Как страхуют киберриски в разных странах

«Делойт» в новостях

Как страхуют киберриски в разных странах

Страховщики пока не понимают, что они продают

По оценке Allied Market Research, к 2022 году глобальный рынок страхования киберрисков достигнет $14 млрд, а по оценке Allianz, в 2025 году он будет составлять $20 млрд. В 2016 году рынок страхования киберрисков в США увеличился на 35%, говорится в исследовании Fitch, до $1,35 млрд, но там считают, что в реальности он больше.

Но премии за киберриски — это капля в море для общего рынка страхования. В 2015 году страховщики США собрали $1,5–3 млрд таких премий, говорится в февральском исследовании «Делойта» (компания ссылается на оценки регуляторов и рейтинговых агентств). А общий размер премий, собранных в США в 2015 году, составил $505,8 млрд. В октябре 2016 года полис страхования киберрисков был лишь у 29% компаний США.

Всплеск спроса на страхование киберрисков отмечается каждый раз, когда происходит громкая хакерская атака, отмечают эксперты, опрошенные WSJ. Так было, например, после атаки на серверы Yahoo в 2014 году, когда хакеры взломали 500 млн паролей пользователей; кибератаки на Национальный комитет Демократической партии США в июне 2016 года и взлома IT-системы бюро кредитных историй Equifax, в результате которого в руки злоумышленников могли попасть личные данные 300 млн человек.

В 2017 году от программ-вымогателей Wannacry и Petya пострадали сотни тысяч компьютеров по всему миру. Одной из жертв стал датский промышленный конгломерат Moller-Maersk, владеющий крупнейшим в мире бизнесом контейнерных перевозок, его убытки составят $200–300 млн, пишет WSJ. У страховой компании AIG после атак Wannacry спрос на страхование киберрисков вырос в Азии на 87%, а в глобальном масштабе — на 38%, сообщает FT.

Tryg, крупнейшая датская страховая компания, ожидает, что через пять лет страховать киберриски будет 90% ее клиентов. «Не бывает сейчас корпоративных клиентов, которые не страхуют здания и автомобили, — сказал Reuters гендиректор Tryg Мортен Хюббе. — Думаю, через несколько лет станет столь же очевидно, что нужно страховать киберриски».

Продать кота в мешке

Рынок страхования киберрисков мог бы расти и быстрее — потенциальный спрос достаточно велик, — если бы не его незрелость. Страховщики не понимают, что именно они продают, а их клиенты — что именно они покупают. «Появилось так много новых страховых продуктов, которые еще не испытаны, — сказал WSJ вице-президент страховой компании Travelers Тим Фрэнсис, — что в один прекрасный день начнут поступать обращения о страховых случаях, и тогда мы узнаем, значат ли слова, которые мы использовали в полисах, именно то, что мы имели в виду». Но зачастую разбираться с этим приходится юристам, добавляет он.

«Что будет, если завтра некий веб-хостинг подвергнется DDoS-атаке или его взломают хакеры и компании, которые пользуются им, не смогут обслуживать своих клиентов? Откуда нам знать, что купившие у нас полис страхования киберрисков не хранят все в одной корзине — облачный сервис, веб-хостинг, почтовый сервер, SaaS (программное обеспечение как услуга)?» — отмечает один из страховщиков, участвовавший в исследовании «Делойта».

Несколько респондентов «Делойта» сравнивали риски, связанные с кибератаками, с рисками терактов: в обоих случаях группа лиц намеренно пытается нанести ущерб, такие атаки могут произойти когда угодно, где угодно и пострадать от них может кто угодно. Из-за страха получить огромные убытки многие страховые и перестраховочные компании после 11 сентября 2001 года перестали страховать риски, связанные с терроризмом. «В конечном итоге все сводится к тому, что мы не понимаем, какие риски мы берем на себя, — сказал «Делойту» еще один страховщик. — У нас недостаточно информации о том, где источник риска, чтобы мы могли его сократить».

В мире происходит настоящая гонка вооружений в киберсекторе и возможность совершить масштабную кибератаку есть у несколько десятков стран, отмечает Брюс Боланд, IT-директор в странах Азии компании FireEye, занимающейся вопросами безопасности. «Страховые полисы обычно не покрывают военные действия. А это значит, что чрезвычайно важным становится определение кибератак: кто знает, кто за ними стоит?» — говорит он.

Но даже если страховой полис от киберрисков есть, не факт, что в случае взлома он покроет все убытки. Тем более что, например, репутационный ущерб сразу может и не проявиться. В июне 2014 года работающая в США сеть ресторанов China Bistro, платившая за такую услугу $134 000 в год, узнала, что хакеры украли у нее номера кредиток 60 000 клиентов. Страховщик выплатил China Bistro $1,7 млн в качестве компенсации за расследование и судебные издержки, но самой сети пришлось заплатить $1,9 млн компании, которая занимается процессингом карт, пишет WSJ.

Россия только начинает

Страхование информационных рисков является неизвестным и непонятным для большинства потребителей этой услуги, говорится в материалах правительственной программы «Цифровая экономика» на 2017–2020 годы» (с проектом документов ознакомились «Ведомости»). В России заключено менее 20 договоров страхования, большинство оформлено предприятиями с иностранным участием в «дочках» иностранных страховщиков. По словам зампреда ЦБ Владимира Чистюхина, проблема есть и на рынках других стран: страховые компании и регуляторы говорят, что этот вид развивается, но устойчивым тренд назвать нельзя.

Содержание страховой услуги по киберстрахованию не стандартизовано, в мировой практике варьируется от страны к стране и зависит от законодательной среды, говорится в материалах программы. «Калька» с американского или западноевропейского продукта практически не отвечает потребностям предприятий в российской юрисдикции. В ней предлагается с участием государства формировать тарифы, стандарты и привлекать для работы Российскую национальную перестраховочную компанию. А также введение обязательного страхования от киберугроз с 2020 года для большинства стратегических отраслей. Однако с этим пока не согласен ЦБ.

Есть проблемы и с выделением этого вида страхования в отдельный класс — в отличие от страхования для защиты «физических» активов предприятия расходы на страхование киберрисков не могут быть исключены из налоговой базы компаний, что снижает экономический интерес к такому страхованию. В программе предусмотрены изменения в страховом законодательстве, уравнивающие страхование информационных и «физических» активов.

Пока гром не грянул

Многие крупные и средние банки страхуют риски электронных и компьютерных преступлений в рамках договора комплексного банковского страхования от преступлений, говорит начальник управления страхования финансовых институтов и партнеров компании «Ингосстрах» Дмитрий Шапошников. В нефинансовом секторе, по его словам, активный интерес к страхованию киберрисков начал появляться только в последнее время. В «Ингосстрах» нередко обращаются крупные компании, опасающиеся приостановки основной деятельности, если выйдут из строя IT-системы.

У компании «Альфастрахование» на начало сентября было несколько десятков корпоративных клиентов, страхующих киберриски с общей суммой покрытия 100 млн евро, рассказал руководитель управления страхования финансовых рисков компании Андрей Макаренцев. Он также отмечает, что чаще всего киберстрахование как дополнительное покрытие к основному полису выбирают банки. По словам Макаренцева, клиенты недооценивают многие киберриски, включая вывод из строя оборудования в результате хакерских атак, организацию взрывов, пожаров, ложного срабатывания сигнализаций в результате взлома и нарушения систем безопасности через внешний доступ. Но он также отмечает, что спрос на страхование киберрисков постепенно растет.

«РЕСО-гарантия» не страхует от киберугроз, говорит заместитель гендиректора компании Игорь Иванов. По его словам, у компании нет данных для корректного расчета такого риска. «Видимо, таких данных пока недостаточно даже у крупнейших мировых страховщиков, хотя в последнее время запрос на такие или связанные частично с кибербезопасностью страховые услуги появляется», — добавляет он. Но «РЕСО-гарантия» участвует в страховании рисков международных клиентов AXA, которая является одним из ее акционеров.

Рынок страхования киберрисков только начинает формироваться и не все хорошо представляют, как осуществлять расчет потенциального ущерба, согласен старший менеджер Департамента управления рисками компании «Делойт», СНГ Анатолий Остроглазов. Однако «продукты по киберрискам уже у многих страховщиков готовы, поэтому новым игрокам будет несложно адаптироваться», отмечает он. Хотя пока киберриски не реализуются, многие организации не готовы рассматривать их всерьез и надеются на собственную защиту, добавляет Остроглазов, в первую очередь страховые продукты по киберрискам будут рассматривать банки, поскольку там участились случаи вывода активов.

8.11.2017 

Ведомости

Эта информация была полезна для вас?