ЦБ обязал страховщиков усилить киберзащиту

Банк России ужесточил требования к кибербезопасности страховщиков, обязав их перейти на усиленный режим защиты. Новые правила затронут около 40–60% участников рынка, которым придется инвестировать в ИТ-инфраструктуру и регулярно проходить внешний аудит.

Регулятор установил новые правила игры для страхового рынка, который исторически отстает от банковского сектора по зрелости ИТ-процессов на 2–4 года. Если лидеры из топ-10 уже соответствуют жестким критериям, то для средних и региональных компаний новые требования станут серьезным вызовом. Раньше информационная безопасность здесь часто ограничивалась формальным комплаенсом.

Переход на стандартный уровень

Теперь компании обязаны не реже одного раза в три года привлекать внешних аудиторов для проверки систем по национальным стандартам. Особое внимание уделят софту и клиентским приложениям — их устойчивость к взлому придется подтверждать документально.

Для выполнения нормативов страховщикам придется внедрить:

• многофакторную аутентификацию (MFA) для администрирования и удаленного доступа;
• инструменты сегментации сетей и управления уязвимостями;
• системы анализа поведения пользователей (UEBA) и мониторинга сетевого трафика;
• криптографическую защиту и механизмы УНЭП.

Наиболее сложным блоком станет безопасная разработка. По словам экспертов, даже у крупных игроков с собственными ИТ-платформами это направление пока находится на начальном этапе. Модернизация инфраструктуры должна завершиться к февралю 2026 года.