Основатель
August 24, 2025
31 min read
Страхование кибербезопасности представляет собой специализированные полисы, предназначенные для защиты бизнеса от финансовых последствий кибератак. С начала 2020-х годов наблюдается стремительный рост программ-вымогателей, утечек данных и сложных киберугроз, что повышает спрос предприятий на страхование от подобных рисков. Поскольку традиционные полисы страхования ответственности или имущества, как правило, не полностью покрывают киберинциденты, корпоративное киберстрахование стало критически важным инструментом управления рисками. Данная работа рассматривает область покрытия корпоративного страхования кибербезопасности, продукты ведущих страховых компаний, применение в секторе Blockchain, существующие в этой области вызовы, регулирование, новые тенденции и угрозы в период 2023-2025 годов, а также выделяющиеся примеры из практики.
Корпоративные полисы киберстрахования разработаны для покрытия различных видов убытков, возникающих в результате киберинцидента. Покрытие от собственного ущерба (first-party) включает прямые финансовые издержки, которые несет застрахованная компания; к ним относятся, например, расходы на восстановление систем после кибератаки, восстановление данных, упущенная выгода из-за простоя в бизнесе и суммы выкупа, уплаченные при атаках программ-вымогателей. Покрытие ответственности перед третьими лицами (third-party) компенсирует юридическую ответственность, возникающую в результате влияния киберинцидента на клиентов, деловых партнеров или другие внешние стороны; например, в эту категорию входят судебные иски, инициированные пострадавшими лицами в случае утечки данных, штрафы, налагаемые регулирующими органами (если их страхование юридически допустимо), и компенсация за потерю репутации.
В целом, корпоративные киберполисы обычно покрывают следующие основные статьи расходов:
Расходы на реагирование на инциденты/нарушения: Полисом покрываются обязательные расходы после утечки данных, такие как судебно-криминалистическая экспертиза, юридические консультации, оповещение пострадавших лиц, организация колл-центра и услуги кредитного мониторинга.
Перерыв в коммерческой деятельности и упущенная выгода: Покрываются упущенная прибыль и дополнительные расходы, которые несет компания из-за отключения систем или прерывания услуг в результате кибератаки. Некоторые полисы могут включать покрытие перебоев в работе поставщиков (contingent business interruption), включая упущенную выгоду, вызванную проблемами у сторонних поставщиков услуг.
Выкуп и кибершантаж: Выкупы, уплаченные при атаках программ-вымогателей, расходы на консультации и ведение переговоров в случаях шантажа включены в полисы в качестве основного покрытия.
Ответственность и судебные издержки: В рамках полиса оплачиваются судебные иски, поданные третьими лицами в результате таких инцидентов, как утечка данных клиентов или сотрудников, расходы на защиту и судебные компенсации. В некоторых юрисдикциях штрафы от регулирующих органов, таких как GDPR, налагаемые за неспособность защитить персональные данные, могут покрываться страховкой (в зависимости от законодательства каждой страны).
Управление репутацией и PR: Во многих полисах предусмотрены расходы на консультации по связям с общественностью и коммуникации, осуществляемые с целью защиты репутации бренда компании после инцидента.
Физический ущерб и телесные повреждения: Традиционно киберполисы покрывают цифровой ущерб, однако некоторые продвинутые продукты были расширены, чтобы включать физический ущерб и телесные повреждения третьих лиц, вызванные кибератаками. Например, продукт CyberEdge Plus компании AIG также включает в качестве основного покрытия физическую потерю имущества, телесные повреждения третьих лиц и материальный ущерб, вызванный киберинцидентом.
При изучении общих условий полисов видно, что страховщики обуславливают предоставление покрытия внедрением компанией определенных мер безопасности. Например, в специальные условия полиса могут входить такие требования, как использование многофакторной аутентификации (MFA), регулярное резервное копирование, проведение обучения сотрудников по кибербезопасности и наличие плана реагирования на инциденты. С 2024 года киберстраховщики стали требовать от компаний доказательств фактической реализации этих мер в своих заявках (эпоха доверия к простой декларации заканчивается). Аналогичным образом, обязанность доказать, что застрахованный выполнил свои обязательства по обеспечению безопасности в соответствии с полисом в момент инцидента, все больше возлагается на застрахованное лицо. В полисах также начинают четко определяться ситуации, исключенные из покрытия (исключения), такие как война, терроризм, атаки, спонсируемые государством, и катастрофические события, которые широко затрагивают инфраструктуру. Например, многие полисы исключают из покрытия события, которые могут быть квалифицированы официальными органами как «военные действия» или «атаки, спонсируемые государством» (об этом будет сказано в примерах судебных дел ниже). Подобные исключения являются частью усилий страховой отрасли по контролю крупномасштабных системных рисков.
Будьте в курсе наших новых статей, мнений и практических исследований в области блокчейна первыми.
На рынке страхования кибербезопасности существуют международные страховые компании, которые выделяются как по объему предоставляемых услуг, так и по разнообразию продуктов. Ниже представлена краткая информация о некоторых лидерах в этой области и предлагаемых ими продуктах:
Полисы CyberEdge покрывают собственные убытки, такие как расходы на утечку данных, упущенную выгоду от простоя в бизнесе, выкуп и другие. CyberEdge Plus также включает физический ущерб, телесные повреждения третьих лиц и материальные убытки, вызванные кибератакой. AIG также предлагает клиентам услуги по оценке рисков и постоянному мониторингу безопасности с помощью своих консультантов по киберрискам и инструмента CyberMatics®.
Полис Cyber ERM от Chubb основан на трех основных принципах: снижение рисков до инцидента, быстрое реагирование после инцидента и передача оставшихся рисков. Он охватывает широкий спектр рисков, включая: перерыв в коммерческой деятельности, вызванный кибератакой, человеческой ошибкой или системным сбоем; расходы на восстановление и потерю данных; судебные издержки, включая договорные компенсации; расходы на расследования со стороны регулирующих органов; выплаты выкупа и кибершантажа; а также ответственность, возникающая в результате раскрытия персональных данных. Chubb имеет значительную долю на рынке киберстрахования с более чем 20-летним опытом (доля рынка 36% по состоянию на 2019 год).
Полис Cyber Protect от Allianz, предлагаемый на глобальном уровне, обеспечивает очень широкую защиту, покрывая убытки от простоя в бизнесе, вызванные техническим сбоем, человеческой ошибкой или официальными нормативными предписаниями; косвенные убытки от перерыва в коммерческой деятельности, вызванного проблемами у поставщиков; ответственность перед третьими лицами, возникающую в результате нарушений сетевой безопасности; расходы на кибервымогательство (extortion), вызванное атаками программ-вымогателей; ответственность за утечку данных; расходы на внутренние расследования для ответа на запросы регулирующих органов; и штрафы за несоответствие стандартам PCI-DSS. Каждый полис разрабатывается с учетом подробной оценки профиля рисков компании, предлагая гибкие решения в соответствии с потребностями.
Lloyd’s — это не один продукт, а рынок, который предоставляет емкость для киберстрахования через свои синдикаты. Например, синдикат Lloyd’s Beazley предлагает свой полис “InfoSec”, который предоставляет глобальным корпорациям такое покрытие, как юридическая защита, уведомление и кризисное управление, кредитный мониторинг, перерыв в коммерческой деятельности, выкуп и восстановление данных. Рынок Lloyd’s известен своей способностью предоставлять высокие лимиты покрытия для крупных корпоративных рисков. Однако с 2023 года Lloyd’s обязал своих членов-страховщиков включать в независимые киберполисы исключения для атак, спонсируемых государством, и киберинцидентов, связанных с военными действиями. Этот шаг направлен на предотвращение потрясений на страховом рынке из-за разрушительных киберрисков на уровне национальных государств. Например, с марта 2023 года киберполисы, предоставляемые на рынке Lloyd’s, начали исключать из покрытия убытки, возникающие в результате крупномасштабных событий, затрагивающих функционирование и безопасность страны.
Обе компании являются специализированными страховщиками, родом из Lloyd’s, и предлагают киберполисы широкому кругу клиентов, от малого и среднего бизнеса до крупных организаций. Hiscox известен своим ежегодным отчетом Cyber Readiness Report и разрабатывает доступные полисы, особенно для МСП. В их покрытие входят упущенная выгода, репутационный ущерб, расходы на компьютерную криминалистику и уведомления, убытки, связанные с перебоями в работе поставщиков, и другие элементы. Beazley предоставляет услуги в глобальном масштабе таким отраслям, как здравоохранение, финансы и розничная торговля; его полис InfoSec предлагает такое покрытие, как юридическая защита, кризисное управление, мониторинг личности, простой в бизнесе, выкуп и восстановление данных. Обе компании выделяются своим опытом в области крупномасштабного киберущерба и сосредоточены на услугах по снижению рисков до инцидента (например, Hiscox Risk Academy).
AXA — еще один глобальный игрок, который сотрудничает с Accenture для предоставления клиентам интегрированных услуг по киберстрахованию. Ее полис разработан на принципах гибкого покрытия, проактивного управления рисками и клиентоориентированного урегулирования убытков. Области покрытия включают перерыв в коммерческой деятельности и дополнительные расходы, ответственность за утечку данных, потерю электронных активов, расходы на компьютерную криминалистику, расходы на связи с общественностью и уведомления, судебную защиту и штрафы от регулирующих органов, восстановление данных и выплаты кибервыкупа. AXA XL также предоставляет каждому клиенту исчерпывающий отчет об угрозах до заключения полиса и обеспечивает правильное реагирование на киберинцидент под руководством Accenture.
Помимо вышеупомянутых компаний, такие страховщики, как Zurich, Travelers, Liberty Mutual, CNA, и insurtech-стартапы, как Coalition и At-Bay, также активно работают в сфере киберстрахования. Например, полис CyberRisk от Travelers предлагает широкое покрытие, включающее даже мошенничество с помощью социальной инженерии (фишинг) и мошенничество с платежами через поставщиков/продавцов, в то же время требуя от клиентов подготовить подробную оценку киберрисков и план реагирования на инциденты с помощью NetDiligence перед заключением полиса. В целом, большинство крупных страховых групп обновляют свои продуктовые линейки, специально предназначенные для киберрисков, и сосредотачиваются как на предоставлении широкого покрытия, так и на предотвращении убытков с помощью услуг инженерии рисков.
Сектор Blockchain и криптовалют по своей природе основан на цифровых активах, что делает его особенно уязвимым для киберрисков. В то время как распределенная и криптографическая природа инфраструктуры Blockchain считается безопасной, на уровне приложений, таких как криптовалютные биржи, цифровые кошельки и смарт-контракты, происходит множество инцидентов безопасности. Эта ситуация побудила поставщиков киберстрахования разрабатывать специализированные решения для сектора Blockchain.
Страховщики начали адаптировать свои продукты для уникальных рисков, которым могут подвергаться компании, работающие с Blockchain. Например, на рынке Lloyd’s в 2020 году в сотрудничестве с Coincover была разработана страховка криптовалютных кошельков. Этот продукт обеспечивает защиту от риска кражи криптовалюты, хранящейся в онлайн-кошельках (hot wallet), и сумма покрытия динамически корректируется в зависимости от колебаний стоимости криптоактива на протяжении срока действия полиса. Этот инновационный полис гарантировал, что стоимость активов клиента остается застрахованной по текущей рыночной цене, несмотря на волатильность цен на криптовалюту.
Аналогичным образом, некоторые специализированные страховые стартапы предлагают полисы от киберпреступлений и краж для криптобирж и сервисов хранения активов. Например, американская компания Coalition предоставляет гибридное покрытие, которое защищает компании из криптовалютного сектора как от классических кибератак, так и от краж криптовалюты.
Страховая отрасль также начала использовать технологию Blockchain в своих собственных процессах. Очевиден потенциал для развития в таких областях, как безопасный обмен данными при анализе рисков, автоматические выплаты компенсаций с помощью смарт-контрактов в процессе урегулирования убытков и повышение скорости и прозрачности в операциях перестрахования, благодаря использованию Blockchain в сочетании с искусственным интеллектом. Например, в решениях по параметрическому киберстрахованию смарт-контракты могут автоматически осуществлять выплаты, когда происходит определенное событие-триггер (например, перерыв в работе на определенный период), ускоряя процесс урегулирования убытков.
Анализ рисков для сектора Blockchain является более сложным по сравнению с традиционным бизнесом. Страховщики учитывают как преимущества, обусловленные структурой децентрализованных сетей (например, отсутствие единой точки отказа), так и новые области рисков, такие как уязвимости смарт-контрактов или кража закрытого ключа (private key). Атаки, происходящие на платформах децентрализованных финансов (DeFi) (например, известный инцидент с DAO или различные хаки DeFi-протоколов в 2020-х годах), показывают, что системы Blockchain не лишены недостатков. Поэтому страховщики при оценке компаний, работающих с Blockchain, сосредотачиваются на следующих вопросах:
Аудиты смарт-контрактов: Проходили ли используемые компанией смарт-контракты независимые проверки безопасности? Были ли устранены уязвимости в коде?
Управление ключами: Используются ли в процессах хранения криптоактивов мультиподпись (multi-sig) или аппаратные модули безопасности? Насколько надежно защищены закрытые ключи?
Кибергигиена и сетевая безопасность: На каком уровне находится общая IT-инфраструктура компании, ее облачные системы и киберсознательность сотрудников? Насколько высок уровень защиты от традиционных атак (фишинг, вредоносное ПО)?
Соответствие требованиям регулирующих органов: Соблюдает ли компания криптовалютное законодательство стран, в которых она работает? Применяет ли она проверки по принципу "Знай своего клиента" (KYC) и противодействию отмыванию денег (AML)?
При разработке полисов для этого сектора страховщики также сталкиваются с трудностями в оценке рисков, обусловленными децентрализованной структурой. Например, в традиционном страховании вероятность убытков моделируется на основе исторических данных; однако в сфере Blockchain существует ограничение на достаточный объем актуарных данных из-за новизны технологии и быстрого развития векторов атак. Поэтому страховщики пытаются прогнозировать возможные убытки с помощью таких методов, как машинное обучение и сценарный анализ. Тем не менее, одним из преимуществ киберстрахования для сектора Blockchain является его роль в стимулировании стандартов безопасности в отрасли. Поскольку для получения полиса компании должны внедрять определенные меры безопасности, страхование помогает снизить существующий уровень риска. Возрастающая роль киберстрахования в индустрии Blockchain может способствовать повышению и совершенствованию стандартов безопасности.
При страховании компаний, ориентированных на Blockchain и криптовалюты, возникают различные проблемы как для страховщиков, так и для потенциальных страхователей.
Поскольку компании, работающие с Blockchain, действуют в инновационном и быстро меняющемся секторе, страховщики склонны рассматривать эту область как высокорисковую. Многочисленные крупномасштабные атаки на криптовалютные биржи в прошлом и настоящем заставляют страховые компании проявлять осторожность. Из-за ограниченности исторических данных об убытках и неопределенности рисков страховые премии устанавливаются относительно высокими. Например, по сравнению с традиционной технологической компанией аналогичного размера, премия по киберполису для криптофинансовой компании может быть значительно выше, поскольку страховщик предполагает более высокую вероятность и больший размер потенциального убытка в случае атаки.
Колебания цен на криптоактивы могут усложнить определение размера страхового покрытия. Поскольку стоимость активов, которые требуется застраховать (например, резерв цифровых активов биржи), может резко расти или падать за короткое время, определить подходящий лимит покрытия становится очень сложно. Несмотря на такие инновации, как упомянутый выше полис с динамическим лимитом, разработанный Lloyd’s для смягчения этой проблемы, колебания стоимости остаются источником неопределенности для страховщиков.
Сектор криптовалют до сих пор не имеет четких правовых рамок во многих странах. Для страховщиков неопределенная регуляторная среда представляет собой риск. Например, обвинение криптокомпании в незаконной деятельности в какой-либо стране может быть расценено как «вина страхователя» по полису, что создаст проблемы с выплатой возмещения. Кроме того, двусмысленность правового статуса криптоактивов в некоторых странах приводит к колебаниям в их страховании.
Многие стандартные киберполисы могут напрямую не включать в покрытие кражу криптоактивов или ошибки в смарт-контрактах. Страховщики ограничивают свои риски, добавляя подобные исключения в традиционные полисы. Это может затруднить для компаний, работающих с Blockchain, поиск полиса, который полностью удовлетворяет их потребности. Например, если «кража цифровой валюты» является исключением в полисе, кражи из криптокошельков не будут покрываться.
GRC (Управление, Риски и Соответствие) в контексте токенизацииУслугиJuly 12, 2025👤Genesis Hukuk
Для преодоления трудностей в этой области вступают в игру страховые компании и брокеры, которые специализируются на данном секторе. Такие компании, как Evertas, которые сосредоточены исключительно на страховании цифровых активов, или криптоподразделения традиционных страховщиков, адаптируют полисы под потребности компаний, работающих с Blockchain. Таким образом, могут быть созданы комбинированные пакеты, например, страхование киберответственности + страхование от криптопреступлений для криптобиржи. Технологически ориентированные брокеры, такие как Founder Shield, предлагают компаниям, работающим с Blockchain, интегрированные решения, включающие несколько видов страхования: киберответственность, страхование от преступлений (crime), профессиональная ответственность (E&O) и ответственность руководителей (D&O).
Страховщики сотрудничают с компаниями, специализирующимися на кибербезопасности, чтобы лучше понимать риски компаний, работающих с Blockchain. Например, может быть обязательным проведение всестороннего технического аудита (тестирование на проникновение, анализ кода) перед заключением полиса. Некоторые страховые компании также предоставляют своим клиентам консультационные услуги по безопасности на протяжении всего срока действия полиса, чтобы снизить риски и уменьшить вероятность убытков.
Крупные игроки в криптосекторе, не имея возможности найти адекватное коммерческое страхование, прибегают к методам самострахования. Некоторые крупные криптобиржи вместо страхования создают «резервные фонды на случай чрезвычайных ситуаций» для защиты активов клиентов. Например, биржа Binance обещает покрыть убытки пользователей в случае взлома платформы с помощью пула под названием «Фонд SAFU» — это фактически механизм самострахования. В будущем также могут появиться отраслевые пулы или структуры взаимного страхования (mutual insurance).
Частью долгосрочного решения является совершенствование стандартов безопасности в компаниях, работающих с Blockchain. Чем выше внутренняя безопасность компании, тем легче ей найти страхование и получить полис на выгодных условиях. Страховщики будут более охотно предоставлять полисы или предлагать скидки на премии компаниям, которые используют такие меры, как кошельки с мультиподписью, холодное хранение и аудит смарт-контрактов. Фактически, некоторые полисы уже начали предлагать скидки на премии для компаний, работающих с Blockchain, которые соответствуют определенным критериям кибергигиены.
По всему миру наблюдаются различные подходы к регулированию и поощрению страхования кибербезопасности. В частности, на рынках США, ЕС и Азии развиваются регулирующие нормы и стандарты, которые влияют как на страховой сектор, так и на страхователей.
В США на федеральном уровне нет закона, обязывающего предприятия приобретать киберстрахование. Однако стабильность рынка киберстрахования и его значение для национальной киберустойчивости становятся все более важной темой. В 2023 году в Национальной стратегии кибербезопасности Белого дома была поставлена цель по изучению возможности федеральной страховой поддержки (backstop) для сценариев крупномасштабных киберкатастроф. Федеральное управление по страхованию (FIO) при Министерстве финансов США провело обширные исследования по этому вопросу и к концу 2023 года пришло к предварительным выводам, что для защиты от катастрофических киберрисков может потребоваться федеральный страховой механизм в рамках государственно-частного партнерства. Например, в ноябре 2023 года представители Министерства финансов заявили, что «правильно разработанное федеральное страховое решение может поддержать практику частного сектора, решая проблему хвостовых рисков (tail risks)». Основная причина этой инициативы — обеспечить восстановление экономики в случае кибератаки такого масштаба (например, вывод из строя критической инфраструктуры на национальном уровне), с которым страховщики не могут справиться в одиночку.
Усугубляет этот риск ограниченность исторических данных о крупной киберкатастрофе и при этом безграничность потенциального воздействия таких событий (способность распространяться без географических ограничений). Поэтому обсуждается модель государственного перестрахования или гарантийного фонда для киберрисков, аналогичная закону TRIA, принятому после 11 сентября для рисков терроризма. Хотя пока нет законодательных актов по этому вопросу, вполне вероятно, что в 2024 году и в последующие годы в США будут предприняты конкретные шаги в отношении механизмов поддержки киберстрахования. С другой стороны, поскольку в США страховой сектор регулируется на уровне штатов, в некоторых штатах могут существовать стимулы для киберстрахования для финансовых учреждений или критических секторов. Такие регуляторы, как Департамент финансовых услуг штата Нью-Йорк (NYDFS), считают использование страхования в управлении киберрисками финансовыми учреждениями одной из лучших практик. Кроме того, Национальная ассоциация страховых комиссаров (NAIC) следит за рынком киберстрахования и публикует руководства для страховых компаний по управлению накоплением рисков (accumulation risk) в этой области.
С точки зрения отраслевых стандартов в США, система кибербезопасности, опубликованная Национальным институтом стандартов и технологий (NIST), помогает компаниям управлять рисками, косвенно создавая основу для страхования. Страховщики могут учитывать степень соответствия компании таким стандартам, как NIST CSF, при оценке рисков. Кроме того, крупные страховщики установили свои собственные минимальные требования к безопасности, которые стали фактическими стандартами — например, активация многофакторной аутентификации (MFA) для всех удаленных доступов, регулярное резервное копирование всех критически важных данных и своевременное применение обновлений теперь являются «обязательными» условиями полисов.
В Европе также наблюдается растущий интерес и регулятивное обсуждение киберстрахования. На уровне ЕС нет прямого регулирования, гласящего: «компании должны приобретать киберстрахование», но существуют некоторые законодательные акты, имеющие косвенное влияние. Общий регламент по защите данных (GDPR) может налагать высокие административные штрафы на компании в случае утечки данных (до 4% от оборота). Хотя страховое покрытие этих штрафов запрещено законодательством некоторых государств-членов (например, в Германии оплата административных штрафов за счет страховки считается противоречащей общественному порядку), сам риск, связанный с GDPR, подтолкнул компании к киберстрахованию. Это связано с тем, что расходы, вызванные утечкой данных, такие как юридические консультации, компьютерная криминалистика, уведомление клиентов и возможные иски о компенсации, могут быть покрыты страховкой.
Директива NIS2 (пересмотренная Директива по безопасности сетей и информационных систем), вступившая в силу в 2023 году, делает управление киберрисками обязательным для компаний в критических секторах (энергетика, транспорт, здравоохранение, финансы и т. д.) и определенного размера. Хотя NIS2 не требует напрямую страхования, она обязывает эти компании принимать меры по снижению рисков и возлагает ответственность на высшее руководство. В этом контексте киберстрахование также начало рассматриваться операторами критической инфраструктуры как инструмент передачи риска. Агентство ЕС по кибербезопасности (ENISA) в 2023 году опубликовало отчет об использовании киберстрахования среди поставщиков операционных услуг (OES). В отчете было установлено, что компании из критических секторов по-прежнему сталкиваются с различными проблемами в отношении киберстрахования. Например, многие компании, участвовавшие в опросе, жаловались на сложность условий полисов и неопределенность покрытия. ENISA предлагает, что проникновение страхования в этой области можно увеличить за счет большего обмена данными и стандартизации. Кроме того, в Европе существуют правила для управления собственными рисками страховых компаний; Lloyd’s и другие европейские перестраховщики начали уточнять формулировки полисов в отношении «тихого кибера» (киберриски, явно не определенные в полисах). Система регулирования достаточности капитала Solvency II также требует от страховых компаний учитывать серьезные хвостовые риски (tail risk), которые могут возникнуть в портфеле компании из-за киберрисков. Поэтому европейские страховщики идут по пути разделения крупных киберрисков через перестрахование или пулы участия.
В Европе также существуют собственные отраслевые стандарты. Например, для оценки киберрисков на страховом рынке были созданы Инициативы по обмену данными (такие как платформы типа CyberAcuView, которые, хоть и ориентированы в основном на США, имеют и европейских участников). Цель состоит в том, чтобы создать общий пул опыта для более точного ценообразования и условий.
Рынок страхования кибербезопасности в Азии стремительно растет под влиянием регулирования и ускорения цифровизации в регионе. В последние годы такие страны, как Сингапур, Япония, Южная Корея и Австралия, приняли комплексные политики по управлению киберрисками. Денежно-кредитное управление Сингапура (MAS) опубликовало правила кибергигиены для финансового и страхового секторов (например, MAS TRM Notice), установив минимальные обязательные меры безопасности для учреждений. По мере вступления в силу законов о защите данных в азиатских странах (например, Сингапурский PDPA, Японский APPI, законопроект о Законе о защите цифровых персональных данных Индии), обязательства по уведомлению об утечках и штрафные положения повышают осведомленность компаний о рисках.
В частности, регулирующие нормы в Азии косвенно подталкивают компании к киберстрахованию. Например, в некоторых юрисдикциях (таких как Сингапур, Малайзия) от компаний, работающих в критических секторах, ожидается наличие определенного уровня страхования киберрисков. Согласно отчету Gallagher Re за 2024 год, рынок киберстрахования в Азиатско-Тихоокеанском регионе расширяется с темпами роста до 50% в год и по состоянию на начало 2024 года составляет около 7% от мировых премий. Одной из важных движущих сил этого является рост спроса, обусловленный регулированием: по мере того как многие азиатские страны вводят в действие новые законы о защите данных, наличие адекватного покрытия киберстрахования становится практически требованием соответствия этим законам. Например, Закон Китая о кибербезопасности и Закон о безопасности данных возлагают на компании серьезную ответственность, что приводит к расширению страховых полисов для покрытия этих рисков.
В Азии также развиваются отраслевые стандарты и инициативы. Правительство Японии проводит кампании по повышению осведомленности малого и среднего бизнеса (МСБ) о киберстраховании; финансовый регулятор Южной Кореи опубликовал руководство по стратегиям передачи киберрисков для банков. Еще одним примечательным моментом в регионе APAC является разнообразие рынка: наряду с глобальными игроками, такими как AIG, Chubb, Beazley, Zurich, местные/региональные компании, такие как Sompo Japan, Tokio Marine, Ping An, также предлагают киберпродукты. Хотя отсутствие стандартизации и различия в формулировках полисов по-прежнему считаются проблемой, перестраховщики и брокеры также работают над внедрением более понятных условий полисов и методов моделирования рисков в Азии. Кроме того, для того чтобы киберстрахование было принято не только крупными компаниями, но и МСБ, в Азии обсуждаются программы государственной поддержки (обучение по повышению осведомленности, возможно, субсидии).
Таким образом, на регулятивном фронте США ищут национальное решение, ЕС фокусируется на обязательном управлении рисками и отраслевых рекомендациях, а Азия следует путем, способствующим распространению страхования посредством регулятивного соответствия. Во всех трех регионах продолжают развиваться стандарты, направленные на уточнение рамок и объема киберстрахования.
Последние несколько лет стали периодом, когда в среде киберрисков появились как новые угрозы со стороны злоумышленников, так и важные тенденции со стороны страхового сектора. Период с 2023 по 2025 год, когда цифровая трансформация после пандемии стала постоянным явлением, а геополитическая напряженность отразилась в киберпространстве, полон уроков для корпоративного киберстрахования.
2023 год стал годом, когда атаки программ-вымогателей буквально вернулись. Хотя в 2022 году наблюдалась временная тенденция к снижению, в 2023 году количество атак программ-вымогателей по всему миру снова достигло рекордного уровня. Глобальное число зафиксированных атак программ-вымогателей в 2023 году выросло на 74% по сравнению с предыдущим годом. Такие группировки, как LockBit, выделялись как самые активные субъекты угроз (на варианты LockBit приходилось около четверти всех зарегистрированных атак в 2023 году). Злоумышленники продолжали атаковать критически важную инфраструктуру, медицинские учреждения, государственные органы и крупные компании. Фактически, в 2023 году наблюдался драматический рост числа атак программ-вымогателей на сектор здравоохранения на 128%; глобальное количество атак на медицинские учреждения подскочило со 113 до 258 за один год, и сектор здравоохранения стал одной из наиболее атакуемых отраслей.
Метод «двойного вымогательства» (угроза копирования и утечки данных в дополнение к их шифрованию) стал стандартом в программах-вымогателях, в то время как некоторые группировки усилили давление с помощью тактики «тройного вымогательства» (например, шантаж клиентов). 2023 год также стал годом, когда атаки на цепочки поставок попали в заголовки новостей — тысячи организаций были взломаны через уязвимость нулевого дня в широко используемом программном обеспечении для передачи файлов MOVEit, что привело к утечкам данных из многих организаций, включая BBC и British Airways, и продемонстрировало цепную реакцию одной уязвимости программного обеспечения. Такие атаки повышают для страховщиков обеспокоенность «катастрофическим риском», поскольку одна уязвимость может одновременно затронуть большое количество организаций.
Успехи программ-вымогателей в 2023 году также отразились на суммах выкупа, которые были запрошены и выплачены. По данным Chainalysis, в 2023 году злоумышленники получили платежи через криптовалюты на общую сумму более 1 миллиарда долларов США — это самый высокий годовой показатель выплат выкупа за всю историю наблюдений. Рекордный рост выплат выкупа в 2023 году после их снижения в 2022 году показывает, насколько прибыльной и, следовательно, привлекательной остается эта угроза. Например, в сентябре 2023 года такие крупные компании, как MGM Resorts, подверглись атаке программы-вымогателя; хотя MGM решила не платить выкуп, простой в работе ее систем на несколько дней обошелся компании примерно в $100 миллионов. Эти убытки показывают, что косвенные расходы, связанные с программами-вымогателями (простой в бизнесе, восстановление систем, компенсации клиентам), продолжают расти, независимо от того, был ли выплачен выкуп.
Накануне 2024 и 2025 годов субъекты угроз, использующие программы-вымогатели, продолжают диверсифицировать свою тактику; эксперты по безопасности отмечают рост новых методов, таких как фишинговые электронные письма на основе искусственного интеллекта и имитация высшего руководства с использованием голоса/изображения deepfake для обмана финансовых отделов (сообщается о случаях мошенничества, когда злоумышленник, используя голос deepfake, выдает себя за генерального директора и требует срочного перевода денег).
Параллельно с ростом угроз в секторе киберстрахования также происходят значительные изменения. Прежде всего, крупномасштабные убытки и компенсационные выплаты влияют на «аппетит» страховщиков. После участившихся убытков от программ-вымогателей в 2020-2021 годах в 2022 и 2023 годах наблюдалось заметное повышение премий по киберстрахованию. Особенно в отраслях с большим количеством убытков (например, здравоохранение, образование) стало обычным явлением повышение премий на 30-50% при продлении полисов. В секторе здравоохранения в 2023 году в некоторых полисах рост премий превысил 100%.
С 2024 года страховщики больше не удовлетворяются заявлениями клиентов и требуют подтверждения реального положения дел. Например, простого заявления «Да, мы делаем резервное копирование» может быть недостаточно, и иногда требуется предоставление отчетов о резервном копировании. Точно так же, при запросе возмещения убытков после инцидента, бремя доказывания того, что страхователь выполнил меры безопасности, обещанные в полисе, теперь ложится на него самого. Эти изменения направлены на снижение проблем «морального риска», которые страховщики испытывали в прошлом (то есть на предотвращение пренебрежения компаниями инвестициями в безопасность под предлогом, что они застрахованы).
Были уточнены и стали более распространенными исключения для военных действий и атак, спонсируемых государством. Правило, введенное Lloyd’s в 2023 году, обязало все независимые киберполисы включать положения, исключающие из покрытия определенные атаки, спонсируемые государством. В связи с этим Лондонская ассоциация страховщиков (LMA) опубликовала различные типовые положения (такие как LMA5564 и его производные), которые определяют сценарии исключения разного уровня. В итоге, сегодня многие крупные страховые полисы исключают из покрытия разрушительные атаки, совершаемые национальными государствами, или крупномасштабные инциденты «кибервойны», даже если они происходят в мирное время. Эта ситуация напрямую связана с влиянием на отрасль судебных процессов, таких как дело Merck (см. ниже).
Коррелированная (взаимосвязанная) природа киберрисков и их способность затрагивать нескольких клиентов одновременно заставили перестраховщиков (учреждения, которые страхуют страховые компании) проявлять осторожность. Если несколько лет назад некоторые перестраховщики сокращали свои киберпортфели, то к 2023 году начал вновь появляться сигнал доверия. Альтернативный капитал (например, ценные бумаги, связанные со страхованием) медленно, но верно входит в киберпространство; например, в последнем квартале 2023 года впервые были выпущены катастрофические облигации, основанные исключительно на киберрисках, что обеспечило передачу емкости на общую сумму более ~400 миллионов долларов. Такие инновации в долгосрочной перспективе могут способствовать углублению рынка киберстрахования.
Продукты параметрического киберстрахования обсуждаются как решения, ускоряющие процесс урегулирования убытков, выплачивая фиксированную компенсацию в случае наступления определенного события (например, простой облачного сервиса на срок более X часов). Хотя они еще не получили широкого распространения, некоторые стартапы уже выпустили подобные продукты. Кроме того, страховые компании стандартизировали предоставление клиентам услуг, предшествующих инциденту. Например, многие полисы теперь включают круглосуточную горячую линию экстренного реагирования и поддержку от партнерских компаний по кибербезопасности в случае кибератаки. Крупные игроки, такие как Chubb, AIG, Beazley, создали собственные команды по реагированию на инциденты и консультационные сети. Таким образом, клиенты знают, к кому обратиться в момент инцидента, и могут предпринять быстрые действия, что предотвращает рост убытков. В целом, страховой сектор эволюционирует от «просто выплачивающего убытки» к роли «партнера по управлению рисками».
Подавляющее большинство компаний из списка Fortune 500 теперь имеют киберполисы. Осведомленность также растет среди МСП, но в некоторых регионах она все еще не достигла желаемого уровня (особенно в регионе APAC, где проникновение среди МСБ низкое, что указывает на серьезный потенциал роста). Тендеры на киберстрахование в некоторых секторах стали весьма конкурентными; например, в таких областях, как финансовые услуги или здравоохранение, лимиты страхования выросли (крупные банки могут создавать страховые программы на общую сумму более 300 миллионов долларов). Однако ужесточение рыночных условий и рост премий также подталкивают некоторые компании к сокращению покрытия или к самострахованию. К 2024 году стали появляться комментарии о признаках небольшого смягчения (softening) в секторе; предполагается, что с возможным улучшением частоты убытков и притоком новой емкости темпы роста премий могут замедлиться.
Страховщики начали проактивно выявлять уязвимости безопасности своих клиентов с помощью сканирования внешних уязвимостей, мониторинга darknet и других методов, и предупреждать их. Например, AIG заявила, что предоставляет владельцам полисов киберинформацию и предупреждает клиентов при обнаружении уязвимостей, что позволяет им принимать меры до того, как произойдет атака. Такие услуги трансформируют ценностное предложение страхования, превращая его из простой «финансовой компенсации» в непосредственные консультации по киберрискам. Со стороны клиентов также наблюдается тенденция к более активному обмену техническими данными со страховщиками, поскольку чем больше данных о безопасности предоставляется, тем более точные цены и более выгодные условия можно получить.
Ниже приведены некоторые примечательные инциденты, которые демонстрируют важность, объем или ограничения корпоративного киберстрахования:
В июне 2017 года разрушительное вредоносное ПО под названием NotPetya, которое изначально было нацелено на Украину, быстро распространилось на мировые компании. Американский фармацевтический гигант Merck & Co также пострадал от этой атаки, потеряв около 40 000 компьютеров и серверов, что привело к сбоям в производстве и операциях. Merck подал страховой иск на сумму 1,4 миллиарда долларов США в рамках своего полиса страхования имущества, чтобы возместить ущерб, причиненный этим инцидентом. Однако страховщики отказались платить, сославшись на исключение для «военных действий», поскольку утверждалось, что атака была связана с российской военной разведкой. Этот спор был передан в суд, и в 2022 году суд Нью-Джерси вынес историческое решение в пользу страхователя: суд постановил, что исключение для военных действий в полисе относится к традиционным физическим военным действиям, и это исключение не может быть применено к кибератаке. Он обязал страховщиков выплатить Merck надлежащую компенсацию. Это решение было названо революционным в страховом секторе, поскольку оно послужило прецедентом для аналогичных дел, таких как Mondelez против Zurich. В конечном итоге Merck и его страховщики достигли соглашения в начале 2024 года, завершив судебный процесс. Этот инцидент показал, что концепция кибервойны должна быть более четко определена в страховых полисах, и подготовил почву для таких отраслевых шагов, как предпринятый Lloyd’s в 2023 году.
В сентябре 2023 года сеть отелей и казино MGM Resorts, расположенная в Лас-Вегасе, привлекла внимание общественности после того, как в результате кибератаки были выведены из строя различные операционные системы, от систем бронирования до игровых автоматов. В течение примерно 10 дней сбоев клиенты не могли заселиться в отели, а казино работали вручную. В ноябре 2023 года компания объявила, что атака привела к финансовым потерям в размере около 100 миллионов долларов США. Однако примечательно, что в том же заявлении финансовый директор MGM Джонатан Халкьярд отметил, что они ожидают, что почти вся эта сумма будет покрыта их полисами киберстрахования. Благодаря своему всеобъемлющему киберстрахованию MGM сможет получить компенсацию за перерыв в коммерческой деятельности (business interruption) и в значительной степени возместить свои убытки. Этот случай демонстрирует критически важную роль киберстрахования в обеспечении финансовой непрерывности. Другая компания-казино, Caesars Entertainment, которая подверглась аналогичной атаке, объявила, что заплатила злоумышленникам 15 миллионов долларов США; считается, что часть выкупа была покрыта страховкой (точные детали засекречены). Дело MGM показало, какое огромное влияние может оказать социальная инженерия, которая позволяет злоумышленникам получить доступ к данным IT-сотрудника и использовать человеческие слабости, даже если применяется многофакторная аутентификация, и подчеркнуло важность страховых полисов для защиты от такого рода мошенничества.
В марте 2019 года норвежский производитель алюминия Norsk Hydro подвергся атаке программы-вымогателя LockerGoga. IT-системы на заводах компании по всему миру были заблокированы, а некоторые заводы временно остановились. Hydro приняла решение не платить выкуп и восстановила свои операции с помощью резервных систем. Общая стоимость инцидента была оценена примерно в 70 миллионов долларов США. Сообщалось, что благодаря киберстрахованию Hydro удалось возместить около 3,6 миллиона долларов из этой суммы. Хотя полис не покрыл весь убыток (оставшаяся большая часть была покрыта за счет собственных средств), руководство Hydro отметило, что поддержка, полученная от страховки, была критически важной. Этот случай показал важность реалистичного определения страховых лимитов; после инцидента Hydro увеличила свои страховые лимиты. Кроме того, компания следовала прозрачной коммуникационной стратегии, информируя общественность о кибератаке в режиме реального времени, за что получила высокую оценку. Это также интересный момент с точки зрения страхования: благодаря открытой коммуникации репутационный ущерб был ограничен, и, следовательно, убытки третьих лиц, которые должна была покрыть страховка, были относительно низкими.
В 2013 году ритейл-гигант Target пострадал от кибератаки, в результате которой были украдены данные кредитных карт 40 миллионов клиентов. Общая стоимость этого нарушения, которое в то время считалось колоссальным (судебные издержки, технологические улучшения, штрафы и т. д.), достигла примерно 250 миллионов долларов США. В те годы у Target был полис киберстрахования с лимитом в 100 миллионов долларов, и благодаря этому полису компания получила компенсацию в размере около 90 миллионов долларов, покрыв значительную часть своих убытков за счет страховки. Инцидент с Target называют «первым большим тестом» киберстрахования, поскольку до того момента не было выплат по таким крупным убыткам. Этот случай послужил уроком для других розничных и финансовых компаний, и после 2014 года в США наблюдался заметный рост спроса на киберполисы. В то же время страховщики также извлекли уроки из этой утечки: поскольку некоторые выплаты оказались выше ожидаемых, были внесены изменения в сегменты полисов и расчет премий. Например, расходы на мониторинг кредитных историй клиентов и создание колл-центра после нарушения оказались очень высокими, и страховщики думали установить для них сублимиты. Однако из-за конкуренции полисы продолжали предлагать широкое покрытие.
Пищевая компания Mondelez International также стала одной из компаний, пострадавших от атаки NotPetya. Сумма ущерба, заявленная компанией, превышала 100 миллионов долларов США, но ее страховщик Zurich отказался выплачивать возмещение, ссылаясь на исключение для военных действий. После многолетних судебных процессов, под влиянием событий в деле Merck, стороны достигли урегулирования в 2023 году. Дело Mondelez, наряду с делом Merck, является одним из наиболее важных примеров, поднявших вопрос о неопределенности «исключения для кибервойны». В результате этих судебных процессов обновление формулировок военных положений в полисах стало неизбежным.
В начале 2022 года криптобиржа Crypto.com потеряла криптовалюту на сумму около 30 миллионов долларов в результате атаки. Компания заявила, что компенсировала убытки пользователей, и отметила, что для этого частично использовалось страховое покрытие. В том же году сервис хранения криптовалюты BitGo также объявил, что имеет страховое покрытие на рынке Lloyd’s и обеспечивает защиту до 250 миллионов долларов от возможных краж. Такие примеры показывают, что компании, работающие с Blockchain, также начали приобретать крупные полисы. Однако, в результате гораздо более крупного инцидента, произошедшего в 2022 году — атаки на Axie Infinity/Ronin Network (кража криптовалюты на сумму около 600 миллионов долларов), — не существовало коммерческого страхования, которое могло бы покрыть такие колоссальные убытки. Команда проекта и инвесторы покрыли часть потерь за счет собственных ресурсов. Этот случай также упоминается как пример, показывающий, насколько ограниченными пока остаются страховые лимиты в криптосекторе.
Вышеупомянутые кейсы содержат важные уроки, касающиеся реального применения киберстрахования. Эти примеры демонстрируют, что детали полиса (исключения, условия) имеют решающее значение, что позиция страхователя в области безопасности влияет на процесс возмещения убытков, и что киберриски могут достигать неожиданных масштабов. В то же время, случаи, когда страхование ускоряет финансовое восстановление (как в MGM, Target), доказывают его ценность.
На корпоративном уровне страхование кибербезопасности стало незаменимым механизмом обеспечения безопасности для предприятий в современной сложной среде цифровых рисков. Всеобъемлющие полисы компенсируют многосторонний ущерб, который может возникнуть после кибератаки, в то время как консультационные услуги, предоставляемые до и после заключения полиса, повышают уровень защиты компаний. В период 2023-2025 годов сектор киберстрахования пережил внутренние преобразования (ужесточение андеррайтинга, новые продукты, инициативы с государственной поддержкой) и столкнулся с растущими угрозами, в первую очередь, со стороны программ-вымогателей. Новые области, такие как сектор Blockchain и криптовалют, также стали частью этой картины, и страховщики начали адаптировать свои продукты для этих отраслей.
Ожидается, что в ближайшие годы, под влиянием регулирующих норм, распространенность киберстрахования будет расти, а его стандарты — совершенствоваться. По мере углубления сотрудничества между страховыми компаниями и страхователями, будет развиваться совместная работа не только по возмещению финансовых убытков, но и по предотвращению атак и минимизации их последствий. В заключение, корпоративное страхование кибербезопасности будет продолжать играть ключевую роль в управлении рисками цифровой экономики, являясь важным столпом киберустойчивости предприятий.
Примите проактивные меры, чтобы свести к минимуму финансовые и юридические убытки, которые может вызвать потенциальная кибератака. Свяжитесь с нами, чтобы получить экспертную поддержку по вопросам адекватности вашего киберстрахования, интерпретации условий полиса или судебных процессов, которые могут возникнуть после киберинцидента.
Обеспечьте безопасность своего проекта с помощью наших комплексных решений по кибербезопасности, соблюдению регуляторных требований и управлению рисками.
