Киберстрахование малого бизнеса: что реально покрывает полис и как его получить
В марте мне позвонила директор бухгалтерской фирмы — клиент, с которым мы работаем лет десять. Ночью шифровальщик положил половину серверной, требование выкупа висело прямо на рабочем столе бухгалтера. Бэкапы, слава богу, спасли, восстановились за сутки. Но первый вопрос после «что делать» был: «А у нас же есть киберстраховка?» Не было. С тех пор я перечитал десяток договоров от разных страховщиков и хочу разложить по полочкам, что эти полисы реально покрывают, а что — красивые слова в презентации агента.
Откуда вообще взялась эта мода
За последние три года через нас прошло больше двадцати клиентов с инцидентами — от банальной фишинговой рассылки до полноценного шифровальщика с требованием выкупа в биткоинах. И почти никто из них не был готов финансово. Восстановление сервера с базой 1С, простой на два-три дня, сорванные отгрузки — для конторы на пятнадцать рабочих мест это легко пятьсот тысяч-миллион рублей. А если утекла база клиентов медклиники или юрфирмы — сумма может быть и в разы больше, там уже штрафы по 152-ФЗ и репутационные потери.
Крупные страховщики — Ингосстрах, СОГАЗ, АльфаСтрахование, Ренессанс — года три-четыре назад начали предлагать киберполисы не только банкам и заводам, но и малому бизнесу. Продукт молодой, судебной практики по нему в России почти нет, и это чувствуется в договорах: формулировки размытые, исключений много, а агенты продают полис как страховку от всего на свете. На деле это не так.
Что реально покрывает полис
Ядро любого нормального киберполиса — три вещи. Первое: расходы на реагирование и восстановление. Это оплата форензики (расследования, как именно вас взломали), работы по восстановлению данных, привлечение внешнего ИТ-подрядчика вроде нас, если своего сисадмина не хватает. Второе: простой бизнеса — компенсация недополученной прибыли за дни, пока не работает касса, склад или CRM. Третье: ответственность перед третьими лицами, если утекли персональные данные клиентов или партнёров — сюда же обычно зашиты юридические расходы на разбирательства с Роскомнадзором.
У медицинского центра, с которым мы работаем, лимит по полису — 5 миллионов рублей, франшиза 100 тысяч. То есть первые сто тысяч ущерба они платят сами, дальше подключается страховая. Для клиники с базой на три тысячи пациентов и данными о диагнозах это разумная сумма — один серьёзный слив персональных данных легко потянет на такие штрафы и разбирательства.
Отдельная строка, которую часто забывают спросить у агента — расходы на кризисный PR и уведомление пострадавших клиентов. Звучит необязательным, пока не окажется, что закон требует разослать письма всем, чьи данные утекли, а делать это вручную для базы в десять тысяч контактов — отдельная головная боль и статья расходов.
Чего полис почти никогда не покрывает
А вот тут начинается самое интересное — и самое неприятное для тех, кто читает договор по диагонали. Первое исключение — устаревшее и не поддерживаемое ПО. Если у вас на сервере до сих пор крутится Windows Server 2008 без обновлений, страховая с высокой вероятностью откажет в выплате, сославшись именно на это. И будет права — это прописано практически в каждом договоре, который я видел.
Второе — сама выплата выкупа хакерам. Казалось бы, логично: заплатили атакующим, получили ключ, компенсируйте расходы. Но большинство страховщиков либо вообще не покрывают эту статью, либо требуют предварительного согласования — а это дни, которых у вас часто нет, потому что шифровальщик держит бизнес за горло здесь и сейчас. Плюс есть юридическая серая зона: платёж вымогателям может квалифицироваться как финансирование преступной деятельности, и не каждая страховая захочет в этом участвовать.
Третье — атаки, которые страховщик классифицирует как военные действия или действия государственных структур. После известных крупных атак последних лет («NotPetya»-подобные истории) в договоры массово добавили формулировку про «акт войны» или «кибервойна». На практике это значит: если атака масштабная и есть подозрение на государственный след, вам могут просто отказать, сославшись на этот пункт. И четвёртое, банальное — грубая небрежность. Уволенный админ оставил себе доступы, вы не отозвали пароли полгода, а потом он же вас и взломал из мести — с высокой вероятностью это тоже не покроют.
Что потребует страховщик от вашей ИТ-инфраструктуры
Перед подписанием вам дадут анкету — обычно от тридцати до пятидесяти вопросов про инфраструктуру. И вот тут многие малые компании впервые узнают, что у них, оказывается, дыра размером с ворота. Классика жанра, с которой мы сталкивались лично: клиент подавал заявку на полис, а у него RDP был выставлен прямо в интернет на стандартном порту 3389, без VPN и без многофакторной аутентификации. Страховая отказала сразу, даже не считая тариф — это одна из самых частых причин взлома малого бизнеса в принципе, ей неинтересно страховать заведомо открытую дверь.
Базовый набор требований примерно такой: антивирус или EDR-решение на всех рабочих станциях (Kaspersky Endpoint Security или Dr.Web — оба принимают без вопросов), резервное копирование по правилу 3-2-1 с проверкой реального восстановления, а не просто «бэкап идёт зелёным». У нас был случай на другом проекте: бэкапы Veeam исправно создавались полгода, а восстановиться из них не получилось — оказалось, задание падало на шаге верификации, и никто не смотрел логи. Страховая как раз просит подтверждение, что восстановление тестировали хотя бы раз в квартал.
Дальше — многофакторная аутентификация для админских учёток и удалённого доступа, регулярные обновления (критические патчи закрываются не позже чем за тридцать дней), разграничение прав доступа и хранение логов минимум за девяносто дней. Для юрфирм отдельно смотрят на КриптоПро и защиту электронной подписи — если вы работаете с ЭЦП клиентов, требования к хранению ключей будут жёстче.
Сколько это стоит и как считают тариф
Премия обычно считается как процент от страхового лимита и зависит от отрасли и того, насколько чистую анкету вы принесли. По моим наблюдениям — от полутора до четырёх процентов годовых от суммы покрытия. Та же медклиника с лимитом 5 миллионов и франшизой 100 тысяч платит около 150 тысяч рублей в год — и это уже с учётом скидки, потому что у них есть договор с ИТ-аутсорсером на постоянное обслуживание, а не «сисадмин раз в год по звонку».
Для юридической фирмы на двадцать пять рабочих мест с доступом к персональным данным клиентов и работой с ЭЦП тариф будет выше — там риск утечки данных считается более серьёзным. Видел договор с премией около 280 тысяч в год при лимите 8 миллионов. Торговым компаниям и производству обычно чуть легче: если ПДн клиентов минимум, а основной риск — простой из-за шифровальщика, тариф ближе к нижней границе.
И да, страховщики реально дают скидку за наличие постоянного ИТ-подрядчика с документированным SLA. Логика простая: если инфраструктуру кто-то регулярно патчит и следит за бэкапами, вероятность страхового случая ниже. Так что если вы уже платите за аутсорсинг — обязательно упомяните это агенту, документы попросят приложить.
Как проходит сам страховой случай
По регламенту у вас обычно 24-72 часа на уведомление страховой с момента обнаружения инцидента — не с момента, когда стало совсем плохо, а именно с момента обнаружения. Затягивать нельзя, это прямое основание для отказа. Дальше страховая либо присылает своих форензик-специалистов, либо утверждает вашего подрядчика — здесь и пригождается то, что мы делаем расследование и составляем акт по инциденту в формате, который принимают страховые компании.
Разница между быстрой и медленной выплатой почти всегда в документации. У одного клиента вся история была расписана по минутам: когда обнаружили шифрование, кто отключил сеть, какие логи сохранили, что писали в техподдержку антивируса. Деньги пришли за шесть недель. У другого — логи частично затёрлись, потому что никто не подумал их изолировать сразу, а IT-отдел в панике переустановил пару машин «для скорости». Разбирательство растянулось на четыре месяца, и часть суммы страховая всё же урезала, сославшись на невозможность подтвердить масштаб ущерба.
Мои советы тем, кто решил оформить полис
Первое — сделайте аудит инфраструктуры до того, как идти к страховщику, а не после отказа. Закройте RDP наружу, включите MFA хотя бы на почте и удалённом доступе, проверьте, что бэкапы реально восстанавливаются. Это займёт неделю-две работы, зато вы не потратите время на анкету, которую сразу завернут.
Второе — читайте раздел исключений внимательнее, чем раздел покрытия. Спросите прямо: покрывается ли выплата выкупа, и на каких условиях. Спросите про франшизу отдельно для каждого типа события — иногда франшиза на утечку данных и на простой бизнеса разная, и это не всегда очевидно из общей таблицы.
Третье — сравнивайте не только цену, но и репутацию страховой по факту выплат, а не по рекламным обещаниям. Спросите у своего юриста или у знакомых предпринимателей, были ли реальные случаи выплат у конкретного страховщика. Полис — это не панацея и не замена нормальной ИТ-гигиены, а страховка на тот случай, когда даже при разумных мерах предосторожности что-то пошло не так. Именно в такой роли он и работает хорошо.
Частые вопросы
Можно ли получить полис, если антивирус стоит не на всех компьютерах?
Формально можно попробовать подать заявку, но с высокой вероятностью получите отказ или урезанное покрытие. Антивирус или EDR на всех рабочих станциях — это база, без которой большинство страховщиков вообще не начинают считать тариф. Проще закрыть этот вопрос до подачи анкеты, чем потом судиться за выплату.
Покроет ли страховка ущерб, если сотрудник сам отдал пароль по фишингу?
Как правило, да, если в компании соблюдались базовые меры — MFA, разграничение прав, обучение сотрудников хотя бы на уровне инструктажа. Фишинг считается типовым риском, который и покупают через такой полис. А вот если пароль от админской учётки годами лежал в файле на рабочем столе «pароли.txt» — это уже грубая небрежность, и тут возможен отказ.
Выгоднее заплатить хакерам самим или ждать решения страховой?
Юридически и по срокам это рискованно: платёж вымогателям почти всегда требует согласования со страховщиком, а решение по такому вопросу может занять больше времени, чем у вас есть до истечения таймера на экране с требованием выкупа. Плюс сам факт оплаты может квалифицироваться неоднозначно с юридической точки зрения. Разумнее заранее договориться со страховой о протоколе действий именно на такой случай, а не изобретать его в панике.
Нужна ли страховка, если у нас уже есть ИТ-аутсорсинг?
Аутсорсинг снижает вероятность инцидента, страховка компенсирует финансовые последствия, если инцидент всё же случился. Это разные инструменты, и хороший ИТ-подрядчик даже помогает снизить тариф на полис, потому что подтверждает страховщику регулярность патчей и бэкапов. Одно без другого работает хуже — проверено на практике не один раз.
Проведём аудит по чек-листу, который реально требуют страховые компании, и закроем дыры за две недели.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
