В 2023 г. объем рынка киберстрахования в РФ составит 3-7 млрд р.

Многие российские страховщики скептически относятся к этому продукту – и зря. Ежегодные убытки всей экономики России от киберпреступности оцениваются экспертами в 600-650 млрд р., в мире – в $1 трлн.​ Прогнозируется, что в 2018 г. потери российской экономики от кибератак могут достичь 1 трлн р., а это около 0,9% от ВВП, тогда как в 2015 г. этот показатель был в 4 раза меньше – 0,25% ВВП.

Данный вид страхования находится на этапе становления. Нет статистики, нет устоявшихся подходов к оценке рисков, нет понимания спроса. Это останавливает страховщиков перед массовыми продажами киберстрахования. Первой компанией в России, страхующей киберриски в массовом сегменте, 10 месяцев назад стала «Сбербанк страхование». Сегодня этим видом страхования в нашей стране занимаются лишь 6-7 страховщиков, поэтому говорить о каких-либо данных по общим сборам пока рано. Если посмотреть на динамику по компании «Сбербанк страхование», объем премий по киберстрахованию за второй квартал 2018 г. относительно первого квартала вырос почти на 9%. 

Бизнес постепенно осознает необходимость такого страхования: ряд крупнейших российских компаний уже несколько лет всерьез занимаются киберзащитой, и теперь стали задумываться над страховой защитой от кибератак. По нашим наблюдениям, запросы на страхование увеличиваются в тот период, когда проходит информация о той или иной атаке. Например, за 9 месяцев действия данного продукта в нашей компании всплеск страхования пришелся на декабрь 2017 г. Именно тогда была произведена одна из самых крупнейших в России атак американской группировки Cobalt на российский банк «Глобэкс» (53-е место по активам). По данным ЦБ, банк лишился 339,5 млн р. При этом впервые для вывода денежных средств была использована международная межбанковская система передачи информации и совершения платежей SWIFT. В результате заражения банка злоумышленники фактически захватили управление им, то есть могли вывести средства любым способом.

А самый большой ущерб в размере 400 млн р. был причинен другому банку из первой сотни – «Союзу». Получив доступ к процессингу, киберпреступники «заменили» дебетовые карты на кредитные без лимита и сняли деньги через банкоматы, в том числе сторонних банков. Хакеры попали в систему с помощью рассылки фишинговых писем, одно из которых открыл операционист банка.

Почему компании будут страховаться от киберрисков? Каждая третья российская компания ежегодно сталкивается с кибератаками, а в день потери на информационные системы подсчитывают около 16 компаний. Средний ущерб от успешной атаки на предприятия малого и среднего бизнеса составляет около 1,6 млн р., а на крупные предприятия – примерно в 10 раз больше, порядка 11 млн р. Чаще всего в России кибератакам подвергаются финансовые организации – прежде всего, банки, которые несут наиболее серьезные потери.

Несмотря на экономический кризис, компании постоянно увеличивают расходы на информационную безопасность. Если в 2017 г. они по сравнению с предыдущим годом выросли на 30-40%, то по оценкам экспертов, в 2018 г. расходы могут увеличиться еще на 50%. Как правило, пострадавшие компании готовы тратить на защиту своих информационных систем около 25% от понесенного ранее ущерба. При этом средняя премия по этому виду страхования в России составляет 2,5-5% от страховой суммы. Для сравнения: в каско этот показатель в 5-7 раз больше. Этот факт только подтверждает, что рынок киберстрахования еще не развит и недооценен как потенциальными страхователями, так и самими страховщиками. Тарифообразование пока не стандартизировано и у разных страховщиков формируется в зависимости от их представления об этом виде страхования.

Зачем это страховщикам? Пока киберстрахование находится на этапе start-up. Отсутствие достаточной статистики по убыточности создает определенные трудности по андеррайтингу этого вида страхования. Должно пройти минимум  5 лет до того момента, когда страховой рынок поймет, убыточен это вид страхования или прибылен. Но, как известно, главное - вовремя занять свою нишу. Поэтому тем страховщикам, которые стоят у истоков развития киберстрахования, в будущем будет гораздо проще им заниматься, так как они уже подготовили плодородную почву для дальнейшего урожая. Кроме этого, по нашим оценкам, около 50% рисков будет передаваться в перестрахование, что будет своего рода дополнительной защитой от убыточности.

Какие страховщики смогут заниматься этим бизнесом? Сегодня страховщиков, предлагающих полисы страхования от киберрисков, можно пересчитать по пальцам.  Учитывая объем ответственности по каждому такому полису, этим видом страхования смогут заниматься страховщики из топ-20. Именно они соответствуют определенным требованиям по размеру капитала, резервов и т. д.

Прогноз. По нашей оценке, совокупные сборы российских страховщиков по этому виду страхования исчисляются сейчас несколькими миллионами рублей. Однако, согласно оценкам Mains Insurance Brokers & Consultants, уже в 2019 г. начнется экспоненциальный рост рынка, а в 2025 г. его объем достигнет 1 млрд р. По моему прогнозу, в 2023 г. объем российского рынка киберстрахования составит от 3 до 7 млрд р. Делать прогнозы по выплатам пока рано, так как на сегодняшний день нам неизвестно ни одного страхового случая, связанного с киберрисками. Это говорит о том, что страховщики проводят серьезную работу в этом направлении и очень тщательно проверяют потенциальных страхователей. 

Риски. Считаю, что рентабельность страхования от киберрисков будет флуктуировать несколько лет. На первом этапе даже может показаться суперприбыль. Но может настать и плохой год, когда кибератаки поразят многих клиентов. И тут уже придет время испытывать перестраховочную защиту, либо капитал страховщика. Страховых премий на оплату убытков не хватит.

Поэтому страховщикам следует быстрее развивать этот вид страхования, пока конкуренция на этом рынке невысока, и при этом четко понимать необходимость в капитале для покрытия возможных отклонений убыточности. Без надлежащего уровня свободных активов в кибер лучше не идти. Можно создать угрозу для традиционных сегментов.