Как сделать киберстрахование более точным, прозрачным и полезным для бизнеса — на этот вопрос ответили студенты МИЭМ ВШЭ в рамках конкурса «Киберстипендия». Команды разработали два решения в области киберстрахования: для логистического и промышленного секторов экономики. Оба решения сочетают методы оценки киберрисков, программные инструменты и современные подходы к управлению информационной безопасностью.
Сразу две команды НИУ ВШЭ вошли в число призеров конкурса студенческих проектов «Киберстипендия», направленного на поддержку молодых специалистов в сфере информационной безопасности. Проект организовали компании «АльфаСтрахование» и «Кибердом» при поддержке издательского дома «Коммерсант».
Участникам конкурса предстояло решить три практические задачи: провести экспресс-анализ уровня кибербезопасности организаций на основе предоставленных данных, составить карту ключевых киберрисков для страховой отрасли и разработать инновационный страховой продукт для защиты бизнеса от киберугроз.
Оба проекта были посвящены разработке инструментов киберстрахования, но команды выбрали разные отрасли и предложили собственные подходы к оценке рисков.
Прозрачная оценка рисков вместо сложной экспертизы
Команда PrimeZ, в которую вошли студентки четвертого курса образовательной программы «Информационная безопасность» МИЭМ Анастасия Хисматуллина, Екатерина Колюх и Варвара Настасова (на момент участия в конкурсе), разработала прототип системы киберстрахования для складской и транспортной логистики. По мнению участников, именно эта отрасль сегодня остается одной из наиболее уязвимых для кибератак, однако по-прежнему слабо охвачена страховыми продуктами из-за сложности и длительности оценки рисков.
Как отмечает Анастасия Хисматуллина, традиционная процедура оценки риска занимает от одного до трех месяцев, во многом зависит от экспертного мнения страховщика и не позволяет клиенту понять причины выбранного тарифа или отказа в страховании. Поэтому команда предложила детерминированную модель с воспроизводимой формулой расчета стоимости полиса. В ее основе — сопоставление данных анкеты клиента с результатами внешнего сканирования инфраструктуры. Если заявленный уровень защищенности не соответствует фактическому состоянию, например обнаружены открытые порты или просроченные сертификаты, то после экспертной проверки к итоговой оценке риска применяется штрафной коэффициент.
Решение построено по двухуровневой схеме. На первом этапе система автоматически собирает внешний цифровой след организации: анализирует данные из открытых реестров, результаты сканирования инфраструктуры, сведения об утечках и упоминаниях в киберинцидентах. Это позволяет получить предварительную оценку риска и диапазон страховой премии. Затем клиент заполняет подробную анкету, охватывающую технические и организационные аспекты информационной безопасности, после чего рассчитывается окончательный тариф.
«Базовый балл считается по пяти группам факторов с отраслевыми весами (для логистики мы отдельно обосновали вес каждой группы через карту угроз отрасли), а затем корректируется тремя поправками — за расхождение анкеты и скана, за внешний фон угроз и за динамику в течение действия полиса. В результате получается значение от 0 до 100, которое переводится в одну из четырех тарифных категорий», — говорит Анастасия Хисматуллина.
Использование искусственного интеллекта в системе намеренно ограничено. Большая языковая модель анализирует неструктурированные данные, обрабатывает результаты сканирования, извлекает сведения из анкет и фиксирует источники информации, однако не участвует в расчете тарифа и принятии решений.
«В финансово значимых расчетах команда исключает риски галлюцинаций ИИ, сохраняя ядро модели детерминированным и полностью объяснимым», — отмечает Анастасия Хисматуллина.
Еще одним элементом разработки стала система мотивационных скидок. Если в течение срока действия полиса клиент устраняет выявленные уязвимости, а изменения подтверждаются документально и экспертной проверкой, показатель RiskScore пересчитывается. При продлении договора страховая премия может быть снижена — до 30% от базового значения. Таким образом, страховой полис становится инструментом, стимулирующим повышение уровня защищенности компании.
В результате команда создала не просто концепцию страхового продукта, а полноценный прототип автономного веб-приложения. В нем реализованы основные элементы методологии: выбор отраслевого профиля, заполнение анкеты, расчет RiskScore, определение субоценок, категоризация рисков и визуализация результатов в режиме реального времени.
По итогам конкурса команда получила специальный приз жюри за наиболее глубокую проработку отраслевых киберрисков. По словам Анастасии Хисматуллиной, добиться такого результата помогли знания, полученные во время изучения дисциплины «Управление рисками информационной безопасности».
«Преимущество нашей разработки перед классическим киберстрахованием заключается в том, что клиент получает не только полис, но и инструмент управления риском. Платформа показывает связь между уровнем защищенности и страховой премией, помогает объяснить отказ или надбавку, предлагает меры по снижению риска и ускоряет подготовку страхового предложения. Для страховщика это снижает трудозатраты на первичную оценку, повышает прозрачность тарификации и улучшает качество страхового портфеля», — говорит Анастасия Хисматуллина.
Застраховать простой производства после кибератаки
Третье место заняла команда «Агаповка», также представлявшая НИУ ВШЭ. Жюри отметило высокий уровень технической проработки проекта, посвященного киберстрахованию объектов критической информационной инфраструктуры промышленного сектора. По оценке экспертов, это одно из наиболее сложных направлений современного киберстрахования.
В состав команды вошли студенты третьего курса образовательной программы «Информационная безопасность» МИЭМ Рафаэль Фаттахов и Саид Мирзоев, а также студентка ФСН Камила Ардаширова. Они разработали продукт «АЭГИДА: ПРОМ-Щит» — систему киберстрахования для семи подсекторов обрабатывающей промышленности, включая металлургию и энергогенерацию, подпадающих под действие Федерального закона № 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации».
Как рассказывает Рафаэль Фаттахов, отправной точкой проекта стала существующая диспропорция рынка.
«Меньше 15% промышленных предприятий в России застрахованы от киберрисков, при этом реальная инцидентность оценивается в 35–45%. Причина в том, что большинство полисов скопировано с IT-страхования и не учитывает специфику АСУ ТП — там ущерб формирует не утечка данных, а простой производства, который может стоить 15–50 млн рублей в сутки», — говорит Рафаэль Фаттахов.
Основой решения стала методология экспресс-оценки риска ICRS-360. Она учитывает 27 факторов, объединенных в четыре группы: технологическая зрелость, организационная зрелость, OT/ICS-экспозиция и контекст угроз.
«Мы сопоставили контроли NIST CSF 2.0, ISO 27001, IEC 62443 и техники MITRE ATT&CK ICS и получили балльную шкалу от 0 до 1000 с семью тарифными классами. Часть факторов можно проверить без участия клиента — по данным Shodan, БДУ ФСТЭК и открытым источникам об утечках, поэтому предварительную оценку можно получить за 5 минут, а полную — за 90 минут вместо привычных 7–10 дней», — рассказывает Саид Мирзоев.
Для проверки модели команда использовала количественную оценку риска. С помощью симуляции Monte Carlo по методологии FAIR (10 тыс. итераций) студенты рассчитали ожидаемый годовой ущерб для типового промышленного предприятия и сопоставили результаты с публично известным инцидентом 2023 года в металлургической отрасли. Фактический ущерб оказался в интервале P95–P99 прогноза модели.
Продукт включает пять обязательных модулей страхового покрытия — от атак программ-шифровальщиков до инцидентов в системах противоаварийной защиты. Для организаций с более низким уровнем защищенности предусмотрена годовая программа повышения киберустойчивости с поэтапным планом мероприятий. По расчетам разработчиков, такой подход позволяет увеличить потенциальный рынок продукта примерно на четверть.
«Ключевое отличие нашего продукта от типовых IT-полисов — в самом триггере выплаты. В стандартном полисе простой производства подпадает под исключение “физический ущерб”. Мы прямо прописали покрытие простоя как киберсобытия, и именно это закрывает главный пробел, который мы увидели в реальном инциденте 2023 года: там больше половины ущерба пришлось именно на остановку производства, а не на утечку данных», — говорит Рафаэль Фаттахов.
В качестве бонусного задания команда также представила программный прототип, включающий расчетное ядро методики, симулятор FAIR Monte Carlo и веб-интерфейс, созданный на платформе Streamlit.