Киберстрахование: чего ждет бизнес, что предлагают страховщики
Относительно молодой рынок киберстрахования появился в 2017 году. Чем больше было киберугроз бизнесу, особенно в 2022, тем больше компаний задумывалось о страховании от кибератак.
Во втором квартале 2025 года количество целевых кибератак на российские предприятия увеличилось на 26 % по сравнению с тем же периодом прошлого года. По данным исследования «Нейроинформа», наибольшее количество атак пришлось на промышленный сектор (34 % случаев), финансовые организации (28 %) и ИT-компании (16 %). За 2024 год объем российского рынка киберстрахования вырос до 3 млрд ₽, эксперты уверены, что вырастет в этом году до 3,5 млрд ₽.
- Киберактивность усилилась. Общее количество кибератак на российские компании с января по июнь 2025 года превысило 63 тысячи, что на 27% больше, чем за аналогичный период 2024 года. Для сравнения количество кибератак на компании в России в 2024 году выросло в 2,5 раза по сравнению с 2023 годом и составило порядка 130 тысяч, из них 26 тысяч критических инцидентов, связанных с финансовыми потерями или остановкой работы компании.
- Объекты критической инфраструктуры и ритейл на мушке хакеров. За первое полугодие 2025 года российские госструктуры и компании подвергались атакам со стороны 95 различных хакерских группировок, что почти в 2,5 раза больше, чем годом ранее. Две трети всех атак были направлены на объекты критической инфраструктуры. С кибератаками столкнулись Аэрофлот, сеть «Винлаб», 12storeez и другие.
- Бизнес защищается. Чаще всего страховались от киберрисков в 2025 году представители оптовой и розничной торговли, а также компании в сфере сельского хозяйства.
Выросло число случаев кибершпионажа, вымогательств и атак с политическим контекстом. Преступники охотятся за персональными и медицинскими данными, переписками и коммерческими тайнами. В основном они используют многовекторные ковровые DDoS-атаки, которые сложно выявить. К тому же на такую угрозу трудно быстро среагировать. Также применяются объемные атаки уровня L7, генерирующие массу запросов и выводящие серверы из строя. Главная цель — создать перерыв работы в горячий сезон распродаж или праздников. Так убытки сети «Винлаб» в связи с приостановлением работы магазинов от кибератаки составили более 1 млрд ₽. 12storeez оценили свои убытки от простоя офиса в 23 млн ₽, несостоявшиеся продажи — в 20 млн ₽, а работу приглашенных экспертов по кибербезопасности — в 5 млн ₽. Из-за цифрового терроризма в отношении объекта критической инфраструктуры у компании «Аэрофлот» отменили 42% рейсов, пострадали 20 000 пассажиров, а предварительно суммарный ущерб оценивается до 4 млрд ₽.
Сейчас необходимость киберстрахования понимают как никогда. Да, такой полис не предотвратит инциденты, но компенсирует финансовые убытки при наступлении страхового случая.
Киберстрахование включает в себя:
1. Имущественное страхование — защищает внутренние финансовые интересы компании.
2. Страхование ответственности — покрывает убытки, причиненные третьим лицам.
Наполнение страховых программ зависит от специфики бизнеса. Компании, работающие с персональными данными (банки, маркетплейсы), чаще фокусируются на страховании ответственности. Производственные и e-commerce-компании больше заинтересованы в страховании перерывов в деятельности.
Что покрывает имущественное страхование:
- Потерю прибыли из-за простоя ИТ-систем — аналог перерыва в деятельности в имущественном страховании;
- Расходы на восстановление систем: ремонт, замена оборудования, ПО;
Что покрывает страхование ответственности:
- Претензии третьих лиц (клиентов, партнеров, регуляторов) из-за утечки персональных данных и разглашения коммерческой тайны;
- Юридические издержки;
- Затраты на восстановление репутации компании;
- Услуги консультантов по кибербезопасности.
Для того чтобы страховой случай был признан, инцидент должен квалифицироваться как кибератака или киберинцидент:
· Кибератака: целенаправленные действия хакеров, DDoS-атаки, фишинг, внедрение вредоносного ПО;
· Киберинцидент: технические сбои, приведшие к утечке данных или нарушению работы систем.
Полис не покрывает убытки, возникшие в результате:
- Военных действий;
- Использования нелицензионного ПО;
- Повторяющихся инцидентов, если они не были заявлены при заключении договора.
Эти ограничения схожи с исключениями в других видах страхования и направлены на минимизацию злоупотреблений и нестрахуемых рисков.
Сколько стоит киберстрахование
Тарифы на киберстрахование в России находятся в диапазоне от 0,5% до 2% от страховой суммы (лимита покрытия) по опросам страховщиков.
Цена строится из множества факторов: сфера деятельности клиента, объем покрытия, качество киберзащиты и история инцидентов.
Несмотря на ограниченность ИТ-бюджета и гибкость организационной структуры, малый и средний бизнес тоже начинает страховаться. Спрос на полисы со стороны МСБ особенно активно рос в 2024 году: совокупная страховая сумма составила более 8,5 млрд ₽ против 2,4 млрд ₽ в 2023 году. Коробочные решения для малого бизнеса стоят 80–250 тыс. ₽ в год со страховой суммой 10–50 млн ₽.
Сложности киберстрахования
Страховые компании отмечают несколько сложностей киберстрахования.
Во-первых, отсутствие накопленной практики заключения договоров, разнородность рисков в зависимости от масштаба и специфики развития ИТ-инфраструктуры клиента
Во-вторых, отсутствие нормативно закрепленной методики оценки цифровых рисков и нехватка киберсюрвейеров: специалистов по расследованию инцидентов и анализу последствий.
В-третьих, частое замалчивание данных заказчиками создает увеличение времени для корректного андеррайтинга, расчета страхового тарифа и резервирования.
В-четвертых, штрафы обострили ответственность за потерю персональных данных клиентов. В 2025 году закон «Об оборотных штрафах» ввел требования к обеспечению кибербезопасности, штрафы за утечку персональных данных и нарушения в защите информации составили для юридических лиц от 50 000 до 500 000 ₽. Для сравнения объем мирового рынка страхования от краж личных данных в 2024 году составил 6,81 млрд $.
Мы пообщались с Максимом Сапожниковым, замгендиректора страхового брокера АСТ, чтобы разобраться в самых обсуждаемых вопросах киберстрахования.
— Что дает бизнесу киберстрахование?
Сапожников: Киберстрахование включает в себя несколько степеней защиты финансовой устойчивости компании. Первая степень защищает от непредвиденных расходов на ИТ-консультантов, помогающих спасти бизнес в момент и после атаки. Вторая степень покрывает затраты на юристов, помогающих в работе с претензиями третьих лиц. Третья степень возмещает физический ущерб оборудованию. Четвертая степень покрывает ущерб от перерыва или снижения коммерческой деятельности. Пятая — расходы на восстановление деловой репутации.
— Максим, вы сталкивались с непониманием необходимости киберстрахования? Например, киберстрахование не работает.
Сапожников: Сталкиваемся регулярно. Обычно такая реакция у людей, кто не хочет погружаться в технически сложную и закрытую область деятельности компании. Проще сказать, что киберстрахование не работает.
Только вот хакеры никого не спрашивают, они просто устраивают страховые случаи. Или нестраховые для тех, кто не застрахован.
— А есть те, кто страхуется?
Сапожников: Ответственно заявляем: кто разбирается в киберстраховании, уже купил покрытие. Можно назвать это «постелить соломку», а можно сказать, что защитили баланс компании от непредвиденных расходов и потери дохода.
— Какие подходы к киберстрахованию в разных отраслях бизнеса?
Сапожников: Кибер — он разный. Для одних это защита рисков ответственности, для вторых — имущества и денежного потока. Для третьих — всего вместе.
Кибер бывает промышленный, а бывает „офисный“, однако ущерб измеряется одинаково — в рублях и днях простоя. Параметры договора страхования могут меняться, но суть остается: кибератака внезапно воздействует на баланс компании, отклоняя его в красную зону. Одни компании более устойчивы и найдут резервные средства, а другие словят риск и потеряют долю рынка. Но больно в этом случае будет всем.
— Чем урегулирование страхового случая от кибератак отличается от классических видов, например, страхования имущества?
Сапожников: Принципиально ничем! На первом шаге зафиксировать факт страхового случая, на втором — посчитать ущерб.
Понятно, что первопричину кибера будут исследовать не классические лосс-аджастеры, а ИТ-эксперты. Они же вместе с заказчиком сформируют список последствий, которые финансовые эксперты-форензики облачат в суммы ущерба.
Вспомните ранее широко распространенное банковское страхование BBB. Там тоже по расследованию страховых событий работали специально обученные аваркомы-Пинкертоны.
— Скептики говорят: ну кто же пустит страховщиков в ИТ-системы клиента?
Сапожников: Мы отвечаем: хакеры там уже были без спроса!
— Некоторые утверждают, что отсутствует методика расчета ущерба от киберперерыва в деятельности.
Сапожников: Страховой рынок с начала 2000-х страхует риски перерыва в деятельности предприятий (BI — Business Interruption). Вы думаете, расчет BI вертикально интегрированного холдинга по нескольким предприятиям легче, чем расчет ущерба от cyber? Мы уже более 20 лет решаем в качестве страхового брокера или консультанта разные бизнес-кейсы в этой сфере, помогая клиентом урегулировать выплаты со страховщиками.
— Как защитить свой бизнес от кибератак?
Сапожников: Если вы хотите программу страхования киберрисков, индивидуально разработанную под ваш бизнес, то, во-первых, стоит обратиться к страховому брокеру АСТ, обсудить сценарии, от которых компания хочет застраховаться. Во-вторых, заполните анкету, подключив ИТ-отдел в части описания уровня защиты. В-третьих, получите от нас котировки рынка, пояснения по страховому покрытию, нюансы по выплатам. Это занимает время, но заранее проработанные условия по страхованию от кибератак в руках у риск-менеджера являются весомым аргументом во внутренних обсуждениях с руководством и собственниками бизнеса.
— Недавно законодательно ввели поправки об оборотных штрафах из-за утечки данных. Юристы обсуждают, страхуются ли штрафы.
Сапожников: Страхование не покрывает беспечность, независимо от того, это ИТ-система или неработающий пожарный гидрант. Штрафуют компании за повторный взлом, а это уже событие, которое нельзя назвать внезапным и непредвиденным. Страховой рынок вряд ли захочет нести на себе риски высоковероятных событий.
Рекомендуем смотреть в область непредвиденных расходов и упущенного дохода при страховом случае. Не все компании имеют возможность сформировать резервный финансовый фонд на черный день, поэтому киберстрахование — это хороший инструмент защиты.