Страховка цифровой эпохи
Рост интенсивности кибератак и усиление регулирования в части защиты персональных данных подстегнули отечественный рынок киберстрахования. «Ведомости&» разбирались, как формируется этот новый вид страхования и что от него ждут компании.
Хакеры в промышленном масштабе
Объем мирового рынка киберстрахования в 2025 г. достигнет $16,3 млрд, ожидают в Munich Re. Аналитики прогнозируют, что среднегодовой темп роста премий составит более 10% и к 2030 г. мировой объем премий в сегменте более чем удвоится.
Российские страховщики также фиксируют существенный рост спроса на страхование киберрисков на фоне массированных кибератак на бизнес. Так, с мая 2024 г. по май 2025 г. спрос на услуги киберстрахования вырос на 59,8%, свидетельствуют данные электронной торговой площадки «Тендерпро». Подавляющее большинство интересующихся услугой – крупный бизнес и корпорации, на них приходится 73% всех запросов, оставшиеся 27% приходятся на малый и средний бизнес (МСБ), подсчитали в «Тендерпро».
Рынок киберстрахования начал расти с 2020 г., однако наиболее активный его рост пришелся на 2022-й и последующие годы. В 2022– 2023 гг. драйвером развития стала неопределенность, с которой столкнулись компании в условиях резкого роста кибератак на российскую инфраструктуру и ухода иностранных вендоров, объясняет директор дирекции по развитию нового бизнеса и организации продаж «Согаза» Ярослав Советкин.
В 2024 г. и первой половине 2025 г. произошло ужесточение законодательства о персональных данных. Новая редакция федерального закона № 152-ФЗ предусматривает повышение штрафов, вводит отдельные составы ответственности за утечку биометрических и специальных категорий данных и увеличивает круг компаний, которые должны выполнять новые требования. Например, ответственность индивидуальных предпринимателей теперь приравнена к ответственности юридических лиц.
«В 2025 г. мы наблюдаем эффект накопленной критической массы: штрафы за утечку данных, активное импортозамещение технологий, а также реальные громкие инциденты у коллег и конкурентов приводят компании к пониманию, что угроза материальна», – говорит Советкин.
Пока количество договоров исчисляется сотнями, но оно стабильно растет, при этом средний размер страхового покрытия также увеличивается, потому что крупные предприятия понимают: в случае крупного инцидента ущерб может исчисляться сотнями миллионов и даже миллиардными суммами.
Объем отечественного рынка киберстрахования в 2024 г. достиг 3 млрд руб., а в 2025 г., как ожидается, вырастет до 3,5 млрд руб., писали «Ведомости». Рынок демонстрирует активный рост, все больше компаний начинает им интересоваться и рассматривать его включение в комплексную систему риск-менеджмента, отмечает директор дирекции по развитию нового бизнеса и организации продаж АО «Согаз» Ярослав Советкин. В первую очередь из-за качественной трансформации киберугроз, которая произошла с 2020 г.
В 2024–2025 гг. тренд сместился к комплексным сценариям: атаки включают социальную инженерию, латеральное перемещение внутри сети и последующее шифрование или эксфильтрацию данных, говорит проджект-менеджер MD Audit (входит в ГК Softline) Кирилл Левкин.
«Отмечается рост масштабных хакерских кампаний, в которых используются автоматизация, ботнеты и продвинутые инструменты взлома, доступные для аренды. Это подтверждает переход от точечных инцидентов к промышленно организованной киберпреступности», – говорит эксперт.
По данным Positive Technologies, основным методом атак на российские организации стало использование вредоносного программного обеспечения (ПО; 72% от успешных атак за 2025 г.). Больше половины успешных атак (63%) было реализовано при помощи социальной инженерии, а в трети подобных случаев были проэксплуатированы уязвимости (30%), причем все больше растет угроза наличия уязвимостей именно в российском ПО, обращает внимание руководитель исследовательской группы Positive Technologies Ирина Зиновкина.
Инциденты в крупных ритейл-сетях и логистических операторах приводят к многодневным простоям и значительным утечкам данных, отмечает заместитель генерального директора, коммерческий директор «Газинформсервиса» Роман Пустарнаков. Ущерб в отдельных случаях превышал 1 млрд руб., добавляет он.
«Мы ожидаем, что в ближайшие год-два вредоносное ПО сохранит свое основное положение в методах атакующих. В отличие от социальной инженерии или эксплуатации уязвимостей использование вредоносного ПО позволяет автоматизировать большинство этапов атаки – от проникновения до достижения конечной цели», – прогнозирует Зиновкина.
В условиях цифровизации экономики, роста числа и сложности кибератак и ужесточения норм законодательства актуальность киберстрахования вырастет, считает директор по информационной безопасности (ИБ) группы «Самолет» Михаил Мармылев.
1. Потребности компании и актуальные риски
Подумайте, от каких конкретно угроз вам нужна защита: остановка производства, утечка данных, ошибки сотрудников в области кибербезопасности, ошибки при внедрении ПО и др. Какие расходы потенциально может вызвать крупный киберинцидент? Определить это самостоятельно может быть непросто, поэтому можно воспользоваться помощью страховщика.
Важно, чтобы страховое покрытие включало:
– расходы на расследование инцидента и услуги кризисных менеджеров;
– покрытие убытков от перерыва в деятельности (потерю прибыли);
– расходы на восстановление данных и систем;
– ответственность перед третьими лицами (клиентами, партнерами) из-за утечки их данных.
Для некоторых компаний может быть актуально покрытие DDoS-атак или рисков, связанных с импортозамещением ПО, фишингом. Также уточните, включены ли атаки через ваших подрядчиков.
2. Условия договора и исключения
Проверьте общую сумму покрытия и отдельные лимиты по каждому типу рисков (например, лимит на расходы по расследованию).
Обратите внимание на исключения: внимательно изучите раздел «Что не покрывается». Стандартные исключения: если суд признает действия страхователя преступными, умышленные противоправные действия, запланированный перерыв в работе информационной системы (например для обслуживания), повторные события по вине страхователя, не устранившего первопричины инцидента после страхового случая.
На стоимость договора будут влиять различные параметры, в том числе специфика деятельности компании, уровень ИБ и т. д. Уточните у страховщика, что именно влияет на тариф и за счет чего компания может его снизить. Наличие сильной защиты может существенно снизить тариф, который обычно составляет от 0,5 до 3% страховой суммы. Кроме того, для экономии можно застраховать и отдельные IT-системы по выбору страхователя, а не всю инфраструктуру компании.
3. Экспертная поддержка и процесс урегулирования убытков
Уточните, предоставляет ли страховщик бесплатный доступ к услугам партнеров на этапе реагирования, это могут быть юристы, ИБ-эксперты, кризисные PR-менеджеры.
Процедура уведомления: выясните, как и в какие сроки нужно сообщить о страховом случае.
Опыт выплат: спросите у страховой компании о реальных кейсах выплат. Наличие примеров – признак опыта и надежности.
4. Выбор партнера
Если страховщик готов глубоко разобраться в вашем бизнесе и IT-инфраструктуре, это признак качественного андеррайтинга.
Уточните, с какими ИБ-компаниями работает страховщик. Сотрудничество с известными игроками говорит о качестве сервиса.
Проверьте финансовые рейтинги надежности страховой компании (например, от «Эксперт РА», АКРА или НКР).
Отдавайте предпочтение страховщикам с подтвержденным опытом в киберстраховании и наличием специализированного подразделения.
Оцените индивидуальный подход:
– для крупного бизнеса: готов ли страховщик разработать индивидуальную программу страхования, а не предлагать только коробочный продукт?
– для МСБ: есть ли понятные и доступные коробочные решения с фиксированной стоимостью?
Выбор киберстрахования – это не просто покупка полиса, а выбор партнера по управлению рисками. Правильный страховщик не только выплатит компенсацию, но и поможет предотвратить крупные убытки и быстро восстановиться после инцидента.
Страховка как часть стратегии
Услуги страхования киберрисков стали использоваться чаще из-за того, что компании делают выводы из последних сбоев и взломов, считает ведущий аналитик отдела мониторинга ИБ «Спикатела» Алексей Козлов.
«Однако киберстрахование только компенсирует ущерб, но не предотвращает сами инциденты. То есть это исключительно финансовый инструмент, а не технологическая защита и не отменяет необходимости инвестиций в улучшение ИБ-систем, обучение персонала и т. д.», – добавляет эксперт.
Страхование киберрисков возможно интегрировать в стратегию ИБ для делегирования остаточных рисков ИБ, которые невозможно исключить другими мерами, считает Мармылев.
«Также для системообразующих компаний крайне важно учитывать риски цепочки поставок, страхование киберрисков может помочь подрядным организациям повысить надежность исполнения обязательств, в случае возникновения инцидентов смягчить последствия и ускорить процессы восстановления», – отмечает он.
Этот процесс должен начинаться с глубокого аудита собственной защищенности и оценки рисков, включая новые угрозы, такие как атаки с использованием ИИ, считает Пустарнаков.
«На основе этого аудита следует выбирать страхового партнера, который предлагает не просто полис, а полноценный сервис реагирования», – говорит он. Ключевым элементом является внесение киберрисков в реестр корпоративных рисков с закреплением ответственности на самом высоком уровне управления. Диалог со страховой компанией позволяет понять, какие именно меры безопасности необходимо улучшить для снижения стоимости страхового покрытия и расширения его условий.
«Таким образом, киберстрахование трансформируется из пассивной финансовой гарантии в активный инструмент управления безопасностью, стимулирующий компании к постоянному повышению своей киберустойчивости», – добавляет Пустарнаков, отмечая, что киберстрахование должно не заменять систему безопасности, а быть ее финальным элементом.
Уже появляются кейсы, когда страховка от хакеров оправдала себя. К примеру, в 2025 г. крупное промышленное предприятие стало жертвой целевой хакерской атаки, рассказывают страховщики. Злоумышленники зашифровали данные в производственных системах и потребовали выкуп, в результате бизнес оказался парализованным. Чтобы минимизировать последствия, предприятие привлекло экспертов для восстановления работы систем, провело расследование инцидента и предприняло шаги для снижения ущерба. «Согаз» компенсировал затраты на услуги специалистов, восстановление данных, закупку дополнительного оборудования, а также убытки от простоя производства, общая страховая выплата превысила 150 млн руб., отмечают в страховой компании.
Страшно и интересно
Наибольшую готовность к заключению договоров киберстрахования сейчас можно наблюдать у бизнеса из финансового сектора (банки), тяжелой промышленности, нефтегазовой отрасли и IT. «Это компании, которые в предыдущие годы очень много сил и ресурсов вложили в обеспечение риск-защищенности и кибербезопасности. Такие компании работают с клиентскими данными и обрабатывают платежи или обеспечивают непрерывность поставок и производства, поэтому хорошо понимают важность качественного риск-менеджмента и защиты финансовых интересов», – говорит Советкин.
Растет интерес среди крупного и среднего бизнеса в логистике, ритейле, телекоммуникациях и даже предприятий сельскохозяйственной отрасли, где цена ошибки часто может превышать 50 млн руб. убытков в день, отмечает эксперт.
«Потенциал для роста мы видим и в сегменте МСБ, особенно компаний, работающих с персональными данными в таких сферах, как медицина, онлайн-образование, интернет-магазины, или являющихся подрядчиками крупных корпораций», – отмечают в «Согазе».
В сегменте МСБ основные барьеры связаны с психологией собственников. «Компании недооценивают финансовые последствия взлома сайта или базы данных клиентов. Думать, что «нас никто не будет атаковать, мы слишком маленькие», – это заблуждение. Атаки на МСБ часто автоматизированы, а позволить себе уровень кибербезопасности, как у крупной корпорации, могут единицы», – поясняет Советкин.
«Еще одна из проблем состоит в том, что МСБ в принципе не готовы разбираться в сложных страховых продуктах, к которым, безусловно, относится киберстрахование. Поэтому мы выводим на рынок отраслевые коробочные решения для МСБ, которые будут одним продуктом закрывать все основные риски компании в зависимости от ее вида деятельности, куда в том числе будут включены киберриски», – дополняет он.
Точки роста
Страхование киберрисков имеет большой потенциал для развития в ближайшие годы, уверены участники страхового рынка. В частности, потому, что государство поддерживает развитие этого направления. Например, теперь компании могут проще относить расходы на киберстраховку к затратам, что помогает снизить налоговую базу по налогу на прибыль и делает страхование более выгодным, уточняют в «Согазе». Кроме того, крупные компании начинают требовать от своих подрядчиков и партнеров наличие киберстраховки как обязательного условия для сотрудничества.
У молодого рынка есть и свои проблемы. «У страховщиков нет статистики убытков, совсем небольшая практика урегулирования. Страхователи боятся раскрывать данные, не до конца понимают механизм работы страхования», – говорит Советкин. Поэтому здесь нужно двустороннее движение: страховщики должны не бояться принимать риски, выделять на это страховую емкость (лимиты ответственности). Страхователи же со своей стороны должны стать активными участниками процесса: помогать развивать страховые решения, быть в диалоге со страховщиками, рассказывать о том, что им нужно, чтобы сделать продукт более понятным и полным с точки зрения клиентской ценности, отмечает эксперт.
«В некоторой степени сотрудники ИБ-компаний и профессиональные игроки рынка ИБ воспринимают страхование как конкурентный инструмент их деятельности и продуктам. На самом же деле это инструмент комплементарный», – заключает он.
Ведомости, Олеся Ошанина, 8 октября 2025 год