Ryzyka cyberataków: utrata reputacji to wymierne szkody dla firm

• Częstotliwość zgłaszanych incydentów cybernetycznych typu ransomware wzrosła w 2024 roku o 24 proc. w porównaniu z rokiem poprzednim – wynika z Globalnego Raportu Aon nt. Ryzyka Cybernetycznego.
• Ataki z użyciem złośliwego oprogramowania i ransomware najczęściej prowadziły do szkód reputacyjnych.
• Zdarzenia cybernetyczne prowadzące do ryzyka reputacyjnego mogą skutkować średnim spadkiem wartości dla akcjonariuszy na poziomie 27 proc.
• Najczęściej atakowanymi w ten sposób sektorami były: produkty konsumenckie i przemysłowe, usługi profesjonalne oraz doradztwo, produkcja i nieruchomości.

Z roku na rok rośnie aktywność przestępców wykorzystujących złośliwe oprogramowanie do blokowania dostępów do danych i wyłudzania w ten sposób okupów. W marcu atak ransomware sparaliżował elektroniczną dokumentację medyczną Szpitala MSWiA w Krakowie, uniemożliwiając dostęp do danych pacjentów. Wcześniej ofiarą tego typu działań padła polska spółka EuroCert, która świadczy m.in. usługę podpisu kwalifikowanego.

Choć ataki typu ransomware są coraz częstsze, to odsetek firm płacących okup spadł do najniższego w historii poziomu 25 proc. Średnia kwota płatności za ransomware jeszcze w 2023 roku wynosiła około 8,37 mln USD, w 2024 roku było to już około 1,81 mln USD. Natomiast średnia kwota żądania spadła z około 20,4 mln USD do około 6,4 mln USD w tym samym okresie.

Ryzyko reputacyjne coraz istotniejsze z punktu widzenia wartości firmy

Z najnowszego Aon’s 2025 Global Cyber Risk Report wynika, że ataki z użyciem złośliwego oprogramowania i ransomware prowadzą jednak do znaczących szkód reputacyjnych.

Aon przeanalizował ponad 1400 globalnych incydentów cybernetycznych. Okazuje się, że 56 z nich przekształciło się w zdarzenia ryzyka reputacyjnego, zdefiniowane jako incydenty, które przyciągnęły istotną uwagę mediów. W konsekwencji doprowadziły także do mierzalnego spadku cen akcji. Firmy dotknięte tymi zdarzeniami odnotowały średni spadek wartości dla akcjonariuszy o 27 proc. Z analiz Aonu wynika, że najczęściej atakowanymi w ten sposób sektorami były: produkty konsumenckie i przemysłowe, usługi profesjonalne oraz doradztwo, produkcja i nieruchomości. Średniej wielkości organizacje zgłosiły więcej roszczeń dotyczących cyberataków niż jakakolwiek inna grupa, stanowiąc ponad połowę wszystkich incydentów.

– Ubezpieczenie od ryzyk cybernetycznych pomaga firmom w przeniesieniu części ryzyka finansowego związanego z tego typu atakami. Jednak ryzyko reputacyjne w dużej mierze nie podlega transferowi. W związku z czym absolutnie niezbędne okazuje się proaktywne zarządzanie ryzykami nieubezpieczalnymi i umiejętne reagowanie na wystąpienie kryzysu – mówi Piotr Rudzki, Cyber Practice Leader, Aon Polska.

Zdarzenie cybernetyczne – co powinna pokrywać polisa?

W przypadku wystąpienia zdarzenia cybernetycznego równie ważne jak bezzwłoczne zatrudnienie specjalistów od informatyki śledczej jest zatrudnienie specjalistów PR, którzy pomogą łagodzić narastający wizerunkowy kryzys. Warto podkreślić, że większość ubezpieczycieli ryzyka cyber nie tylko pokrywa koszty takich ekspertów, ale wręcz zapewnia szybki dostęp do tego typu usług. Może to być znacząca wartość dodana zwłaszcza dla firm, które nie współpracują na co dzień z tego typu dostawcami.

Warto też zwrócić uwagę, że ubezpieczyciele coraz częściej pokrywają też koszty utraconych zysków wynikających ze straty klientów wskutek zdarzenia cybernetycznego. Jeszcze do niedawna był to rzadko spotykany zakres, a teraz zyskuje coraz  bardziej na znaczeniu, tym bardziej, że znanych jest  coraz większej przykładów obrazujących jak ataki hakerskie czy awarie infrastruktury IT przekładają się na realne finansowe straty wynikające z utraty zaufania klientów, którego nie da się od razu odbudować.

Europa coraz bardziej świadoma w kwestiach cyberbezpieczeństwa

W 2024 roku Europa poczyniła znaczne postępy w kierunku dojrzałości w zakresie cyberbezpieczeństwa. Organizacje stały się bardziej zaangażowane i odporne, osiągając dojrzałość w kluczowych obszarach ryzyka cybernetycznego. Odnotowano również skuteczniejsze wdrażanie kontroli bezpieczeństwa, zwłaszcza w zarządzaniu atakami ransomware. Rynek ubezpieczeń cybernetycznych stał się bardziej dostępny, szczególnie dla firm średniej wielkości. Nowi uczestnicy i napływ nowego kapitału doprowadziły do spadku cen oraz większego zakresu i skali odnowień polis.

– Widzimy wyraźny trend – coraz więcej organizacji potrafi skuteczniej zarządzać ryzykiem cybernetycznym. Częściej wykorzystują modelowanie danych, by podejmować świadome decyzje zakupowe dotyczące ubezpieczeń cybernetycznych i właściwego poziomu limitów. Z danych Aon wynika, że w 2024 roku 21 procent klientów zdecydowało się na zwiększenie limitów, a przewidujemy dalszy wzrost zainteresowania zarówno ubezpieczeniami cyber, jak i polisami odpowiedzialności cywilnej zawodowej w sektorze technologicznym. Organizacje stale analizują poziom ryzyka, co pozwala im optymalizować programy transferu ryzyka – niezależnie od tego, czy chodzi o wyższe limity, zmianę struktury programu czy alternatywne rozwiązania – dodaje Piotr Rudzki.

Aby zarządzać, łagodzić i przenosić ryzyko cybernetyczne, organizacjom zaleca się połączenie kontroli bezpieczeństwa, ubezpieczeń cybernetycznych i zgodności z regulacjami. Kluczowe działania obejmują przeprowadzenie analizy postawy cyberryzyka opartej na danych, wzmocnienie obszarów ryzyka stron trzecich i odporności biznesowej oraz zadbanie o szerokie ubezpieczenie cybernetyczne obejmujące ryzyko łańcucha dostaw.

Przeczytaj także: Paradoks AI: pracujemy szybciej, czujemy się gorzej

Last Updated on 21 października, 2025 by Katarzyna Zawadzka