целом.

При этом сама природа риска почти не изменилась: большинство успешных атак по-прежнему становятся следствием человеческих ошибок и слабых мест в организации защиты, а не каких-то принципиально новых методов взлома. Однако технологии радикально изменили арсенал злоумышленников и скорость атак. Искусственный интеллект не создал новых классов угроз, но сжал временные интервалы между фазами взлома до критических значений. То, что раньше требовало квалифицированного оператора и часов работы, теперь выполняется с помощью ИИ-инструментов в полуавтоматическом режиме за минуты. «К привычным атакам на цепочки поставок ПО, когда в легитимный код подмешивается вредоносная “полезная” нагрузка, добавился целый класс рисков вокруг больших языковых моделей — промпт-инъекции, отравление обучающих данных (когда ложь скармливается модели как истина еще на этапе обучения), уязвимости в цепочке поставок самих моделей и даже кража модели как актива»,— уточняет старший управляющий директор AppSec Solutions Антон Башарин.

Статистика подтверждает высокий уровень киберугроз. По данным компании по управлению цифровыми рисками BI.ZONE, в отдельных случаях от проникновения злоумышленников в инфраструктуру до начала шифрования данных проходит всего 12,5 минуты. При этом сами атакующие могут находиться внутри корпоративных систем более 180 дней, незаметно готовя атаку. Среди компаний, которые обращаются для оценки компрометации, в каждой пятой есть следы присутствия злоумышленников. Более того, они все активнее используют технологии искусственного интеллекта для автоматизации и усложнения атак. По итогам 2025 года число таких угроз выросло на 93%.

При такой скорости атак счет идет на минуты. Пока сотрудник центра кибербезопасности анализирует одно подозрительное событие, злоумышленники могут успеть закрепиться в инфраструктуре и продвинуться дальше по сети. По словам Антона Башарина, сегодня главное значение приобретает не столько предотвращение проникновения, сколько скорость обнаружения и локализации атаки. Большую часть этой работы приходится передавать автоматизированным системам защиты.

Поэтому неудивительно, что масштаб проблемы продолжает расти. По данным компании «Инфосистемы Джет», в 2025 году акцент злоумышленников сместился со взломов сайтов, хищения данных и DDoS-атак на полную остановку деятельности без возможности восстановления. Так, 76% критических кибератак было направлено на уничтожение инфраструктуры. Под ударом находятся абсолютно все — от стартапов до международных холдингов. Вопрос не в том, произойдет ли взлом, а в том, когда он случится. Разница между организациями сегодня заключается в том, сможет ли бизнес восстановить работу после инцидента и как быстро он это сделает.

Рынок на старте

На фоне этих цифр объем российского рынка киберстрахования пока выглядит несоразмерным масштабу угроз. Вместе с тем именно страхование позволяет оценивать киберриски не только через вероятность атаки, но и через стоимость ее последствий для бизнеса. Как заявил в одном из выступлений на ЦИПР-2026 член совета директоров страхового дома ВСК Роман Фролов, по итогам 2025 года российский рынок киберстрахования составил порядка 1 млрд рублей (без коробочных продуктов), это менее одной тысячной доли отечественного страхового рынка. Количество договоров выросло на 20–30%, а ежегодный рост объема рынка составляет 15–20% и остается неизменным на протяжении последних пяти лет.

Для сравнения: по статистике международной перестраховочной компании Munich Re, глобальный рынок киберстрахования в 2024 году достиг $15–18 млрд, а по итогам 2025 года ожидается рост до $20–22 млрд. Среднегодовой темп роста (CAGR) составляет 15–25%, и к 2033–2035 годам мировой рынок может превысить $100 млрд. Крупнейшим рынком остаются США, занимая 40–50% мирового объема. Мировой опыт показывает, что страхование киберрисков далеко не модный тренд, а стандарт зрелого риск-менеджмента наравне с имущественным страхованием и страхованием ответственности.

По словам Романа Фролова, российский рынок киберстрахования находится на этапе активного становления. Однако проникновение страхования остается крайне низким: объем премий составляет менее одной тысячной доли всего страхового рынка. Одна из причин заключается в том, что многие компании по-прежнему воспринимают киберриски как проблему ИТ-подразделений, а не как финансовый риск для бизнеса. В этих условиях киберстрахование постепенно начинает играть роль одного из инструментов управления рисками.

При этом отношение к киберстрахованию постепенно меняется. По словам Романа Фролова, сегодня для бизнеса важна не столько компенсация ущерба, сколько возможность быстро восстановить работу после инцидента. «Киберстрахование — это не просто финансовая подушка безопасности. Это сервисный продукт, который помогает привлечь необходимые ресурсы для реагирования на атаку, восстановления инфраструктуры и сохранения финансовой устойчивости компании»,— отмечает он.

На практике это означает, что страховщик совместно с партнерами в сфере информационной безопасности может участвовать не только в компенсации убытков, но и в организации аудита защищенности, расследовании инцидента, восстановлении систем и юридическом сопровождении при утечках данных. Для многих предприятий важное значение имеет возможность максимально быстро вернуть информационные системы и бизнес-процессы к нормальной работе.

Оценка вслепую

Несмотря на рост числа атак, рынок киберстрахования по-прежнему сталкивается с рядом системных ограничений. Причем препятствия существуют как со стороны бизнеса, так и со стороны страховщиков. По словам директора департамента управленческого консультирования ДРТ Юлии Жуковой, одной из проблем остается отсутствие гибких механизмов оценки риска и расчета страховой премии, которые были бы одинаково понятны и привлекательны для обеих сторон. При этом многие компании по-прежнему не видят практической необходимости в страховании киберрисков. «Для крупных игроков чаще используется стратегия максимальной защиты, иногда без рискориентированного подхода. Для небольших компаний информационная безопасность остается необязательной инвестицией даже после реализовавшихся инцидентов»,— отмечает эксперт. Дополнительной проблемой она называет закрытость рынка: компании неохотно раскрывают информацию об атаках и редко проводят полноценную оценку их последствий, включая недополученную выручку и упущенную выгоду.

Со стороны страховщиков развитие рынка также сдерживается нехваткой специализированной экспертизы. Как отмечает Роман Фролов, андеррайтерам зачастую сложно самостоятельно оценивать технические аспекты защищенности клиентов, поэтому страховщики активнее привлекают к этой работе профильные ИБ-компании.

Однако главная проблема, по мнению экспертов, связана не столько со страхованием, сколько с отношением бизнеса к киберрискам. Многие компании по-прежнему рассматривают информационную безопасность как функцию ИТ- или ИБ-подразделения, а не как один из корпоративных рисков. «Даже там, где существуют процессы управления рисками ИБ, они нередко внедряются как ответ на требования регулятора и не всегда используются при принятии управленческих решений»,— отмечает Юлия Жукова. Поэтому, пока риск киберинцидента не воспринимается как риск для бизнеса в целом, спрос на инструменты его страхования будет оставаться ограниченным.

Фактически рынок сталкивается с проблемой, характерной для многих новых видов страхования: участникам пока не хватает данных для точной оценки рисков. Если в автостраховании или страховании имущества накоплены десятилетия статистики, то последствия киберинцидентов зачастую остаются непубличными. Многие компании предпочитают не раскрывать детали атак, опасаясь репутационных потерь, претензий клиентов или дополнительного внимания со стороны регуляторов.

Не менее важным фактором остается уровень зрелости самих потенциальных страхователей. По словам представителей ВСК, сегодня киберстрахованием чаще интересуются либо компании с уже выстроенной системой информационной безопасности, либо организации, которые ранее столкнулись с серьезным инцидентом и успели оценить его последствия на собственном опыте. «Остальные серьезно об этих рисках не думают, рассчитывая, что такая ситуация их не коснется, либо полагая, что они неинтересны злоумышленникам. В реальности это не так, мошенники непрерывно мониторят информационное пространство в поисках любых уязвимостей»,— предупредил в своем выступлении на сессии, посвященной кибербезопасности, в рамках ПМЭФ-2026 председатель совета директоров страхового дома ВСК Сергей Цикалюк. В отличие от многих традиционных видов страхования киберстрахование предполагает оценку уровня защищенности клиента еще до заключения договора. В ВСК отмечают, что более зрелые компании могут рассчитывать на более выгодные условия страхования, тогда как недостаточный уровень защищенности в отдельных случаях может стать основанием для отказа в страховом покрытии.

Страхование действительно может стать важным элементом управления рисками, однако работает только в связке с мерами информационной безопасности, уверен Сергей Полунин: «Страховщик самостоятельно оценит зрелость защиты, прежде чем предложит продукт, а значит, невозможно решить все вопросы страхованием. Но как один из слоев управления рисками это весьма перспективный инструмент».

Жизнь после атаки

Несмотря на существующие ограничения, большинство экспертов ожидают дальнейшего развития рынка киберстрахования. Однако его рост будет связан не столько с появлением новых страховых продуктов, сколько с изменением подходов бизнеса к управлению киберрисками.

Для бизнеса восстановление после кибератаки — это всегда своего рода марафон. «Снизить риски происшествий, сэкономить время и ресурсы для восстановления систем позволяют наличие плана обеспечения непрерывности бизнеса (Business Continuity Plan.— “Ъ-Review”) и регулярные тренировки действий в условиях внезапного падения ИT-инфраструктуры»,— поясняет Роман Фролов.

Большинство экспертов сходятся во мнении, что российский рынок киберстрахования продолжит расти в ближайшие годы. По оценкам ВСК, в 2026 году его рост может составить 10–30%, а средний бизнес будет включаться в число потенциальных клиентов. Однако дальнейшее развитие рынка будет зависеть не только от появления новых страховых продуктов — гораздо важнее изменения в подходах компаний к управлению рисками.

Сегодня многие организации по-прежнему рассматривают киберугрозы преимущественно как техническую проблему. Однако по мере роста цифровизации и увеличения стоимости простоев бизнесу приходится оценивать не только вероятность атаки, но и возможный ущерб от нее. Именно способность измерять и прогнозировать такие последствия становится одним из определяющих факторов дальнейшего развития рынка. Параллельно развивается и сам продукт. Фактически страховщики, ИБ-компании и заказчики начинают работать в единой логике управления последствиями киберугроз.

Не менее важным остается накопление статистики по инцидентам и ущербу. По мере того как рынок будет получать больше данных для оценки рисков, страховщики смогут точнее рассчитывать условия страхования, а компании — лучше понимать потенциальные последствия киберинцидентов для своего бизнеса.

По сути, речь идет о формировании новой культуры управления цифровыми рисками. Если раньше основное внимание уделялось предотвращению атак, то сегодня большинство компаний исходят из того, что полностью исключить вероятность киберинцидента невозможно. Поэтому на первый план выходят скорость обнаружения угрозы, способность минимизировать последствия атаки и быстро восстановить работу критически важных процессов.

Рост числа киберинцидентов заставляет участников рынка искать новые механизмы управления рисками. Как отмечает Роман Фролов, Всероссийский союз страховщиков и Банк России обсуждают возможность введения вмененного страхования киберрисков. По его мнению, это актуальная для рынка инициатива, однако она должна быть тщательно проработана. Такая мера в первую очередь может затронуть финансовый сектор, а в дальнейшем — распространиться и на другие отрасли экономики. Ожидается, что такой подход позволит компаниям не только серьезнее относиться к киберрискам, но и заранее подготовить финансовые и организационные механизмы восстановления после крупных инцидентов.

Практика урегулирования таких убытков пока остается ограниченной: по экспертным оценкам, количество страховых выплат в прошлом году не превысило десяти. Одним из главных вызовов остается дефицит данных и статистики, необходимых для точной оценки рисков. Однако рынок постепенно адаптируется. Страховщики выступают уже не только плательщиками по страховым случаям, но и участниками процесса оценки защищенности клиентов. До заключения договора компания может пройти аудит инфраструктуры и процессов безопасности, а выявленные уязвимости — стать основанием для доработки системы защиты или пересмотра условий страхования.

Киберстрахование в России пока остается небольшим сегментом страхового рынка. Однако его развитие уже начинает влиять на подходы компаний к управлению рисками. Если раньше вопросы информационной безопасности в основном ограничивались выбором технических средств защиты, то сегодня акцент переносится на оценку потенциального ущерба, аудит защищенности, планы восстановления и готовность к реагированию на инциденты.

По мере развития рынка страховщики активнее оценивают не только возможный ущерб от инцидента, но и реальный уровень защищенности компаний, которые обращаются за страхованием. В результате страхование начинает стимулировать компании уделять больше внимания качеству управления киберрисками и уровню собственной защищенности. При этом киберстрахование не может заменить меры информационной безопасности. Как отмечает Сергей Цикалюк, сегодня различия между компаниями определяются уже не тем, смогут ли злоумышленники преодолеть защитный периметр, а тем, сможет ли бизнес восстановить работу после инцидента и как быстро он это сделает.

Константин АНОХИН

В материале упоминаются: Компании, организации: Munich Re (Muenchener Rueckversicherungs Gesellschaft AG, Мюнхенское перестраховочное общество) 891  Всероссийский союз страховщиков (ВСС) 13342 ВСК (Страховой дом ВСК) 6246 Центральный банк Российской Федерации (Центробанк, Банк России, ЦБ РФ) 38439 Персоны: Фролов Роман Николаевич Цикалюк Сергей Алексеевич

Ваше мнение об этом материале:

— Ваше имя
— Ваш email
— Тема

Ваш отзыв (заполняется обязательно):

Укажите код на картинке слева:

Установите трансляцию заголовков прессы на своем сайте

 Подробнее »

Получить код для трансляции заголовков прессы »