В рамках трека «Кибербез» деловой программы ЦИПР состоялся круглый стол «Реальная проверка киберустойчивости и киберстрахование в технологическом и промышленном секторе». Участники обсудили, как промышленным и технологическим компаниям проверять свою защищенность не формально, а в реальных условиях, как безопасно привлекать внешних специалистов к таким проверкам и какую роль в управлении рисками может играть киберстрахование.
В дискуссии приняли участие Андрей Арефьев, директор по инновациям и продуктовому развитию InfoWatch; Алексей Буза, руководитель направления по киберстрахованию «АльфаСтрахование»; Валентин Богданов, генеральный директор ООО «УЦСБ»; Иван Еремеев, управляющий директор «РК Страховой Брокер», резидент бизнес-клуба Кибердома; Роман Фролов, член совета директоров, заместитель генерального директора Страхового Дома ВСК; Рустэм Хайретдинов, вице-президент «Гарда», амбассадор Кибердома; Дмитрий Хомутов, генеральный директор Ideco. Модератором выступил Алексей Лукацкий, амбассадор Кибердома.
Ключевой темой обсуждения стало смещение акцента с формального соответствия требованиям и попыток обеспечить абсолютную защиту на киберустойчивость — способность компании оперативно выявлять атаку, локализовать последствия и быстро восстанавливаться. Участники сошлись во мнении, что для промышленных и технологических предприятий особенно важно проверять защищенность в реальных сценариях, поскольку именно практические тесты, учения и контролируемые проверки дают объективную картину рисков для бизнеса.
Дмитрий Хомутов, генеральный директор Ideco: «Промышленным предприятиям важно проверять свою защищенность в реальности, а не на бумаге. Только практическая проверка показывает, как инфраструктура, процессы и команда поведут себя в случае реального инцидента».
Отдельное внимание было уделено тому, как правильно организовать внешнюю проверку защищенности. Эксперты отметили, что компании необходимо заранее определить цели проверки, допустимые сценарии, границы доступа, порядок взаимодействия с подрядчиком и формат итоговых рекомендаций. Такой подход позволяет получить практическую пользу для бизнеса, не создавая дополнительных рисков для инфраструктуры, процессов и данных.
Основные выводы
Реальная проверка киберустойчивости должна опираться не только на документы и аудиторские анкеты, но и на практические сценарии: учения, тесты на проникновение, оценку готовности команд и проверку процедур восстановления.
Привлечение внешних специалистов требует четкой постановки задач, согласованных правил доступа, юридического оформления работ и прозрачного контроля результатов.
Для бизнеса критически важно оценивать не только вероятность атаки, но и стоимость простоя, сроки восстановления, влияние инцидента на производственные процессы и обязательства перед клиентами и партнерами.
Рынок киберстрахования в России развивается, однако пока остается молодым из-за дефицита статистики по инцидентам, ограниченной прозрачности рынка и взаимного недоверия между клиентами и страховщиками.
Киберстрахование может быть полезным инструментом финансовой защиты, если компания внимательно анализирует условия договора: состав покрываемых рисков, исключения, требования к уровню защиты, сроки уведомления о происшествии и основания для отказа в выплате.
Полис не заменяет системную работу по снижению рисков. Без выстроенных процессов кибербезопасности и киберустойчивости страхование не может быть полноценной альтернативой мерам защиты.
Дмитрий Хомутов, генеральный директор Ideco: «Российский рынок технологий кибербезопасности сегодня развивается быстрее, чем рынок киберстрахования. Чтобы страховые продукты стали по-настоящему эффективным инструментом, им нужна более технологичная оценка рисков — не только анкеты и формальные аудиты, но и постоянный мониторинг уровня защищенности».
Страховые продукты должны становиться технологичнее и учитывать не только формальные опросники, но и более современные подходы к оценке защищенности, включая регулярный мониторинг и фактический уровень зрелости ИБ-практик.
Для развития рынка важны более полная статистика по инцидентам, единые подходы к оценке рисков и более тесное взаимодействие между страховщиками, ИБ-вендорами, интеграторами и заказчиками.
В ходе круглого стола участники также обсудили причины отказов в страховых выплатах. Среди наиболее чувствительных факторов — некорректное раскрытие информации при заключении договора, нарушение обязательных условий по защите инфраструктуры, несвоевременное уведомление страховщика об инциденте и слишком широкие ожидания клиента относительно покрытия. Эксперты подчеркнули, что киберстрахование действительно помогает в ряде сценариев, но работает эффективно только при четко определенных условиях и зрелом подходе к управлению рисками.
Дмитрий Хомутов, генеральный директор Ideco, подчеркнул: «Киберстрахование может быть полезной частью общей стратегии управления рисками, но полис не заменяет системную работу по снижению уязвимостей, повышению устойчивости и готовности к восстановлению».
Отдельно была отмечена необходимость выстраивать в компаниях культуру открытого отношения к инцидентам и практикам восстановления. По мнению участников, именно готовность бизнеса честно оценивать свое текущее состояние, инвестировать в устойчивость и регулярно проверять работоспособность защитных мер будет определять уровень реальной защищенности предприятий в ближайшие годы.
Возврат к списку