Ставки на киберстрахование снижаются, но сами полисы становятся заметно хитрее. 3 июня 2026 года на Gartner Security & Risk Management Summit аналитик Gartner Пол Фуртадо предупредил: исключений в покрытии становится больше, и часть компаний может обнаружить это уже после инцидента. Для ИТ-команд и бизнеса сигнал неприятный, но полезный: дешевый полис больше не означает понятную защиту.
Об этом сообщает Dark Reading со ссылкой на выступление Фуртадо в Нэшнл-Харборе, штат Мэриленд. По его оценке, рынок наконец стабилизировал цены: страховщики лучше настроили модели риска и начали давать скидки компаниям, которые могут показать измеримый уровень зрелости защиты. Иными словами, за базовое киберстрахование платить стало проще. Но вторая часть сделки выглядит уже не так дружелюбно: список исключений растет, а формулировки часто написаны так, что в критический момент спорить придется не с хакером, а со страховой.
Самая нервная зона — атаки, завязанные не на взлом инфраструктуры, а на действия сотрудников. Фуртадо отдельно указал, что в некоторых полисах к исключениям относят действия персонала, использование устаревшего ПО, отказ поддерживать оговоренные меры безопасности, а также риски, связанные со сделками M&A. На практике это может означать неприятный сценарий: злоумышленник убеждает сотрудника финансового блока перевести деньги, но не ломает систему, не получает контроль над учетной записью и не внедряется в сеть. Для части страховщиков это уже не киберпреступление, а провал внутренних контролей. Формально компания пострадала из-за атаки, фактически же полис может не сработать.
Отсюда и главный сюжет вокруг ClickFix. Этот тип атак строится на социальной инженерии: пользователю показывают фальшивую ошибку и подталкивают вручную выполнить вредоносные команды. Советник по кибербезопасности Huntress Брайсон Берд назвал такие атаки массовыми; по данным компании, на ClickFix-подобные сценарии пришлось 52% всех атак, которые Huntress наблюдала в 2025 году. Для рынка страхования это неудобный кейс. С точки зрения ИБ-специалиста, это очевидная атака. С точки зрения части страховых формулировок, это может выглядеть как добровольное действие сотрудника. В этой щели между двумя трактовками и прячется риск неполной выплаты.
Для CISO, ИТ-директора и продакта здесь плохая новость не только в том, что исключений стало больше. Хуже другое: сам язык полисов уходит от простых обещаний вида «покрываем инциденты» к длинному списку оговорок, подлимитов и условий соответствия. Если в компании привыкли считать киберстрахование финансовой подушкой на случай большого сбоя, такой подход уже требует пересборки. Полис нужно читать так же внимательно, как договор с облачным провайдером или лицензионные условия enterprise-софта. Иначе выяснится, что формально покрытие есть, а practically money unavailable.
Где еще страхование стало строже
Фуртадо обратил внимание и на другие изменения, которые не так заметны на старте переговоров. Одно из них — исключения, связанные с кибервойной и массовыми киберсобытиями. По его словам, Lloyd’s of London уже опубликовал определения для оговорок о «кибервойне», и многие страховщики используют именно такую логику. Это означает, что часть атак, которые связывают с государственными игроками, может оказаться вне полного покрытия или стать предметом долгого спора. Для компаний это особенно неприятно в эпоху, когда attribution часто появляется не в первые часы и даже не в первые дни после инцидента.
Похожая история и с массовыми сбоями. Если инцидент затронул крупного облачного провайдера или вызвал широкую цепочку последствий, отдельные условия полиса могут сократить выплату вплоть до половины возможной суммы. Для российского читателя, который работает с распределенной инфраструктурой, SaaS-сервисами и внешними подрядчиками, это звучит очень знакомо: одна авария у общего поставщика легко превращается из частной проблемы в системный кризис. Только в страховом договоре это еще и повод урезать компенсацию.
Меняется и сама механика крупных покрытий. Фуртадо напомнил, что раньше запрос на страхование в размере 100 млн долларов мог закрываться заметно проще. Теперь компании, которым нужен такой лимит, нередко приходится буквально «продавать» себя панели страховщиков, распределяющих риск между несколькими участниками. Для enterprise-сегмента это означает более долгий андеррайтинг, больше вопросов к архитектуре защиты и больше шансов услышать: да, мы готовы страховать, но не это, не здесь и не на полную сумму.
Еще одна деталь, которую любят прятать в мелком шрифте, — подлимиты. Даже если у компании полис на 10 млн долларов, это не значит, что всю сумму можно направить на цифровую криминалистику, внешнюю IR-команду, breach coach или юридическое сопровождение. По отдельным категориям расходов могут стоять жесткие потолки. Для команды, которая привыкла считать общий лимит как «доступный бюджет на тушение пожара», это опасная иллюзия. Реальный ресурс на реагирование может оказаться в разы меньше, чем кажется на этапе закупки полиса.
Почему это важно не только юристам
Отдельный риск связан со сменой страховщика. Фуртадо напомнил о так называемом tail coverage — покрытии с «хвостом», которое закрывает зазор между старым и новым договором. Если компания сменила провайдера 1 июня, а потом обнаружила, что компрометация произошла еще в мае, новый полис может не покрыть старый инцидент, а предыдущий уже закончился 31 мая. На бумаге все было оформлено аккуратно. В реальности инцидент повисает между двумя договорами, и это один из самых обидных способов остаться без выплаты.
На этом фоне особенно показательно, что искусственный интеллект пока почти не изменил рынок страхования как таковой. По словам Фуртадо, страховщики внимательно следят за ИИ-рисками, но существенного сдвига в условиях и покрытии еще не произошло. Это, пожалуй, редкий случай, когда рынок ИБ не спешит вешать на AI отдельный ценник. Но вряд ли надолго: как только накопится больше инцидентов с ИИ-агентами, автоматизированным фродом и новыми схемами социнжиниринга, страховщики быстро добавят это в список исключений или специальных условий.
Главный вывод для бизнеса звучит прозаично: киберстрахование дешевеет не потому, что риск исчез, а потому, что страховщики научились лучше выбирать, что именно они готовы покрывать. Для ИТ-руководителей это означает простую, но неприятную работу: сверять архитектуру защиты, процессы и сценарии реагирования не только с внутренними регламентами, но и с текстом полиса. Иначе следующий громкий инцидент может оказаться не только технической проблемой, но и дорогим уроком о том, что между словами «есть страховка» и «будет выплата» теперь лежит слишком много звездочек.