- Как бы вы оценили зрелость российского рынка киберстрахования? Можно ли говорить о балансе спроса и предложения, или же одна сторона (страховщик или страхуемый) имеет возможность навязывать свои условия?
Рынок находится на стадии своего формирования. Разные страховые компании разрабатывают уникальные продукты в области киберстрахования направленные как на физических лиц так и на юридических лиц. Мы не видим явного спроса и активного предложения, скорее и те, и другие аккуратно присматриваются к продуктам. Некоторые страховые компании предлагают навязанные продукты киберстрахования, но мы бы не относил их к рынку, т.к. такие продукты кэптивные от основного продукта страховой или банка.
- Как на рынок повлияли кибератаки 2022 года?
Атаки заставили говорить о киберстраховании активных участников рынка информационной безопасности — регуляторы, интеграторы, вендоры, страховые компании, но фактически ни как не повлияли на клиентов. В первую очередь это обусловлено низкой степенью зрелости процессов информационной безопасности в большинстве компаний и отсутствием представления о том как страхование в области ИБ поможет решить проблемы. Можно говорить о том, что страховые сейчас не до конца понимают потребность и виденье рисков со стороны клиентов.
- Вырос ли спрос на полисы? От каких угроз страхуются чаще всего?
Считаем, что спрос не вырос и не упал. Страхование применяется в компаниях где внутренний риск менеджмент предполагает использование страхования, от ИТ рисков и в том числе от ИБ.
- Поделитесь примерами крупных выплат (можно в общих чертах, без указания компаний и прочих деталей).
Выплат нет.
- Каковы необходимые условия, чтобы утечку данных, взлом сервера, атаку шифровальщика и другие инциденты кибербезопасности признали страховыми случаями? Какие данные необходимо отслеживать и фиксировать клиенту, чтобы у страховых не возникло вопросов?
Мы считаем, что киберстрахование должно предполагать комплексный подход , который подразумевает — активную защиту от поставщиков средств ИБ, помощь экспертов в устранении инцидента, минимизацию последствий, последующем расследовании для целей урегулирования. Только в таком случае киберстрахование будет работать и подразумевать честное урегулирование инцидентов, а клиенты будут видеть пользу от страхования.
- Есть ли у страховых организаций некий набор минимальных требований к компании, чтобы предложить ей полис? Например, наличие ИБ-службы, использование автоматизированных СЗИ, подтверждённое соответствие каким-либо стандартам? Помогают ли страховщики компаниям достичь этого минимального уровня (например, через указание недостающих факторов)?
Мы считаем, что в каждой страховой есть свои подходы к оценке риска и правилам формирования портфеля клиентов. Сейчас страхование подразумевает либо наличие зрелых процессов в области ИБ, либо поставку сервисно-страхового продукта, который включает активную защиту от угроз и страхование остаточных рисков.
Пресс-служба Страхового Дома ВСК
