Киберриски застрахованы менее чем у трети российских компаний
Рынок киберстрахования в России растет (на 20-30% в 2025 году), однако покрытие рисков остается низким: по данным InfoWatch, лишь 28% компаний имеют страховку. Основные проблемы — отсутствие доступной статистики по выплатам, нехватка методик оценки ущерба от утечек и низкая судебная активность пострадавших граждан. Отмечается, что выплаты по договорам «носят единичный характер».
Риски застрахованы у 28% российских компаний, при этом риски утечек информации в результате таких инцидентов покрыты страховкой лишь у 15,7%. Это следует из результатов исследования «Ущерб от утечек информации и страхование», проведенного ГК InfoWatch.
В основу исследования лег опрос представителей рынка страхования и компаний, заинтересованных в услугах киберстрахования. Специалисты опросили ИБ-специалистов более 100 коммерческих компаний (средний и крупный бизнес), а также представителей 8 участников страхового рынка, в том числе предоставляющих услуги киберстрахования.
Спрос на страхование киберрисков зависит от масштаба бизнеса: о наличии полисов в основном сообщают крупные компании, тогда как 72% опрошенных представителей малого и среднего бизнеса (МСБ) отметили отсутствие страховки. Большинство компаний (86%) страхуют и внешние, и внутренние риски. Оставшиеся 14% выбрали только один тип рисков.
Как отмечается в исследовании, в России в полисы киберстрахования чаще всего включают только фишинг, а другие потери под воздействием социальной инженерии обычно признаются нестраховыми случаями. Умышленные действия сотрудников (Insider Threats) не входят в большинство полисов.
При принятии решения о выплате страховые компании в первую очередь учитывают расходы на экспертизу (15%), расследование инцидента (13%), восстановление ИТ-систем (11%), восстановление данных (11%) и аудит ИБ после утечки (9%), подтвердили представители страховщиков. Необходимый пакет документов для получения выплат включает заявление в органы внутренних дел, журнал событий инцидента и заключение компьютерно-технической экспертизы.
Исследователи установили, что полис страхования не покрывает сам факт утечки информации, а только ущерб, нанесенный организации и третьим лицам. Также покрываются расходы, связанные с ликвидацией последствий, экспертизой. При этом застраховаться от штрафных санкций и выплат выкупа мошенникам или вымогателям в России не получится.
«Отсутствует открытая статистика как по страховым выплатам вследствие ущерба, полученного от утечек данных, так и по отказам от таких выплат, — сказано в отчете. — В рамках интервью представители страховых компаний упоминали, что выплаты по договорам киберстрахования носят единичный характер».
Как заключают исследователи, развитию рынка страхования последствий от утечек мешает целый ряд факторов. Так, во многих организациях не происходит учета ущерба вследствие утечек информации, нет и методик оценки такого ущерба. Не хватает как доступной статистики по страховым выплатам, так и статистики об ущербе. Также отсутствуют методики и практики оценки долгосрочных последствий вследствие утечек информации.
Среди помех для развития также указывается «низкая судебная активность со стороны лиц, чьи данные утекли, по отношению к организациям, из которых были утечки их персональных данных». Это одна из причин того, что фактически отсутствуют выплаты пострадавшим от утечек — или же они незначительны.
SecPost писал, что рынок киберстрахования вырос в 2025 году примерно на 20-30%, а по страховым взносам и вовсе на 60%. В 2026 году рост продолжится: в диапазоне от 10 до 30%. Среди клиентов, помимо крупных юрлиц, могут появиться представители малого и среднего бизнеса. В первую очередь, на интерес к этому виду страхования влияет растущее число киберугроз. Однако, несмотря на спрос, стоимость полисов может остаться неизменной, так как «потолок в 3-5 млн рублей уже достигнут».
