Российский рынок киберстрахования: рост интереса бизнеса и законодательные стимулы

В России киберстрахование начинает активно развиваться с 2022 года: за последние пять лет объем страховых премий значительно возрос, заинтересованность бизнеса, особенно среднего, увеличилась. Рост интереса вызван не только увеличением числа кибератак, но и новыми законодательными требованиями, угрожающими компаниям серьезными штрафами за утечку данных. Тем не менее, к массовому применению киберстрахования еще далеко: стоимость полисов высока, процесс андеррайтинга сложен, а методы оценки рисков не унифицированы.

Среди всех видов имущественного страхования корпораций киберриски - самый новый. Полную активность в этой сфере страхования в России наблюдали в 2017 году: несмотря на то, что первый полис как самостоятельный продукт был представлен в 2012 году компанией AIG, второй аналогичный продукт от Allianz появился только в 2016 году. Однако в последствии главными провайдерами услуг по страхованию киберрисков стали исключительно подразделения иностранных страховых компаний. Российские организации начали предлагать такие страховки только в 2018-2019 годах.

С начала 2020 года рынок киберстрахования в России начал значительно расширяться. "Темп роста как количества договоров, так и объема страховых премий составил двузначные цифры и достигал 30% в год. Но это объяснимо: даже с некрупным начальным показателем легко продемонстрировать значительный рост", - отмечает руководитель отдела страхования финансовых и профессиональных рисков страхового брокера Remind Ольга Глазкова.

В период с 2023 по 2024 годы темпы роста рынка замедлились, ежегодный рост составил уже 10-15%. Основные причины увеличения рынка за последние три года разнообразны: подписание договоров страхования киберрисков для подразделений иностранных компаний, которые начиная с 2022 года были исключены из глобальных страховых программ и начали заключать местные соглашения, а также увеличенные кибератаки почти на всех отраслях экономики - компании стали включать киберугрозы в планы рисков и искать способы их снижения.

В 2025 году к этим факторам добавился еще один катализатор роста - закон "Об административных штрафах", ужесточающий требования к обеспечению кибербезопасности и вводящий значительные финансовые наказания за нарушения, связанные с утечками персональных данных и нарушениями в защите информации.

С 2020 по 2025 год количество кибератак на российские компании неуклонно росло, особенно резко - начиная с 2022 года. Например, только в 2023 году число инцидентов удвоилось по сравнению с предыдущим годом, достигнув 130-140 тысяч. Как отмечает ведущий аналитик отдела мониторинга информационной безопасности компании "Спикател" Алексей Козлов, в 2024 году МВД зафиксировало около 765 тысяч киберпреступлений, но это лишь зарегистрированные случаи. При этом процент раскрытых киберпреступлений оставался низким: в 2024 году он не превышал 25%, как указывает эксперт практики кибербезопасности "ТеДо" Максим Кошелев.

С начала 2025 года количество кибератак возросло на 20% по сравнению с таким же периодом прошлого года, отметил Алексей Козлов. Несмотря на то, что доля успешных инцидентов остается на уровне 5–10%, злоумышленники изменяют свои методы — возрастает число атак с политическим подтекстом, кибершпионажа и вымогательства. Все шире распространены многовекторные ковровые DDoS-атаки, которые характеризуются умеренной мощностью и сложностью обнаружения. Также наблюдается увеличение сочетания массированных атак с интеллектуальными (L7) атаками, направленными на создание кратковременных перебоев в работе, особенно во время пиковых событий, таких как распродажи и праздники.

Отдельной статистики по киберстрахованию в России отсутствует, поскольку договор страхования киберрисков является смесью страхования имущества и ответственности, а по внутренней структуре страховщика относится к страхованию финансовых рисков.

Ранее Центробанк, ссылаясь на результаты опроса крупнейших страховых компаний России, сообщал, что доля киберстрахования составляла менее 1% взносов по страхованию имущества юридических лиц, что равняется примерно 500 млн рублей или 0,01% всех страховых премий на рынке, утверждает старший директор рейтингов финансовых институтов рейтинговой агентства НРА Айназ Хайруллина.

В компании "СберСтрахование" оценивают рынок киберстрахования примерно в 450–550 млн рублей. Однако потенциальный объем этого рынка достигает от 1,5 до 2 млрд рублей, а количество клиентов составляет около 250 тыс. экономически активных компаний. По оценкам "ТеДо", на данный момент лишь около 10% российских компаний имеют страховку от киберпреступлений. По мнению экспертов из Remind, общая страховая емкость российского рынка киберстрахования оценивается примерно в 3–4 млрд рублей на один договор и основана в основном на собственных ресурсах страховой компании и поддержке Российской национальной перестраховочной компании.

Современные договоры киберстрахования работают по принципу модульности и включают две основные секции — имущественную, защищающую интересы компании, и ответственности, покрывающую ущерб третьим лицам. Каждая из них заполняется индивидуально в зависимости от специфики деятельности: компании, имеющие дело с данными, в первую очередь интересуются секцией ответственности, а производственные и e-commerce компании — страхованием приостановки деятельности.

Например, в рамках имущественной секции можно застраховать убытки от приостановки деятельности из-за проблем с информационной системой компании, возмещение расходов на восстановление системы, а также убытки от кибервымогательств: расходы на консультантов, выплату выкупа и т.д. Эти меры помогают минимизировать ущерб как для самой компании, так и для страховщика и других участников процесса.

В пределах раздела о ответственности возможно застраховать требования третьих лиц, включая органы надзора, возникшие у компании из-за утечки конфиденциальных данных (таких как персональные данные или коммерческая информация). Сюда входят расходы на юридическую защиту в случае предъявления компании претензий, затраты на защиту репутации и имиджа фирмы, расходы на проверку ИТ-систем компании и ликвидацию негативных последствий кибератаки.

«Ограниченность российского страхового рынка способствовала дальнейшему развитию этого вида страхования, и традиционное покрытие в России может быть дополнено защитой от потери или повреждения промышленного и компьютерного оборудования компании, а также от угрозы финансовых потерь»,— отмечает Ольга Глазкова. Тем не менее, чаще всего эти риски страхуются в пределах определенных лимитов, поскольку могут быть защищены полностью через другие, более специализированные виды страхования.

Основное отличие киберстрахования от традиционных контрактов по имуществу и ответственности заключается в причинах ущерба.

Для активации страхового полиса необходимо, чтобы произошедший инцидент был признан кибератакой или киберинцидентом (например, целенаправленной атакой на IT-систему, внедрением вредоносного ПО или внезапным техническим сбоем). Типичные исключения из полисов киберстрахования схожи с другими видами страхования — умышленные действия сотрудников, военные и экологические катастрофы, ядерные риски, использование нелицензионного ПО и повторные убытки, подчеркивает руководитель отдела страхования корпоративной ответственности и финансовых линий «Абсолют Страхования» Алина Растошинская.

Тарифы на киберстрахование в России колеблются в пределах от 0,6% до 1,3% от страховой суммы, как следует из опросов страховых компаний.

Цену влияет множество факторов: сфера деятельности клиента, уровень страхового покрытия, уровень киберзащиты и предыдущий опыт происшествий. "Выплат по страховым случаям пока что было немного, в основном они связаны с приостановками коммерческой или производственной деятельности, вызванными кибератаками (например, ошибка в программном коде, вредоносное ПО и так далее), и это приводит к убыткам", — отмечают в страховом брокере Mainsgroup.

В настоящее время основными аспектами, по которым спрос на страхование растет, являются утечка личных данных, простои в производстве из-за технических сбоев, кибератаки, а также расходы на восстановление информации, утверждает Алина Растошинская. По данным статистики, наибольшей защитой от киберугроз пользуются представители оптовой и розничной сферы, а также сельского хозяйства, подчеркивает Руслан Вестеровский, старший вице-президент и руководитель отдела "Управление благосостоянием" в Сбербанке.

Интерес к страховым полисам проявляют как крупные компании, так и предприятия из сегмента малого и среднего предпринимательства (МСП), причем последние интересуются этим видом защиты более интенсивно. Это связано с ограниченностью бюджета на информационные технологии и гибкостью организационной структуры. Мелкие компании могут застраховать киберриски через готовые продукты, однако это направление пока недостаточно развито и не является приоритетом для большинства страховых компаний.

По данным банка "Сбер", спрос на такие полисы со стороны предприятий МСП особенно активно возрос в 2024 году: общая страховая сумма составила более 8,5 миллиардов рублей по сравнению с 2,4 миллиарда рублей в 2023 году. По словам заместителя директора департамента информационных технологий банка СДМ Андрея Герасимова, стоимость готовых решений для малого бизнеса в настоящее время колеблется от 80 до 250 тысяч рублей в год при страховой сумме от 10 до 50 миллионов рублей.

Традиционное киберстрахование в России на данный момент доступно только юридическим лицам, однако для частных лиц существуют программы страхования средств на банковских картах и счетах, сообщают в компании "СберСтрахование".

Данный полис покрывает финансовый ущерб, возникший в результате действий мошенников: через фальшивые веб-сайты, по украденным данным, в результате взлома приложений или при использовании методов социальной инженерии. Полис также может включать расходы на восстановление документов или возмещение ущерба в случае кражи личных вещей.

Сфера киберстрахования в России остается узкой и не показывает значительного роста, характерного для зарубежных рынков. Согласно высказыванию Руслана Вестеровского, увеличение этого сегмента не превышает общего роста non-life-страхования: компании сосредотачиваются на усовершенствовании систем информационной безопасности, рассматривая страхование как второстепенное решение.

Главные сложности — отсутствие накопленного опыта заключения контрактов, разнообразие рисков в зависимости от масштаба и специфики деловой среды клиентов, недостаток достоверной статистики для правильной оценки и резервирования, а также отсутствие стандартов оценки безопасности, поясняет Айназ Хайруллина. Кроме того, нехватка экспертов по киберследствию затрудняет урегулирование убытков и разработку единых методов.

Создание единого подхода к страхованию киберрисков в России пока сложно, убежден Максим Кошелев. В первую очередь из-за отсутствия закрепленной нормативно методики оценки цифровых рисков. Кроме того, серьезное препятствие составляют различия в ИТ-структурах клиентов, различия в уровнях безопасности информации и доступности данных. Компании, опасаясь утечек, часто скрывают данные, необходимые для анализа страховщику, что усложняет оценку и расчет ставок. В результате, полисы остаются дорогими и технически сложными, а требования к ИТ-безопасности клиентов — высокими.

Однако у рынка есть будущее. Движущими силами станут расширение законодательных требований по защите данных клиентов, повышение осведомленности о возможностях страховой защиты, интеграция киберстрахования в бизнес-процессы компаний, а также опыт урегулирования убытков и формирование базы данных, предсказывает руководитель по страхованию и инвестициям агентства "Эксперт РА" Екатерина Серова.

Этот текст — часть проекта ИД «», посвященного тенденциям бизнеса и финансового рынка. Более подробные анализы ключевых отраслей российской экономики, экспертные интервью и авторские статьи — на странице Review.