Prześwietlamy cyberpolisy na wypadek ataku hakerów. Warto?

Straty przedsiębiorstwa po ataku hakerów mogą być bolesne. Takie ryzyko można jednak ubezpieczyć.

Aż 97 proc. przedsiębiorstw korzysta z komputerów i internetu. Zdają też sobie sprawę z rosnącej liczby przestępstw popełnianych w sieci. Większość nie dba jednak o jej bezpieczeństwo i się nie ubezpiecza, mimo że straty i kary mogą być kosztowne.

26 proc. ich administratorów IT nie ma narzędzi do monitoringu łączy, z 8 proc. firm wyciekły dane w wyniku cyberprzestępstwa, a w 16 proc. przypadków stało się to z winy pracowników – przynajmniej tak wynika z badania administratorów IT „Władcy sieci – Wyzwania zarządzania i bezpieczeństwa IT w polskich organizacjach”, przeprowadzonego przez firmę Axence. Taka niefrasobliwość może być kosztowna. We wrześniu Urząd Ochrony Danych Osobowych nałożył na Morele.net karę ponad 2,83 mln zł za wyciek danych 2,2 mln klientów sklepu. Wcześniej prezes UODO nałożył na administratora danych 943 tys. zł kary za niedopełnienie obowiązku informacyjnego wobec osób, których dane były przetwarzane.

Wyciek danych jest – obok możliwości zaimplantowania szkodliwego oprogramowania i ataków DoS i DDoS, czyli blokujących dostęp do sieci – jednym z najpoważniejszych niebezpieczeństw, zwłaszcza że może do niego dojść w wyniku nieumyślnych błędów. Kary to jednak niejedyny problem. Włamanie do systemu może pozbawić firmę przychodów, a więc i zysków nawet przez połowę miesiąca, co w skrajnych przypadkach może zagrozić dalszej działalności. Są też inne koszty, np. zapłacenie okupu czy opłacenie pomocy prawnej. Ważną konsekwencją ataku jest także utrata reputacji. Tymczasem prawie 90 proc. małych firm nie zatrudnia specjalistów odpowiedzialnych za zabezpieczenie sieci i bezpieczeństwo danych.

Warto sprawdzić: Giganci przemysłowi bezradni w konfrontacji z hakerami

Dla małych i dużych

Z zagrożeń zdają sobie również sprawę ubezpieczyciele, którzy wciąż niechętnie oferują cyberpolisy, choć są wyjątki. W kilku towarzystwach ubezpieczenie mogą wykupić nie tylko duże koncerny, które mają rozbudowane działy IT, ale również małe i średnie przedsiębiorstwa. W PZU z polisy mogą skorzystać nawet przedsiębiorcy prowadzący jednoosobową działalność gospodarczą. Przy obrotach od 1 mln do 1,5 mln zł koszt polisy wynosi 850 zł rocznie przy sumie ubezpieczenia 250 tys. zł.

Im większa firma i większe obroty, tym wyższy będzie – niezależnie od ubezpieczyciela – koszt polisy, od 3 do 5 tys. zł, a nawet więcej, ale i suma ubezpieczenia będzie też znacznie wyższa 1–2 mln zł. Ochrona jest też pełna. Oferują ją – oprócz PZU – Ergo Hestia, Findia, pośrednik ubezpieczeniowy Insurance Company, Allianz i Colonnade.

Geneva Association, specjalna grupa zadaniowa do prowadzenia badań nad zagrożeniami związanymi z cyberterroryzmem w sektorze reasekuracji, określa cyberryzyko jako ryzyko wynikające z wykorzystywania technologii informatycznych i komunikacyjnych, które zakłada poufność, dostępność i integralność danych lub usług. Dotyczy więc wszystkich firm korzystających z komputerów i internetu.

Firmy, które liczą na ewentualne odszkodowanie, muszą jednak pamiętać o wymogach ubezpieczycieli, takich jak zainstalowanie antywirusa i Firewalla, tworzenie kopii zapasowych, szyfrowanie danych i zakładanie blokad ekranu, które utrudniają osobom niepożądanym dostanie się do wrażliwych danych.

Warto sprawdzić: Sposoby hakerów na dobranie się do naszych pieniędzy

Ubezpieczenia w pakietach

Ergo Hestia proponuje cztery sekcje ubezpieczeń od ryzyk cybernetycznych. Pierwsza obejmuje zamknięty katalog kosztów, a w nim: przywrócenie danych, odtworzenie danych, zakup nowego oprogramowania, odblokowanie dostępu do danych i usunięcie zagrożenia. Druga rozszerzona jest m.in. o: porady prawne, usługi public relations, poszukiwanie sprawcy szkody, ubezpieczenie kar administracyjnych, okupu i zakupu nowego sprzętu elektronicznego. Sekcja trzecia ubezpiecza naruszenie prywatności, bezpieczeństwo sieci, koszty związane z informatyką śledczą oraz kary administracyjne osób trzecich.

Ostatnia chroni przed utratą zysku, szkodami poniesionymi w okresie odszkodowawczym wskutek szkody polegającej na utracie zysku i zwiększonych kosztach działalności.

Wysokość składki jest uzależniona od oceny ryzyka działalności, zakresu terytorialnego, rozszerzenia ubezpieczenia o ryzyka dodatkowe i rozłożenia jej na raty. Standardowo umowa jest zawierana na rok, ale okres ten może zostać skrócony.

Findia prowadzi usługi doradcze (technologiczne i prawne), które pomogą zidentyfikować zagrożenia i poprawić cyberbezpieczeństwo, oraz ubezpiecza. Z obu rozwiązań można korzystać osobno. W ofercie są również dwie sekcje.

W pierwszej firma może się ubezpieczyć się przed szkodami w cyberprzestrzeni. Polisa pokrywa wydatki, które firma musi ponieść na przywrócenie prawidłowego działania sieci, straty związane z przerwą w działalności, straty wynikające z cyberkradzieży, cyberwymuszeń, a nawet atak na linie telefoniczne i skutki oszustwa polegające na podszywaniu się pod inne osoby. Sekcja druga obejmuje ubezpieczenia od roszczeń od osób trzecich. Do wyboru są trzy polisy: Findia Cyber Smart – przeznaczona dla przedsiębiorstw z obrotem rocznym do 50 mln, w której ryzyko ocenia się na podstawie oświadczenia, Findia Cyber, w której ryzyko ocenia się na podstawie wypełnionego formularza, i Findia Cyber Enterprise z indywidualną oceną ryzyka.

Warto sprawdzić: Vishing, smishing, phishing – nie daj się oszukać w sieci

Pomoc nie tylko IT

W Allianz Ubezpieczenie Technologii Cyfrowych i Ochrony Danych Allianz Cyber Protect obejmuje dane przechowywane w firmie, system komputerowy i odpowiedzialność firmy wobec osób trzecich w związku z gromadzeniem, posiadaniem i przetwarzaniem danych oraz prowadzeniem działalności z wykorzystaniem systemów IT. Ubezpieczenie nie obejmuje naruszenia tajemnicy handlowej i własności intelektualnej, rozsyłania niepożądanej korespondencji bądź komunikatów (w formie papierowej i elektronicznej), nieuprawnionego gromadzenia danych, połączenia sieciowego stanowiącego każdą przerwę lub zakłócenie w dostawach energii elektrycznej, usług internetowych, kablowych, satelitarnych, telekomunikacyjnych. Koszt polisy jest uzależniony od branży, w jakiej działa firma, liczby danych, sumy ubezpieczenia i zakresu ochrony.

Collonnade ma również cyberpolisę w dwóch wariantach. Pierwszy obejmuje pełen katalog ryzyk cybernetycznych włącznie z przerwami w działalności systemu, co jest rzadkością i działalnością multimedialną, czyli naruszenie ochrony własności intelektualnej. Drugi związany jest z RODO. Ubezpiecza m.in. koszty zawiadomienia osób, których dane dotyczą, postępowań administracyjnych oraz kar administracyjnych i roszczenia osób trzecich.

Szeroki pakiet ubezpieczeń ma również PZU, który oprócz szkód wynikających z ataków hakerskich ubezpiecza utratę danych papierowych lub przenoszonych na nośnikach pamięci oraz korespondencję, która nie trafiła do adresata. Towarzystwo współpracuje z międzynarodowymi firmami zarządzającymi incydentami, kancelariami prawnymi działającymi lokalnie, dlatego ubezpieczenie obejmuje cały świat.