Многолетний опыт работы в сфере информационной безопасности научил меня одной неприятной истине. Когда я слышу фразу: «Зачем нам дополнительные бюджеты на ИБ-проекты? Мы же только что застраховали киберриски на 500 миллионов рублей. Пусть страховая разбирается», – у меня внутри всё сжимается.
Раньше я сравнивал это с билетом на «Русскую рулетку». Но с 2025 года правила игры изменились кардинально. Появился новый, мощный фактор – закон «Об оборотных штрафах». Теперь за утечку персональных данных компанию могут оштрафовать на процент от годовой выручки. Это уже не просто неприятность, это удар, способный уничтожить бизнес.
В панике перед новым законом, компании бросились покупать страховые полисы. Но делают это они вслепую, попадая в ловушку, которая в российских реалиях стала ещё опаснее.
Паника на фоне тревожной статистики
Давайте взглянем на цифры. С 2020 года количество кибератак растёт экспоненциально. В 2024 году МВД зафиксировало около 765 тысяч киберпреступлений, при этом раскрываемость составила катастрофические 25%. Первый квартал 2025 года показал ещё 20% рост. Хакеры атакуют многовекторными DDoS-атаками в пиковые периоды распродаж, вымогают деньги, занимаются шпионажем.
Видя эту статистику и новый закон об оборотных штрафах от Роскомнадзора, бизнес приходит к выводу: «Нужно срочно застраховаться от утечек и штрафов». И тут начинается самое интересное.
Иллюзия безопасности: Малый бизнес покупает «коробочное» решение
По данным Сбера, спрос на киберполисы со стороны малого и среднего бизнеса в 2024 году вырос в разы – с 2,4 млрд до 8,5 млрд рублей в совокупной страховой сумме. Небольшие компании массово приобретают готовые решения стоимостью 80–250 тысяч рублей в год, получая покрытие на 10–50 миллионов.
Это кажется спасением для ритейлера или фермера, у которого нет многомиллионного бюджета на ИБ. Но есть нюанс.
Российский рынок киберстрахования: «Дикий Запад»
В то время как на Западе киберстрахование – это отлаженный механизм, в России это пока ещё зарождающаяся ниша с объёмом всего в полмиллиарда рублей (потенциал до 2 млрд). Причина такого скромного размера – отсутствие сформированного рынка в классическом понимании.
«Коммерсантъ» точно подметил главную проблему: отсутствие стандартов оценки защищённости и острая нехватка киберсюрвейеров – специалистов, способных проводить ИБ-аудит для страховых компаний.
Как это выглядит на практике? Компания обращается за страховкой. Страховщик должен оценить риски, чтобы определить стоимость полиса (в России это 0,6–1,3% от страховой суммы). Но киберсюрвейеров нет, единой методики оценки – тоже. Более того, клиенты, охваченные паникой, опасаются показывать свою реальную IT-инфраструктуру страховщику, боясь утечки данных ещё до подписания договора.
В итоге полис продаётся практически вслепую, на основе бумажных анкет. И эта «слепота» аукнется при наступлении страхового случая.
Почему вам могут отказать в выплате: Российская специфика
Представьте ситуацию: на вас совершено «нападение». Хакеры заблокировали ваш интернет-магазин в самый разгар новогодних распродаж (та самая L7-атака, о которой говорят эксперты). Вы теряете миллионы, клиенты требуют компенсаций, Роскомнадзор готовит оборотный штраф. Вы звоните страховщику.
И тут начинается «враждебная инквизиция», но с российским колоритом. Страховщик нанимает единственных доступных на рынке форензик-экспертов. Их задача – найти причину для отказа в выплате. И они её найдут, потому что анкета, заполненная вашим генеральным или финансовым директором, зачастую не имеет ничего общего с реальным положением дел.
Ловушка №1: Нелицензионное ПО. Это стандартное исключение в любом российском полисе. Ваши системы зашифрованы. Эксперт обнаруживает на сервере пиратскую версию Windows Server или SQL. Результат – отказ в выплате. Вы остаётесь один на один с штрафами РКН.
Ловушка №2: Технический сбой против кибератаки. Полис активируется только при целенаправленной кибератаке. Если хакерская атака вызвала каскадный сбой (cascading failure), и страховщик сможет доказать, что система рухнула бы и без вмешательства хакера из-за ошибок в коде ваших разработчиков – это не является страховым случаем.
Ловушка №3: Скрытая халатность. Вы в анкете указали что используете последние версии антивирусного ПО и регулярно проводите резервное копирование. Однако, при детальном аудите выясняется, что антивирус не обновлялся полгода, а последняя резервная копия была сделана год назад. Страховщик, опираясь на эти факты, может заявить о вашей скрытой халатности, которая привела к уязвимости системы и, как следствие, к успешной атаке. Это также послужит основанием для отказа в выплате.
Ловушка №4: Несоответствие заявленных мер защиты реальным. В анкете вы могли указать наличие системы обнаружения вторжений (IDS/IPS), межсетевых экранов нового поколения и других продвинутых средств защиты. Но когда эксперты приступают к проверке, они обнаруживают, что эти системы либо отключены, либо настроены некорректно, либо вовсе отсутствуют. Страховщик сочтет это намеренным введением в заблуждение и откажет в выплате.
Выход из ловушки: Как не стать жертвой «Русской рулетки»
Итак, что же делать бизнесу, чтобы не попасть в эту опасную ловушку? Вот несколько рекомендации:
- Не полагайтесь только на страховку. Киберстрахование – это не панацея, а лишь один из инструментов управления рисками. Оно должно дополнять, а не заменять адекватные инвестиции в информационную безопасность. Помните, что даже при наличии полиса, вам придётся доказать, что вы предприняли все разумные меры для защиты своих данных.
- Проводите собственный аудит перед покупкой полиса. Не ждите, пока страховщик начнёт искать ваши уязвимости. Проведите независимый аудит вашей IT-инфраструктуры, выявите слабые места и устраните их. Это не только повысит ваши шансы на получение выплаты, но и реально снизит риск атаки.
- Внимательно читайте договор. Не подписывайте полис, не поняв до конца все его условия, исключения и ограничения. Обратите особое внимание на пункты, касающиеся определения кибератаки, ответственности сторон, порядка оценки ущерба и процедуры урегулирования убытков. При необходимости привлеките юристов, специализирующихся на страховом праве.
- Будьте честны с собой и страховщиком. Предоставляйте максимально полную и достоверную информацию о своей IT-инфраструктуре и мерах безопасности. Лучше потратить время на подготовку документов, чем потом столкнуться с отказом в выплате.
- Инвестируйте в квалифицированных специалистов. Наличие в штате или привлечение на аутсорсе грамотных ИБ-специалистов, которые понимают специфику российского законодательства и страховых продуктов, может стать решающим фактором при наступлении страхового случая.
- Изучайте рынок. Не останавливайтесь на первом предложенном варианте. Сравнивайте предложения разных страховых компаний, их репутацию, опыт работы на рынке киберстрахования и отзывы клиентов.
