Wejście w życie RODO – unijnego rozporządzenia dotyczącego ochrony danych osobowych – sprawiło, że na znaczeniu zyskało ubezpieczenie od ryzyk cybernetycznych.

Nie tylko RODO

Niezależnie od przepisów chroniących dane osobowe, w dobie postępującej cyfryzacji coraz większym zagrożeniem staje się to związane z incydentami informatycznymi (np. atakami hakerskimi, działaniem złośliwego oprogramowania itd.) i bezpieczeństwem cybernetycznym.

Dane osobowe klientów czy potencjalnych klientów stają się coraz cenniejszym dobrem, a mające nastąpić w tym zakresie kolejne ograniczenia sprawiają, że popyt na pozyskanie takich informacji w sposób nieuprawniony będzie wzrastał. Jak twierdzą eksperci z zakresu bezpieczeństwa danych, organizacje dzielą się na takie, które zostały dotknięte cyberatakiem i są tego świadome, oraz takie, które o tym jeszcze nie wiedzą. Tak czy inaczej wzrost ryzyka oraz wprowadzane zmiany prawne wymuszają działania zwiększające poziom bezpieczeństwa cybernetycznego.

Do niedawna firmy niespecjalnie przejmowały się zagrożeniami związanymi z atakami hakerskimi oraz wyciekiem danych z korporacyjnych systemów. – Dziś, „dzięki” hakerom, legislatorom, jak również licznym szkoleniom, rośnie świadomość, że „wirtualne staje się realne”. Zresztą także badania rynku wskazują, że ryzyko cyber z roku na rok jest coraz bardziej istotnym zagrożeniem dla przedsiębiorców – mówi Agata Żbikowska, broker specjalista STBU Brokerzy Ubezpieczeniowi.

Rośnie zainteresowanie ubezpieczeniem

RODO, które zaczęło obowiązywać 25 maja, wprowadziło wysokie kary za naruszanie zasad dotyczących przetwarzania takich danych – będą one mogły wynieść nawet 20 mln euro lub do 4 proc. wartości rocznego globalnego obrotu przedsiębiorstwa. Nie oznacza to, że każda firma narażona jest na wielomilionowe kary w przypadku każdego wycieku danych.

– Jest to ich wymiar maksymalny, a każde złamanie zasad będzie analizowane indywidualnie – podkreśla Piotr Bartos, country manager Insly w Polsce. – Sankcje z kolei będą ustalane adekwatnie do popełnionego wykroczenia.

Oprócz kar dolegliwe mogą być dla firm obowiązki notyfikacyjne, które limitują czas na poinformowanie poszkodowanych do 72 godzin. – Nowo wprowadzane regulacje RODO nie uzależniają zakresu obowiązków od skali działalności, co oznacza, że takie same obowiązki spoczywają na wielkich korporacjach, jak i małych firmach – przypomina Sylwia Kozłowska, Haed of Finex, Willis Towers Watson.

Tymczasem małe i średnie firmy najczęściej nie przeznaczają wystarczających środków finansowych na specjalne działy IT z osobami odpowiadającymi za bezpieczeństwo i w związku z tym częściej padają ofiarami ataków hakerskich. – Włamania do nich wykorzystywane są również jako sposób dotarcia do prawdziwego celu internetowych przestępców, czyli dużych kontrahentów – mówi Sylwia Kozłowska.

Trudno się więc dziwić, że przedsiębiorcy coraz częściej pytają o ubezpieczenia na wypadek ataków hakerskich, choć wciąż często na pytaniach zainteresowanie tą kwestią się kończy. Tymczasem ubezpieczyciele od dawna zachęcali do zakupu polis cyber, które chronią firmy na wypadek wycieku danych, ale w Polsce jedynie sześć towarzystw ma propozycję dla firm poszukujących takiej ochrony.

Obecnie jedynie co dziesiąta spółka posiada polisę ubezpieczeniową od ryzyk cybernetycznych – wynika z badań przeprowadzonych przez PwC. Na jeszcze mniej szacuje liczbę polis cyber Sylwia Kozłowska, Head of Finex w Willis Towers Watson Polska. Weług niej jest ich zaledwie 500–1000.

Firmy ciągle znacznie chętniej polegają na „fizycznych” zabezpieczeniach, mniejszą wagę przykładając do ubezpieczeń. – Dostosowując się do nowych przepisów, przedsiębiorcy w większości przypadków koncentrują się na technicznych aspektach ochrony danych. Usprawniają systemy informatyczne, wydzielają stosowne pomieszczenia na przechowywanie danych, kupują szafy pancerne – mówi Mirosław Kuźmiński, ekspert ds. ubezpieczeń z ANG Spółdzielni.

Z drugiej strony jednym z czynników ograniczających sprzedaż tych produktów jest problem niskiego poziomu zabezpieczeń systemów IT, który ogranicza możliwość uzyskania satysfakcjonującego zakresu ochrony.

Co daje polisa

Ubezpieczenia służą zabezpieczeniu finansowych skutków wycieku danych osobowych lub ich niewłaściwego użycia. Ochroną można objąć nie tylko „wirtualne” szkody, ale także fizyczne skutki ataku. Konsekwencją celowych działań hakera czy nawet błędów własnego pracownika mogą być nawet poważne awarie i zniszczenie majątku firmy. Może na przykład dojść do usterki maszyn czy linii produkcyjnych. Ponadto, wadliwie działające w wyniku ataku urządzenia mogą spowodować szkody również w otoczeniu, np. zanieczyścić środowisko czy zranić pracowników.

Zaletą takiego ubezpieczenia jest możliwość pokrycia szerokiego katalogu wydatków związanych z zarządzaniem incydentem cybernetycznym. Obejmuje m.in. koszty zawiadomienia organu kontroli oraz osób, których dane wyciekły, koszty przywrócenia i odtworzenia danych, usunięcia złośliwego oprogramowania, zakupu nowego oprogramowania, koszty informatyków śledczych, wydatki poniesione na kary administracyjne czy wreszcie na naprawę wizerunku ubezpieczonego, a także odpowiedzialność cywilną z tytułu wyrządzenia szkody osobom trzecim w wyniku ataku hakerskiego.

Ważnym rozszerzeniem zakresu ochrony może być także ubezpieczenie przerw w działalności (BI – business interruption) wynikających z ataku hakerskiego, skutkujących spadkiem przychodów lub kosztami dodatkowymi. Firma może również otrzymać całodobowe wsparcie IT.

Istota kosztów związanych z atakami cybernetycznymi wynika z tego, że odpowiednie zarządzanie takim incydentem od chwili jego identyfikacji może w konsekwencji realnie obniżyć ryzyko wniesienia roszczeń przez poszkodowanych lub ich wysokość.

– Na rynku istnieją ubezpieczyciele ryzyka cyber współpracujący z podmiotami wyspecjalizowanymi w tej dziedzinie – mówi Agata Żbikowska.

Eksperci jednak podkreślają, że ubezpieczenie nigdy nie będzie stuprocentową odpowiedzią na ryzyko i nie zastąpi wdrożenia RODO, nie uchroni przed atakiem hakerskim ani nie będzie substytutem planu ciągłości działania.

Z drugiej strony, im lepiej przedsiębiorca zadba o bezpieczeństwo przetwarzanych danych osobowych, informacji handlowych czy systemów IT, tym będzie miał większe szanse na uzyskanie satysfakcjonującego zakresu ochrony, pokrycia strat finansowych i roszczeń, których trudno byłoby uniknąć pomimo posiadania najlepszych zabezpieczeń.

Niemałe wydatki

Ubezpieczenia cybernetyczne nie są tanie, ale koszt potencjalnej szkody może być bez porównania wyższy niż wydatek na zakup polisy.

Składki za ubezpieczenie ryzyk cybernetycznych są uzależnione od wielu czynników, takich jak rodzaj i skala działalności, stosowane zabezpieczenia, zakres ochrony i mogą wahać się od już kilkuset złotych dla małych kancelarii do kilku milionów złotych dla dużych instytucji, takich jak na przykład banki.

Jak mówi Mirosław Kuźmiński, koszty takiego ubezpieczenia wynoszą średnio od 0,5 proc. do 1 proc. sumy gwarancyjnej, przy czym im bardziej kompleksowe ma być rozwiązanie ochrony, tym koszt będzie wyższy.

Oznacza to jednak, że podstawowy zakres ochrony dla sumy ubezpieczenia 1 miliona złotych można znaleźć za ok. 5 tysięcy zł składki rocznej. W wielu wypadkach będzie ona kalkulowana zależnie od poziomu rozwiązań informatycznych stosowanych w przedsiębiorstwie i ich odporności na ataki zewnętrzne.

Raport firmy Marsh, przedstawiający wyniki za ostatni kwartał roku 2017, wskazał trend zwyżkowy w zakresie kosztu ubezpieczenia cyber – zarówno w Stanach Zjednoczonych, jak i Europie, W oparciu o szacunki składek ubezpieczeniowych z lat ubiegłych, przygotowywane przez Marsh Polska, ceny ubezpieczeń raczej wzrastają, choć koszt polisy cyber wciąż jest ustalany indywidualnie i zależy od branży, skali działalności i rodzaju przetwarzanych przez firmę danych.

– Ubezpieczyciele są gotowi oferować dodatkowe usługi – przed lub po zajściu zdarzenia cybernetycznego – przekonuje Anna Pluta, lider Praktyki Ryzyka Cybernetyczne z Marsh Polska. – Prewencja i skuteczne reagowanie mogą znacząco wpływać na minimalizację strat i kosztów związanych z cyberzagrożeniami. ©℗

Przedsiębiorcy muszą zadbać o swoje dane

Raport PwC „Cyber-ruletka po polsku” pokazuje, że polskie firmy są niedostatecznie przygotowane do RODO.

Połowa przebadanych przez PwC firm ocenia swój stan gotowości do nowych wymagań RODO jedynie na 30 proc. lub mniej. Aż 65 proc. uczestników badania zadeklarowało, że w ich przedsiębiorstwach w ciągu ostatnich 12 miesięcy wykryto incydenty związane z naruszeniem bezpieczeństwa informacji lub systemów IT. Biorąc pod uwagę, że nie wszystkie zostały zidentyfikowane i uwzględnione w raportach, można przyjąć, że ich liczba była jeszcze większa.

Dla 30 proc. spółek główną przyczyną wystąpienia incydentu były przeoczenia czy wręcz błędy ich własnych pracowników, które często prowadziły do wycieku danych, zaś dla 44 proc. organizacji zakończyły się poniesieniem strat finansowych.

Ataki phishingowe pozostawały w czołówce stosowanych scenariuszy ataków – wciąż co piąty ankietowany deklarował, że jego organizacja padła ofiarą tego prostego mechanizmu. Jak podaje raport, pomimo znajomości źródeł incydentów oraz zidentyfikowania sytuacji, które do nich doprowadziły, firmy na ogół nie podejmują działań mających na celu uszczelnienie funkcjonujących systemów zabezpieczeń. Tymczasem wielu incydentów można byłoby uniknąć, gdyby wdrożone zostały odpowiednie zabezpieczenia, pracownicy mieli większą świadomość zagrożeń oraz gdyby istniały odpowiednie polityki i procedury określające sposób postępowania. Liczna grupa organizacji biznesowych realizuje jedynie plan minimum, zapewniający przetrwanie poprzez zgodność z obowiązującymi przepisami w minimalnym zakresie.

Opinia

Łukasz Zoń | prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych

Dostępne na rynku ubezpieczenia cyber przewidują szeroką gamę skutków ataków, które można objąć polisą, zarówno w ramach standardowych zapisów umowy, jak i na mocy klauzul dodatkowych. Przykładowo, w zeszłym roku jednym z najgłośniejszych ataków, który dotknął wielu użytkowników na całym świecie, było wykorzystanie oprogramowania WannaCry służącego do zablokowania przechowywanych danych i wyłudzenia okupu za ich odzyskanie. Osoby, które posiadały odpowiednie polisy, mogły w ramach zapisów umowy wystąpić do ubezpieczyciela o zwrot kosztów okupu.

Warto również pamiętać, że poszkodowanym w wyniku działania hakera może nie być wyłącznie ubezpieczony, którego infrastruktura informatyczna zostanie naruszona. Wskutek włamania złośliwe oprogramowanie może być rozesłane dalej, do klientów i partnerów biznesowych firmy, zwiększając rozmiar strat. W takiej sytuacji mają oni pełne prawo do żądania odszkodowania od ubezpieczonego. Na szczęście ubezpieczyciele przewidzieli również taki ciąg zdarzeń. Dzięki odpowiedniemu sprofilowaniu ochrony można w ramach polisy uzyskać zwrot kosztów poniesionych wobec osób trzecich potrzebnych na usunięcie złośliwego oprogramowania, odzyskanie dostępu do zablokowanych danych czy rekompensatę utraconych zysków.