Вышли в море утечек

По итогам 2025 года число кибератак на страховые компании выросло почти в полтора раза. По реакции страховщиков, такие инциденты для них крайне чувствительны, поскольку их отработка является сложной, затратной и длительной. С 2027-го регулятор обязал страховщиков реализовать стандартный уровень защиты цифровой информации. Но примерно для половины участников рынка страховых услуг даже эта цель пока представляется недостижимой.

Выйти из полноэкранного режима

Развернуть на весь экран

Атаки и утечки растут

По оценкам системного интегратора «Кросс технолоджис»,? в 2025 году число кибератак на страховые организации выросло на 45%, достигнув нескольких десятков тысяч за год. Это рекордный прирост с 2022-го. В среднем на одну страховую компанию приходилось примерно 4 тыс. атак, при этом доля успешных атак составила 8–9%, добавляют в компании.

По данным экспертно-аналитического центра ГК InfoWatch, в 2025 году страхование стало одной из немногих сфер, где выросло количество утечек — рост составил 20%. И этот рост последовал за значительным падением в 2024-м, отмечает руководитель направления аналитики и спецпроектов экспертно-аналитического центра ГК InfoWatch Андрей Арсентьев.

Доля страховщиков в утечках из компаний финсектора составила более 20% по итогам неполного 2025 года, оценивают в системном интеграторе «Информзащита». Это максимальный показатель с 2022-го, когда на страховой сегмент приходилось лишь 10–12% утечек (см. “Ъ” от 24 ноября 2025 года). Примерно четверть всех атак на страховщиков преследуют кражу данных как основную цель, а в целом данные так или иначе утекают в 60% кибератак, отмечает руководитель департамента развития и архитектуры «Кросс технолоджис» Евгений Балк.

Страховые компании действительно хранят много данных, в том числе уникальных, что дополнительно привлекает хакеров. Помимо персональных данных, контактов и банковских реквизитов, информации об имуществе, здесь есть информация о страхуемых объектах и медицинская информация, говорит господин Балк. Такие данные позволяют злоумышленникам оценить финансовые возможности потенциальной жертвы, обогащать информацию о ней из медицинских страховых случаев, иногда даже информацию о психологическом состоянии, что делает возможным создавать глубокие, детальные скрипты для проведения целевых атак с использованием методов социальной инженерии.

Защита отстает

Вместе с тем уровень защищенности страховых компаний отстает от банковского сектора. Страховые компании ломают примерно теми же способами, что и любые другие компании с сетевым присутствием — только у страховщиков в среднем по сравнению с банками и крупными IT-компаниями слабее процессы безопасности и больше подрядчиков с доступом к системам, подтверждает независимый эксперт в сфере информационной безопасности Сергей Белов. Он приводит несколько сценариев атак:

• Уязвимости на внешнем периметре. У страховщиков обычно много сервисов на внешнем периметре: VPN, веб-порталы для клиентов и агентов, доступ к почте и т.п. Сервисы анализируются на наличие уязвимостей, и, если сервис самописный (с низким качеством кода) или, например, используется некоторое коробочное решение с известными уязвимостями, то злоумышленник довольно быстро находит точку входа в корпоративную сеть и дальше двигается внутри инфраструктуры.
• Утечки. Логины и пароли сотрудников или агентов могут утечь из других сервисов либо попасть в открытый доступ (например, в так называемые компиляции логов со стилеров) в виду заражения компьютера одного из сотрудников. После этого злоумышленник просто входит в личный кабинет или внутреннюю систему и выгружает необходимую информацию. Для страховых это особенно болезненно, потому что в таких базах часто лежат паспорта, контакты, данные об имуществе и страховых случаях.
• Атаки через подрядчиков. У страховых компаний обычно много партнеров: контакт-центры, IT-интеграторы, медицинские сервисы и т.п. Если взломают одного из таких подрядчиков, злоумышленник может получить доступ к системам страховщика через доверенные интеграции.
• Инсайдер. Бывает, что точкой утечки данных является сотрудник, который за некоторое вознаграждение либо осуществляет точечные выгрузки из информационных систем страховщика, либо продает крупную компиляцию данных по всем клиентам. Это особенно релевантный сценарий, если в компании отсутствует DLP и мониторинг обращений к чувствительным данным.
• Внутренняя ошибка. Неверные настройки облачных хранилищ, открытые базы данных, случайная публикация выгрузки клиентов — такие истории регулярно встречаются и иногда приводят к утечкам не меньше, чем целенаправленные атаки.

Наиболее уязвимыми с точки зрения утечек информации в последние годы выглядят небольшие страховые компании, уточняет господин Арсентьев. Вместе с тем, по его словам, крупным игрокам в определенном смысле приходится труднее — наличие материальных ресурсов еще не гарантирует, что компания может поддерживать сложную систему ИБ и оперативно адаптировать ее под меняющийся ландшафт угроз.

В 2023 году в «Согазе» была зафиксирована утечка, содержащая более 8,3 млн записей, в том числе ФИО, дату рождения, логин, хэшированный пароль, телефонный номер, e-mail, а также место работы застрахованных граждан. В январе 2025 года стало известно об утечке персональных данных примерно 500 тыс. клиентов страховщика «АльфаСтрахование-Жизнь». В ноябре 2025-го масштабной хакерской атаке подверглась страховая компания ВСК, по результатам которой пострадала работоспособность ИТ-инфраструктуры компании.

Наступил предел устойчивости

В ЦБ согласились рассмотреть вмененное страхование от киберрисков, то есть регулятор согласился на диалог. По мнению экспертов, рынок готов к тому, чтобы стандарты кибербезопасности были заданы страховщиками посредством полисов. В связи с этим Всероссийский союз страховщиков (ВСС) готовит свои предложения регулятору по киберстрахованию.

Выйти из полноэкранного режима

Развернуть на весь экран

Полной защиты не бывает

Один из важных вопросов, который сейчас стоит для экономики,— это киберстрахование, сообщил глава ВСС и Российского союза автостраховщиков Евгений Уфимцев, по мнению которого этот вопрос уже «перезрел». «Мне кажется, государству нужно уже включаться в данный процесс в части каких-то рекомендаций, требований, а может быть, даже и обязательности по каким-то отдельным вещам, чтобы киберстрахование действительно активно использовалось»,— полагает Евгений Уфимцев.

За последний годы в России наблюдается взрывной рост утечек персональных данных, заявил глава Национальной страховой информационной системы Николай Галушин. С 2021 по 2025 год утекло 1,7–3,3 млрд записей. Ранее обсуждался вариант, чтобы за каждую утекшую персональную запись человек получал 5 тыс. руб. Однако, учитывая объемы данных в интернете, в случае таких выплат сумма компенсаций дошла бы до 16,5 трлн руб., поэтому такой подход неправильный, считает Николай Галушин. По его мнению, человек должен получать выплату, если будет доказано, что утечка привела к убыткам с его стороны. Однако нужно разделять, где информация просочилась в интернет из-за разгильдяйства, а где за это должна нести ответственность компания и работать страхование.

Кроме того, полной защиты не бывает, все равно есть риски взлома, отметил технический директор по развитию отрасли Positive Technologies Алексей Сидорюк. Наиболее эффективная модель была бы в коллаборации — защищенность от киберрисков, настройки всех систем и проверки угроз, а также страхование остаточных рисков, которые все равно есть, даже если заказчик все делает правильно. Сейчас идет рост атак на госструктуры, есть примеры, когда компании потеряли крупные суммы. При этом 72% всех кибератак на пространстве СНГ приходится именно на Россию.

Любая компания имеет предел устойчивости к взломам. В основном атаки происходили в торговле и производстве, а сейчас несколько сместились к финансам и страхованию, а также связи, отметил генеральный директор ГК «Зетта Страхование» Игорь Фатьянов. Причем если раньше взломы носили коммерческий характер, то в последние два года речь именно о диверсиях и целевом характере атак. Сейчас страдают объекты критической инфраструктуры, убытки из-за нападений также выросли. Из-за сложившейся ситуации Россия волей-неволей должна быть впереди. Страхование выглядит как наиболее логичный вариант покрытия рисков, банковские гарантии в таких случаях практически никогда не работают, подчеркнул Игорь Фатьянов.

Предложения рабочей группы

Банк России готов обсуждать вмененное страхование, обязательное — не готов принципиально, отмечает директор департамента страхового рынка ЦБ Илья Смирнов. Однако, по его словам, для начала обсуждения нужно понимать, о каком продукте идет речь, что мы страхуем и, главное, зачем это нужно обществу. Нужно понимать: мы страхуем граждан и готовы выплатить им те самые 16 трлн руб., компании или потенциальных клиентов. С этим нужно определиться в концепции, отметил Илья Смирнов.

По мнению Евгения Уфимцева, нужно обратить внимание на два направления киберстрахования — страхование рисков повреждения инфраструктуры, восстановление оборудования, помощи в восстановлении после кибератак или киберугроз и нанесения вреда самой организации. А также страхование от того вреда, который нанесла утечка данных.

В ВСС готовы представить регулятору и рынку свои предложения, сообщил Евгений Уфимцев. По итогам обсуждения рабочей группой союз подготовит свою инициативу. Речь идет именно о вмененной форме с фокусом на инфраструктуру, уточнил председатель рабочей группы ВСС Владимир Новиков. Он добавил: «Мы используем страхование не для компенсаций, а для обеспечения высококлассных услуг по кибербезопасности для всех компаний. А с защитой инфраструктуры будет и меньше утечек персональных данных».

К 2027 году рынок киберстрахования может вырасти до 5 млрд руб., оценил руководитель продукта «Киберстрахование» АО «Согаз» Дмитрий Добродей. Он растет не только за счет страховщиков, но и за счет порога риска. Убытки по киберинцидентам достигают десятков миллионов в день. Это все предпосылки к росту рынка.

Защитить себя заставить нельзя, добавила заместитель директора по корпоративному бизнесу по имущественному страхованию АО «АльфаСтрахование» Татьяна Лаврова. Однако атаки на инфраструктуру компаний влияют на многих людей, появляются риски для целого ряда сфер. Поэтому киберстрахование тут нужно, считает она.

Прямое следствие

Ситуация с утечками персональных данных давно перестала быть просто статистикой. По данным «Перспективного мониторинга», только за январь этого года в открытый доступ утекло более 398 млн записей россиян.

«И мы видим последствия уже по тому, как изменилось качество мошеннических звонков: злоумышленники не просто знают номер телефона, они обращаются по имени и отчеству, в курсе наших покупок, могут назвать код от домофона. Это прямое следствие того, что наши данные стали фактически общественным достоянием, а компании, которые их собирают, зачастую относятся к защите формально. Рынок явно требует оздоровления, и подход здесь должен быть серьезным и жестким»,— подчеркнул партнер 5D Consulting Алексей Карпунин. Он добавил: если цена ошибки для маркетплейсов, банков и операторов связи станет ощутимой, а страховщики начнут диктовать им стандарты безопасности — это и будет тем самым взрослением отрасли. Современный мир изменился: персональные данные сегодня такой же критический актив, как и деньги на счетах. И относиться к ним иначе больше нельзя. Поэтому важно не просто принять закон, а сделать так, чтобы он заработал правильно.

Вера Склярова

Большие потери

«Рост кибератак бьет по трем ключевым точкам: операционная устойчивость (простои системы), финансовые потери (восстановление, штрафы, иски) и репутация (утрата доверия клиентов). В условиях, когда основа страхования — работа с персональными данными, даже единичный инцидент может иметь долгосрочные последствия для бизнеса»?,— поясняет руководитель управления информационной безопасности «АльфаСтрахования» Евгений Солянкин.

Борьба с последствиями утечек — это сложный и порой длительный процесс определения точки входа, блокирования действия злоумышленников внутри контура информационных систем страховщика, восстановления поврежденной информации при наличии таких возможностей, отмечает глава НСИС Николай Галушин. Процесс также включает расследование с привлечением внешних экспертов, уведомление регуляторов и клиентов и постинцидентный аудит, добавляет Евгений Солянкин. По его оценкам, затраты варьируются от нескольких сотен тысяч до миллионов рублей в зависимости от сложности и масштабов расследуемой атаки.

Штрафные санкции

Рост инцидентов заставляет Банк России ужесточать требования к страховщикам, подтягивая их к банковским стандартам информационной безопасности и операционной надежности, указывает руководитель развития бизнеса по защите данных Positive Technologies Виктор Рыжков.

Из опубликованных 17 февраля текущего года изменений в положение регулятора «Об установлении обязательных требований… по защите информации… в целях противодействия осуществлению незаконных финансовых операций» (№775-П от 20 апреля 2021 года) следует, что страховые компании с 2027 года обязаны реализовывать стандартный уровень защиты информации. По оценкам страхового брокера Mains, примерно у 40–60% страховых компаний реализован минимальный уровень защиты.

По мнению экспертов, это повлечет затраты самих компаний в размере от 1,5–2 млн руб. при минимальных работах и до 90–100 млн руб.— при максимальных, в отдельных случаях стоимость может быть еще выше (см. “Ъ” от 17 февраля).

По информации Всероссийского союза страховщиков (ВСС), ужесточение наказания за утечки персональных данных, введенное соответствующими изменениями в Административный кодекс (КоАП), является стимулом для повышения внимания и затрат на информационную безопасность.

С 30 мая 2025 года в силу вступили поправки в КоАП, предполагающие прямую зависимость размера штрафа от количества пострадавших субъектов и характера раскрытой информации. Так, при утечке 1–10 тыс. записей наказание составит до 5 млн руб., до 100 тыс.— в пределах 10 млн руб., более 100 тыс. субъектов либо 1 млн и более идентификаторов — до 15 млн руб. За утечку биометрических данных штраф составит до 20 млн руб. Если компания допустила утечку повторно, ей выпишут оборотный штраф — в среднем 1–3%, но не менее 20 млн руб. и не более 500 млн руб.

По информации «АльфаСтрахования», на рынке растет практика страхования собственных киберрисков — страховщики покупают полисы, чтобы передать часть непредсказуемых рисков, получить доступ к кризисной экспертизе и выполнить требования партнеров.

Юлия Пославская