Киберстрахование после атаки: почему бизнесу нужен не только полис, но и план восстановления

Share to Telegram Share to VK
clock 5 часов назад
Киберстрахование после атаки: почему бизнесу нужен не только полис, но и план восстановления © Сгенерировано ИИ

Кибератака для компании сегодня — не абстрактный риск из перечня угроз, а сценарий, который способен одновременно остановить продажи, нарушить работу внутренних систем, создать юридические последствия и потребовать немедленного привлечения внешних специалистов. На сессии по киберстрахованию в рамках форума РусРиск эксперты страхового рынка, представители бизнеса и ИБ-компаний обсудили, как меняется характер атак, почему полиса недостаточно без плана восстановления и каким образом страхование может стать частью системы киберустойчивости.

В дискуссии приняли участие Сергей Худяков, ООО «Мэйнс. Страховые брокеры и консультанты»; Павел Гришин, ПАО «ГМК "Норильский никель"»; Роман Фролов, САО «ВСК»; Алексей Старк, ООО «РК Страховой брокер»; Владимир Шилин, ООО СК «Сбербанк страхование»; Алексей Лукацкий, ООО «Позитив Текнолоджиз».

Открывая дискуссию, Сергей Худяков отметил, что российский рынок киберстрахования развивается медленнее, чем ожидали его участники. Еще несколько лет назад многие рассчитывали, что рост числа атак быстро приведет к массовому спросу на полисы, однако этого не произошло.

«Нам казалось, что этот рынок должен взлететь. То есть что мы стоим у истоков огромного большого рынка, который зарождается, потому что атаки уже начинались, уже были шифровальщики. Мы видели, что, наверное, надо эту тенденцию подхватывать», — рассказал Сергей Худяков.

По его словам, у многих компаний полисов киберстрахования по-прежнему нет, в других организациях они есть, но подготовлены без достаточной проработки рисков и исключений из покрытия. При этом ущерб от кибератак растет. Сергей Худяков отметил, что по оценкам аналитических агентств мировые потери от киберинцидентов измеряются триллионами долларов, а в России совокупный ущерб оценивается суммами, превышающими триллион рублей.

Страховое покрытие на российском рынке пока остается ограниченным. По словам Сергея Худякова, при привлечении максимального количества участников рынка совокупный лимит может составлять порядка 3–3,5 млрд рублей.

«На текущий момент можно купить покрытие где-то 3–3,5 млрд рублей, если задействовать максимальный пул игроков, которые в этот сегмент зашли. Это порядка шестнадцати страховых компаний, включая РНПК (Российская национальная перестраховочная компания). Все вместе они пока достаточно осторожничают», — пояснил он.

Стандартный полис киберстрахования может включать прямой имущественный ущерб, перерыв в деятельности, гражданскую ответственность, расходы на расследование инцидента, восстановление систем, привлечение специалистов по цифровой криминалистике, юридическое сопровождение и коммуникации с клиентами.

Киберстрахование начинается с изучения собственного риска

Павел Гришин, представляющий ПАО «ГМК "Норильский никель"», рассказал, что подготовка к покупке киберполиса заняла у компании около шести месяцев. Ключевым этапом стало не оформление договора, а предварительная оценка рисков.

«Если взять предпроектный, предстраховой период, наверное, шесть месяцев мы потратили на изучение собственных рисков. Это ключевая вещь, которая позволила нам купить полис только тогда, когда мы поняли, какие риски имеем, и наложили на них условия, которые были тогда доступны», — отметил Павел Гришин.

Он подчеркнул, что роль владельца риска нельзя передавать полностью брокеру, страховщику или внешнему консультанту.

«Никакой консультант, никакой страховой брокер, никакой риск-менеджер ничего вам не сделает, если вы сами не вовлечетесь в этот процесс. Если кто-то делает за тебя без вовлечения владельца риска, то это абсолютно неработоспособный документ», — сказал Павел Гришин.

По его словам, именно глубокая вовлеченность бизнеса позволяет соотнести страховое покрытие с реальными сценариями потерь, а не приобрести полис формально.

Опыт ВСК: 85% бизнеса остановилось менее чем за сутки

Одним из центральных кейсов дискуссии стал опыт САО «ВСК», которое столкнулось с масштабной кибератакой. Роман Фролов рассказал, что атака затронула практически всю виртуальную инфраструктуру компании.

«У нас полностью остановилась возможность оформления онлайн-полисов. Остановились фронт-офисные системы для продавцов, перестал работать активный контакт-центр, системы скоринга и верификации. По сути, обнулились все партнерские сделки», — рассказал Роман Фролов.

По его словам, сама атака продолжалась менее суток — около 17 часов. Однако даже за это время ущерб оказался существенным: на период инцидента было остановлено около 85% бизнеса компании.

Восстановление проходило поэтапно. В первую неделю ВСК восстанавливала инфраструктурный слой, во вторую — прикладные программные комплексы, в третью — фронт-офисные системы.

«За три недели после такой беспрецедентной атаки мы сумели восстановить продажи. Но сказать, что мы на 100% восстановились, наверное, нельзя, потому что отдельные элементы инфраструктуры восстанавливаем до настоящего времени. Однако это уже не мешает ни продажам, ни учету, ни отчетности», — отметил Роман Фролов.

В первые часы после атаки компания сформировала штаб восстановления под руководством генерального директора. Для отдельных функций были организованы дополнительные штабы по продажам, андеррайтингу, операционному сопровождению и урегулированию убытков.

При этом, как отметил Роман Фролов, в кризисной ситуации критичны не только технические решения, но и организационная готовность.

«Когда мы начали смотреть, кого пригласить и какие контакты у нас есть, оказалось, что в основном контакты ИТ-подразделения находятся в плоскости поддержки. Поддержка никаких экстренных решений, таких как вывод людей ночью или в выходные, конечно, не предпринимает. Все активности наших партнеров в выходные дни запускались через общение с руководством и собственниками компаний, которые помогали нам в восстановлении», — рассказал он.

Отдельное внимание пришлось уделить условиям работы команд восстановления.

«На третий день мы увидели, что айтишники, которые занимаются восстановлением, питаются пиццами, которые сами себе заказывают. Нет медицинского сопровождения, потому что люди уже работали по несколько суток без перерыва на сон. После этого мы организовали бесплатное питание и медицинское сопровождение, которое действовало до конца декабря», — отметил Роман Фролов.

Что мог бы покрыть полис

Участники дискуссии рассмотрели, как в такой ситуации могло бы сработать киберстрахование. По словам Романа Фролова, полис мог бы компенсировать расходы на цифровую криминалистику, пересборку конфигураций, сверхурочную работу специалистов, привлечение дополнительных подрядчиков и восстановление инфраструктуры.

Еще один значительный блок — упущенная выгода и финансовые потери от простоя.

«Мы понимаем, какая выручка у нас была и какая стала в период атаки, какие системы остановились. Это можно четко посчитать как по выручке, так и по марже, которую компания потеряла», — пояснил Роман Фролов.

Он добавил, что страховой продукт должен становиться не только инструментом возмещения расходов, но и сервисной моделью.

«Киберстрахование — это не дополнительные расходы, а инструмент, который позволяет оплачивать работу специалистов, компенсирует упущенную выгоду, возмещает затраты на восстановление инфраструктуры и обеспечивает юридическую защиту», — отметил он.

По мнению Романа Фролова, в будущем полис должен давать компании быстрый доступ к нужным экспертам и командам восстановления сразу после обнаружения инцидента.

Подрядчик как точка входа

Алексей Старк, ООО «РК Страховой брокер», посвятил выступление атакам через подрядчиков. По его словам, крупные компании все чаще становятся жертвами не потому, что их собственная защита недостаточна, а потому, что злоумышленники используют менее защищенные звенья в цепочке поставщиков и сервисных организаций.

«Хакеры охотятся на крупный бизнес не напрямую, потому что взломать его дорого и сложно. Они идут через тех, у кого есть доступ к вашей сети: подрядчиков, вендоров, аутсорсинг», — сказал Алексей Старк.

Он описал типичный сценарий атаки в пять этапов. Сначала злоумышленники проводят разведку и ищут подрядчиков с устаревшим программным обеспечением, слабыми учетными записями или отсутствием многофакторной аутентификации. Затем получают доступ к инфраструктуре подрядчика и используют его легитимные каналы связи, например VPN, чтобы проникнуть в систему основной компании.

Самой опасной Алексей Старк назвал стадию скрытого присутствия, когда злоумышленники используют легитимный доступ и их активность внешне выглядит как обычная работа подрядчика.

«В этот момент они обходят средства защиты, потому что весь трафик выглядит как свой. Затем происходит удар: шифрование данных, требование выкупа или кража персональных данных», — пояснил он.

Алексей Старк отметил, что компаниям необходимо регулярно пересматривать перечень подрядчиков, имеющих доступ к критическим системам.

«Самый главный момент — составить список всех, у кого есть ключи от вашей квартиры. Изрядное количество компаний даже не подозревают, сколько активных доступов к их серверам действительно существует», — сказал он.

Киберустойчивость вместо иллюзии полной защиты

Алексей Лукацкий, ООО «Позитив Текнолоджиз», отметил, что современный подход должен строиться не вокруг вопроса «если нас взломают», а вокруг вопроса «когда нас взломают».

«Взломать можно абсолютно любую компанию, даже в области безопасности. Сегодня 17 российских компаний в области безопасности были взломаны за последние четыре года. Поэтому вопрос только в том, как быстро мы восстановимся и как быстро сможем вернуться к обычным операциям», — сказал Алексей Лукацкий.

Он выделил несколько категорий атакующих: хактивистов, группы с геополитической или религиозной мотивацией, финансово мотивированных злоумышленников и прогосударственные группы.

При этом, по его мнению, основная цель многих атак на российские компании сегодня смещается от вымогательства к уничтожению инфраструктуры.

«Если раньше фокус был на вымогательстве, то сейчас основная задача злоумышленников — уничтожение инфраструктуры. Они не требуют выкуп. Иногда требуют, но в основном речь идет о разрушении систем», — отметил он.

Отдельно Алексей Лукацкий подчеркнул, что развитие искусственного интеллекта сокращает время между обнаружением уязвимости и ее эксплуатацией.

«Если раньше время между обнаружением уязвимости и началом ее использования составляло несколько дней, то в 2026 году эта цифра становится отрицательной. Злоумышленники находят уязвимости до того, как их успевают исправить и выпустить обновление», — сказал он.

Бэкап должен быть проверяемым

Одной из самых обсуждаемых тем стали резервные копии. Участники сошлись во мнении, что сам факт наличия бэкапа не означает готовности к восстановлению.

«Бэкап — это не просто резервное копирование. Это процесс регулярного тестирования возможности восстановления из резервной копии и нахождения резервной копии в другом ЦОД или вообще на ленточке и в банковской ячейке», — подчеркнул Алексей Лукацкий.

Роман Фролов подтвердил, что после атаки ВСК пересмотрела отношение к резервному копированию.

«Мы бы однозначно изменили систему копирования, которая у нас была. И чаще восстанавливали бы из бэкапов те файлы, которые туда положили», — сказал он.

По его словам, компании необходимо заранее понимать, какие системы копируются, в каком виде происходит резервирование и можно ли развернуть инфраструктуру после полной остановки рабочего контура.

Страховщик должен видеть реальную защищенность клиента

Владимир Шилин, ООО СК «Сбербанк страхование», отметил, что при оценке киберрисков страховщики все меньше ориентируются на статистику прошлых периодов. Для андеррайтинга важнее текущее состояние защищенности конкретной компании.

«Все, что было вчера, уже не имеет смысла, потому что мир настолько поменялся, что нужно заново пересматривать защищенность клиента в моменте», — сказал Владимир Шилин.

По его словам, при оценке страхового риска используются сканирование внешнего периметра, оценка уязвимостей, элементы киберразведки и анализ зрелости ИБ-процессов.

«Мы не смотрим на статистику прошлых периодов. Мы полностью сканируем внешний периметр клиента, смотрим потенциальные уязвимости. В андеррайтинге участвуют элементы киберразведки», — пояснил он.

Владимир Шилин считает, что страховщики должны работать в тесной связке с компаниями из сферы информационной безопасности.

«Наши основные партнеры при андеррайтинге — ИБ-компании. Они могут провести глубокий кибераудит или за 5–15 минут просканировать открытый контур компании и сформировать интегральную оценку ее киберзрелости», — отметил он.

По его оценке, справедливый тариф для киберрисков сегодня может находиться на уровне 2–3%, однако реальная стоимость полиса зависит от подготовки компании и качества ее ИБ-процессов.

Киберкатастрофа может затронуть отрасль и регион

Алексей Лукацкий также обратил внимание на риск каскадных киберинцидентов, когда атака на одну организацию приводит к последствиям для подрядчиков, отрасли или региона.

«В США есть отдельный термин — киберкатастрофа, когда с помощью специальных моделей рассчитываются каскадные эффекты от инцидентов кибербезопасности, затрагивающих одну компанию и перекидывающихся на другие», — отметил он.

По его словам, по мере роста цифровизации подобные сценарии могут затрагивать не только отдельный бизнес, но и критическую инфраструктуру регионов.

«Сегодня эти эффекты должны оцениваться уже не на уровне отдельной организации, а на уровне отрасли или страны», — сказал Алексей Лукацкий.

Что должен сделать бизнес

Участники дискуссии выделили несколько базовых шагов, которые компании могут предпринять уже сейчас.

Первое — проверить и протестировать планы непрерывности бизнеса и планы восстановления после кибератаки. Формальный документ, который не проверялся на практике, может не сработать в реальном инциденте.

Второе — провести ревизию подрядчиков и внешних доступов. Компания должна понимать, кто подключается к ее системам, на каких условиях и зачем этот доступ сохраняется.

Третье — регулярно проверять резервные копии через тестовое восстановление и обеспечивать их изоляцию от основного контура.

Четвертое — вывести вопросы киберустойчивости на уровень руководства компании. Последствия атаки касаются не только ИТ-службы: они затрагивают продажи, производство, финансы, работу с клиентами, юридические риски и деловую репутацию.

Наконец, киберстрахование стоит рассматривать не как замену средствам защиты, а как часть общей системы киберустойчивости. Полис не предотвратит атаку, но может обеспечить доступ к экспертам, сократить финансовые последствия простоя и дать компании ресурс для быстрого восстановления.

Источник: сессия по киберстрахованию форума РусРиск, июнь 2026 года.

Читайте также: Скрытые ИТ-риски, о которых СЕО узнает слишком поздно


Был ли вам полезен данный материал?


Журнал RUБЕЖ собрал в новом номере мнения участников рынка о ключевых изменениях в сфере пожарной безопасности: как работать проектировщикам после обновления Сводов правил 3, 6, 484, 485, нормативные новации, анализ госзакупок и применение нацрежима.

Подписывайся на наши каналы в Telegram:

Подпишись на еженедельный дайджест самых интересных новостей по e-mail    
Yandex.Дзен

Подписывайтесь на канал ru-bezh.ru
в Яндекс.Дзен

RUБЕЖ в telegram+ RUБЕЖ-RSS RUБЕЖ в vk RUБЕЖ на youtube RUБЕЖ на dzen RUБЕЖ на max

Контакты

Адрес: 119270, г. Москва, Фрунзенская набережная, д. 50, пом. IIIа, комн.1

Тел./ф.: +7 (495) 539-30-20

Время работы: 9:00-18:00, понедельник - пятница

E-mail: info@ru-bezh.ru


Для рекламодателей

E-mail: reklama@ru-bezh.ru

тел.: +7 (495) 539-30-20 (доб. 103)

Первый отраслевой маркетплейс систем безопасности SecumarketПартнёр первого маркетплейса систем безопасности secumarket.ru
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение.