Фото: Shutterstock
По оценке Всемирного экономического форума, киберугрозы входят в топ-5 глобальных рисков для бизнеса по вероятности и в топ-7 по возможному ущербу. Увеличение числа киберинцидентов стимулирует мировой рынок киберстрахования, отмечают аналитики. По прогнозам Market Research Future, среднегодовой темп его роста (CAGR) составит 8,4% и превысит в 2034 году $15 млрд. По итогам 2024 года расходы на глобальном рынке страхования от кражи личных данных составили $6,8 млрд. Киберстраховки предлагают мировые гиганты отрасли — AIG, MetLife, Zurich, TransUnion, Equifax и другие.
В России в 2025 году ущерб от киберпреступности составил около 1,5 трлн руб., а число атак утроилось, отмечали эксперты Международной конференции по информационной безопасности KUBAN CSC 2025. По данным Министерства внутренних дел России, в 2024 году в стране зафиксировано 765,4 тыс. киберпреступлений — на 13,1% больше, чем в 2023 году.
В результате в нашей стране тоже активно развивается рынок страхования от киберрисков. По оценкам консалтинговой компании «Технологии доверия» («ТеДо»), объем сегмента в 2025 году приблизится к 1 млрд руб.: в период с 2022 по 2024 год он увеличился примерно в два раза. В ближайшем будущем, по прогнозам аналитиков «ТеДо», рынок может увеличиться до 5–10 млрд руб. при благоприятных условиях, в том числе при мерах стимулирования со стороны государства. По другим оценкам, к 2025 году рынок уже достиг 2–3 млрд руб., такие данные приводят авторы исследования страхового брокера Mainsgroup со ссылкой на опрос участников рынка. Продукты в сфере страхования киберрисков развивают восемь из 15 крупнейших страховщиков, в том числе «АльфаСтрахование», «Ингосстрах», «Согаз» и другие.
Почему растет интерес к киберстраховкам
80% разрушительных инцидентов связаны с вирусами-шифровальщиками и вайперами — вредоносным программным обеспечением (ПО), уничтожающим данные без возможности восстановления, рассказал директор центра информационной безопасности «Инфосистемы Джет» Андрей Янкин. Самые критичные последствия от кибератак, по его словам, остановка ключевых бизнес-процессов, уничтожение или компрометация резервных копий для лишения компании шанса на восстановление, а также длительное нахождение атакующих в инфраструктуре: «Киберпреступники месяцами могут изучать сеть и ждать идеального момента атаки». Андрей Янкин отмечает, что все чаще цель злоумышленников — парализация критичных бизнес-процессов так, чтобы у руководства не осталось пространства для маневра.
За последние два года утечки данных фиксировали ретейлеры «Ашан», «Леруа Мерлен» (после ребрендинга «Лемана Про»), «Аскона», сервис «Винлаб» и логистическая компания СДЭК. Крупная хакерская атака на «Аэрофлот» летом 2025 года привела к переносу десятков авиарейсов. Промышленность стала одним из самых атакуемых секторов экономики России в 2025 году, рассказали в пресс-службе «Северстали».
Совершаются попытки атак на подрядчиков финансовых организаций — поставщиков IТ-услуг, интеграторов, консалтинговые компании, рассказали в пресс-службе Банка России. Продолжаются атаки с использованием фишинговых рассылок с вложением вредоносного ПО и эксплуатации уязвимостей, а также DDoS-атаки — массовые запросы на сайт, сервер или сеть, которые перегружают систему и делают ее недоступной для пользователей.
По данным исследования Mainsgroup, потери из-за простоев, вызванных киберинцидентами, в среднем составляют 6–8 млн руб. в сутки и могут варьироваться в зависимости от предприятия и отрасли. Лимиты покрытия по договорам страхования при этом по рынку — от 100–200 млн до 2 млрд руб. Набор рисков включает в том числе приостановку производственных и бизнес-процессов.
Приостановка бизнес-операций особенно критична для организаций, где важна непрерывность производственного процесса, — таких много в сфере промышленности и энергетики, говорит руководитель группы расследования инцидентов центра исследования Solar 4RAYS, ГК «Солар» Иван Сюхин. Разрушительны и последствия, наступающие в результате утечки персональных данных, говорит эксперт: помимо очевидных репутационных потерь компания, из которой случилась утечка, рискует получить значительный штраф.
В отличие от классических рисков, которые затрагивают активы компаний, физически находящиеся в одном месте, кибератака может затронуть всю сеть предприятия, объединенную общей информационной системой, говорит заместитель директора по корпоративному страхованию по имущественному андеррайтингу «АльфаСтрахование» Татьяна Лаврова: «В результате компания может понести убытки во всех регионах присутствия».
Рост громких и масштабных кибератак, по ее словам, становится одним из мотивирующих факторов для страхования киберрисков. Это страхование не только возмещает значительные убытки от кибератак, например связанные с перерывом или снижением объемов деятельности, но и стимулирует вложения в качество IТ-безопасности и обеспечивает ресурсами мероприятия по минимизации и ликвидации последствий киберинцидента, говорит Татьяна Лаврова.
В частности, внимание к продуктам киберстрахования выросло после принятия закона об оборотных штрафах, вступившего в силу в 2025 году. Компании, нарушившие порядок обработки персональных данных, теперь будут обязаны выплатить штраф в размере от 1 до 3% своей выручки. На столько же процентов от собственного капитала штрафуются банки. Речь идет о суммах не менее 25 млн руб. и не более 500 млн руб. За последние два года, по данным компании «АльфаСтрахование», количество договоров киберстрахования в России выросло на 60%.
Как цифровой полис поможет бизнесу
Интерес к страховой защите киберрисков проявляют компании из промышленности, ретейла, финансов, особенно организации — субъекты критической информационной инфраструктуры (КИИ), а также крупные центры обработки данных (ЦОД) и госкомпании, говорят страховщики.
На информационную безопасность сегодня выделяются немалые средства, однако это далеко не всегда спасает от инцидентов, отмечает вице-президент вице-президент Всероссийского союза страховщиков Глеб Яковлев: «Компания несет затраты на диагностику, минимизацию последствий и расследование кибератак, восстановление утраченных и искаженных данных, ПО». При этом, по его словам, до полного восстановления системы и данных временная приостановка работы также приводит к финансовым потерям.
Перед заключением договора страховая компания проводит оценку потенциальных рисков страхователя — проверку мер безопасности и выявление уязвимых мест, в некоторых случаях аудит информационных систем, рассказала Татьяна Лаврова: «По итогам анализа риска определяется стоимость полиса».
Размер страховой суммы зависит от масштабов и потребностей страхователя и, как правило, составляет от нескольких сот миллионов до нескольких миллиардов рублей. В отличие от традиционного страхования, по словам Татьяны Лавровой, киберстрахование защищает цифровые активы: данные, ПО и интеллектуальную собственность. Страховая компания возмещает расходы на прекращение вредоносного воздействия, расследование причин и обстоятельств инцидента, восстановление систем и данных, на работу службы поддержки пользователей в связи с инцидентом и другие. Наиболее значимая часть страховой выплаты — возмещение убытков от перерыва деятельности. Страховая компания возмещает упущенную прибыль и затраты, которые страхователь продолжает нести, несмотря на перерыв, отмечает эксперт.
Как будет развиваться страхование киберрисков
По мере накопления статистики расследования спорных случаев и реальных выплат услуги по страхованию киберрисков войдут в такую же практику, как корпоративное страхование от пожаров и травм на производстве, считает генеральный директор группы компаний «Гарда» Рустэм Хайретдинов. По его словам, еще предстоит накопить историю оспаривания выплат, развить независимую экспертизу по юридически значимому определению виновника ущерба.
По словам Глеба Яковлева, страховщики могут сталкиваться с трудностями в оценке киберрисков, что приводит к высоким страховым премиям: часто сам страхователь не готов предоставлять достаточно сведений о своей информационной системе.
Сложность расчета ущерба и высокая вариативность инцидентов пока препятствуют массовому применению киберстрахования, отмечает проджект-менеджер MD Audit (группа компаний Softline) Кирилл Левкин. По его словам, наиболее активны крупные компании, которые проходят международные аудиты и выстраивают зрелые процессы. Для среднего бизнеса киберстрахование пока остается точечным инструментом, который применяется после создания базовой системы ИБ.
Впрочем, в ближайшие три—пять лет участники рынка прогнозируют увеличение числа компаний, страхующих киберриски в корпоративном сегменте. Также ожидается рост популярности простых решений для малого бизнеса и индивидуальных предпринимателей.
