Cyber polisa – ubezpieczenie ogniowe XXI wieku
Jeszcze do niedawna głównymi argumentami sprzedażowymi dla cyber ubezpieczenia były ryzyka związane z RODO. Oczywiście, ten Miecz Damoklesa w postaci Prezesa Urzędu Ochrony Danych Osobowych, który bezwzględnie karze podmioty beztrosko obchodzące się z danymi osobowymi jest i będzie skutecznym straszakiem. Duże wrażenie na każdym z pewnością zrobi największa kara nałożona w Polsce na sklep internetowy Morele.net (2,8mln zł), czy też najświeższe tego typu zdarzenie – kara prawie 2mln zł nałożona na Virgin Mobile. Oczywiście cyber ubezpieczenie może obejmować ochroną finansowe skutki takich incydentów, ale biorąc pod uwagę, że większość procesów biznesowych w dzisiejszych czasach przeniosła się do cyberprzestrzeni, to na takie ubezpieczenie trzeba spojrzeć w znacznie szerszej perspektywie.
Cyberprzestępczość wciąż rośnie i stała się globalnym zagrożeniem dla wszystkich firm, niezależnie od granic państwowych, wielkości czy branży. Według raportu Allianz Risk Barometer incydenty cybernetyczne w 2020 roku stały się po raz pierwszy najważniejszym ryzykiem biznesowym (39% odpowiedzi) dla firm na całym świecie. Jeszcze siedem lat temu ryzyko to znajdowało się na odległym piętnastym miejscu i było zauważane przez ledwie 6% respondentów. Polscy eksperci plasowali to ryzyko co prawda na trzecim miejscu – za przerwami w działalności oraz pożarami i eksplozjami, ale z dość wysokim wynikiem 38% odpowiedzi. Odczucia respondentów potwierdzają też oficjalne dane. Według Raportu rocznego 2019 z działalności CERT Polska ilość incydentów cybernetycznych, w które była zaangażowana ta instytucja, wzrosła z 3738 w 2018 roku do 6484 w roku 2019.
Także dane z rynków światowych potwierdzają wyraźnie wzrostowy trend. Szczególnie widoczna jest coraz powszechniejsze występowanie incydentów typu ransomware (złośliwe oprogramowanie szyfrujące dane komputerowe, które ma służyć wymuszeniu okupu), których to ilość według różnych szacunków podwoiła się w 2019 roku w stosunku do roku poprzedniego. Szczególnie „spektakularny” był tu przykład światowego potentata branży metalurgicznej Norsk Hydro, który w wyniku takiego ukierunkowanego ataku utracił możliwość realizacji zamówień i poniósł straty przekraczające 60mln USD.
Profesjonalizm sprawców stale rośnie, techniczne środki ochrony IT, takie jak zapory ogniowe, nie zapewniają już 100% ochrony, a niewłaściwe postępowanie pracowników jest teraz główną przyczyną incydentów cybernetycznych. W tym obszarze konfliktu przenoszenie cyberzagrożeń stało się nieodzowną częścią zarządzania ryzykiem korporacyjnym. Cyber ubezpieczenie, jak każde, oczywiście też ma swoje wyłączenia i ograniczenia, ale warto się przyjrzeć w jakim zakresie może ono wesprzeć przedsiębiorcę w uporaniu się ze skutkami takiego zdarzeniem.
W obliczu incydentu cybernetycznego polisa ubezpieczeniowa może się okazać pierwszą linią obrony. Większość ubezpieczycieli oferuje szeroko pojętą asystę szkodową z całodobowym call center. Ubezpieczyciel za pomocą wyspecjalizowanych firm, z którymi ma zawartą stałą współpracę, może stać się menedżerem, który będzie zarządzał kryzysową sytuacją u ubezpieczonego. W ramach tych usług może zapewnić wsparcie informatyczne czy prawne. Może to być szczególnie cenne dla przedsiębiorców, którzy nie posiadają np. własnych zasobów IT. Koszty informatyków śledczych i ich dostępność w obliczu nagłego kryzysu mogą się okazać nie lada wyzwaniem.
Ubezpieczyciel pokryje też szereg kosztów własnych związanych z incydentem informatycznym oraz koszty i odszkodowania należne z tytułu wyrządzenia szkody osobom trzecim, w tym między innymi:
– koszty obrony prawnej i odszkodowanie w przypadku utraty danych osobowych, ujawnienia informacji handlowej, naruszenia bezpieczeństwa sieci (zainfekowania systemów osób trzecich),
– koszty przywrócenia/odtworzenia danych, zakupu nowego programowania, odblokowania dostępu do danych,
– kwoty odpowiadające wysokości kar administracyjnych za naruszenie danych (sankcje z tytułu naruszenia przepisów o ochronie danych osobowych),
– koszty usług prawnych oraz reprezentacji przed organami władzy państwowej w związku z postępowaniem prowadzonym przez organ nadzoru,
– koszty świadczenia przez specjalistów usług w zakresie informatyki śledczej,
– koszty świadczenia usług przez niezależnych doradców, których celem jest ochrona reputacji spółki,
– koszty związane z zawiadomieniem osób, których dane zostały naruszone,
– koszty utraty zysku w związku z zakłóceniem działalności (także wskutek błędnego działania pracowników ubezpieczonego lub awarii systemu; możliwe jest także rozszerzenie o szkody powstałe na skutek zakłócenia działalności u zewnętrznego usługodawcy),
– koszty okupu w wyniku próby wymuszenia (jeśli zasadne),
– koszty szkody wyrządzonej w wyniku działalności multimedialnej (np. zniesławienie, naruszenie prawa do prywatności, praw autorskich itp.)
Należy zwrócić uwagę, że ubezpieczenie to ciągle ewoluuje i pojawiają się nowe, ciekawe dodatkowe klauzule rozszerzające odpowiedzialność ubezpieczyciela, jak np. kradzież środków pieniężnych wskutek nielegalnego dostępu do systemu informatycznego (co zazwyczaj było zakresem dostępnym wyłącznie w ramach ubezpieczenia ryzyka sprzeniewierzenia), czy nawet wskutek zabiegu socjotechnicznego – np. podszywania się pod prezesa. Możliwa jest też ochrona np. dla incydentów polegających na zhakowaniu centrali telefonicznej (koszty wykonanych połączeń na numery premium), naruszeniu standardów PCI DSS czy nawet wypłata nagrody dla osoby, która przyczyniła się do namierzenia winowajców incydentu cybernetycznego. O ile konkurencja sprzyja rozwojowi produktu, to należy się spodziewać, że rosnąca szkodowość, która jest nieunikniona w związku z rosnącą popularnością tego ubezpieczenia oraz ilością incydentów będzie jednak z czasem skłaniać ubezpieczycieli do ograniczania swojej odpowiedzialności.
Coraz trudniej sobie wyobrazić branże, które nie są narażone na tego typu zdarzenia. Doświadczenia ostatnich dni wskazują, że nawet Microsoft nie może czuć się bezpieczny, choć akurat w przypadku firm informatycznych większy ciężar ekspozycji przypada na ryzyko odpowiedzialności cywilnej zawodowej, którą zdecydowanie im rekomenduję, gdyż w ich przypadku ubezpieczenie cyber obejmie co do zasady tylko szkody własne. Każdy menedżer, który nie dostrzega tych ryzyk, w trosce o wyniki zarządzanej spółki, powinien rozprawić się z mitem „to nas nie dotyczy” i przeanalizować słabości swojej organizacji i rozważyć jakie możliwości transferu ryzyka na podmioty trzecie umożliwia mu rynek. Jeśli ubezpieczenie od ryzyk ogniowych dla większości wydaje się być czymś oczywistym, to czemu tak samo w Polsce nie jest postrzegane cyber ubezpieczenie, skoro tego typu ryzyka są uważane za największe zagrożenie naszych czasów?
Autor:
Piotr Rudzki
Financial Lines Practice Leader, Broker Ubezpieczeniowy i Reasekuracyjny, GrECo Polska
Last Updated on 7 stycznia, 2021 by Karolina Ampulska