Polskie firmy są świadome cyberzagrożeń. Jak mogą im pomóc ubezpieczenia?

• 73% firm jest zaniepokojonych rosnącą skalą cyberataków, wynika z obserwacji Trend Micro. Dlatego rośnie zainteresowanie ubezpieczeniami od zagrożeń cybernetycznych.
• Podstawową rolą cyberpolis jest rekompensata start i jak najszybsze przywrócenie sprawności działania firmy.
• Mimo rosnącego ryzyka i ostrożniejszego podejścia ubezpieczycieli, polisy te są dostępne i ich zakres nadal jest atrakcyjnym i istotnym wsparciem dla przedsiębiorców.

Nieustannie rosnąca liczba ataków cybernetycznych jest zmorą wszystkich branż. Jak wygląda sytuacja w drugiej połowie 2022 r.? Dane zgromadzone przez Check Point Software Technologies, podsumowujące pierwsze półrocze pokazują, że średnia tygodniowa liczba ataków na firmy i organizacje wzrosła znacząco. Oto kilka przykładów: firmy z sektora rekreacji i hotelarstwa muszą się mierzyć ze wzrostem liczby ataków na poziomie +65%, instytucje finansowe +62%, handel +47%, a przemysł o +42%[1].

Jak na to reagują przedsiębiorcy? Tu ważnych informacji dostarcza nam badanie przeprowadzone niedawno przez Trend Micro i Sapio Research, w którym wzięli udział decydenci w obszarze bezpieczeństwa IT firm z 29 państw, w tym z Polski[2]. Oto kluczowe wnioski:

• 73% respondentów jest zaniepokojonych skalą ataków hakerskich
• 37% opisuje sytuację, jako stale ewoluującą i chaotyczną
• 43% uważa, że skala ataków wymyka się spod kontroli

– Ważną i zarazem niepokojącą informacją jest też fakt, że 62% respondentów przyznało, że ich systemy posiadają słabe punkty, negatywnie wpływające na ogólną jakość zabezpieczeń. To skłania przedsiębiorców do szukania dodatkowych rozwiązań wzmacniających ich bezpieczeństwo. Jednym z nich są ubezpieczenia od ryzyk cybernetycznych. To efekt rosnącej świadomości firm i dążenia do skutecznego zarządzania tym obszarem ryzyka. Jednak niestety wraz z rosnącym poziomem zagrożenia, zmienia się też podejście ubezpieczycieli do oferowania ochrony – zauważa Marcin Nagórski, ekspert od cyberubezpieczeń, broker ubezpieczeniowy w EIB SA.

Co zmieniło się w podejściu ubezpieczycieli do cyberpolis?

Już od zeszłego roku widać przede wszystkim ostrożniejsze podejście ubezpieczycieli do zawierania umów ubezpieczenia. Przed wybuchem pandemii, która z racji na upowszechnienie pracy zdalnej diametralnie zmieniła obraz cyberbezpieczeństwa firm, były one szeroko dostępne praktycznie bez żadnych ograniczeń czy dodatkowych warunków wstępnych, które musiał spełnić przedsiębiorca. Wystarczyło, że wykazał, że posiada standardowe oprogramowanie zabezpieczające, które na bieżąco aktualizuje. Obecnie to już nie jest wystarczające. Specjaliści od oceny ryzyka wymagają, żeby firma posiadała i restrykcyjnie stosowała zaawansowane procedury oraz uruchomiła ponadstandardowe zabezpieczenia (choć i tak zakres „standardu” jest dziś o wiele szerszy niż wcześniej). Niezbędnym minimum jest np. stosowanie wieloskładnikowego uwierzytelnienia logowania czy zabezpieczenia zdalnego dostępu. Dlaczego tak się dzieje? Tu ponownie warto przytoczyć badanie Trend Micro, które pokazuje, że aż 37% organizacji zauważyło, że nie mają pełnego wglądu w zasoby umieszczone w chmurze, 35% zdaje sobie sprawę z luk w kontroli nad połączeniami sieciowymi, a 32% nad urządzeniami użytkowników końcowych.

– Wszystkie te czynniki sprawiają, że niektórzy ubezpieczyciele zmieniają również zakres oferowanej ochrony. Coraz trudniej dostępne jest pełne pokrycie przed skutkami ataków ransomware. Podwyższane są franszyzy redukcyjne i/lub udziały własne w szkodach. Niemniej nadal ubezpieczenia od ryzyk cybernetycznych są istotnym wsparciem w razie cyberataku i ich zakres nadal jest atrakcyjny. Zwłaszcza że jest to ubezpieczenie, które można dostosować ściśle do indywidualnych potrzeb przedsiębiorcy, a jego główna funkcja, polegająca na rekompensacie strat wynikających z cyberataku, jest jednym z gwarantów ciągłości prowadzonego biznesu – dodaje Marcin Nagórski z EIB SA.

Jaką ochronę zapewniają cyberubezpieczenia?

Przede wszystkim cyberpolisy zapewniają pokrycie kosztów zewnętrznych związanych z organizacją wsparcia dodatkowych ekspertów IT, prawników i innych fachowców od zarządzania kryzysami cybernetycznymi. Celem tych działań jest jak najszybsze wykrycie luk i przywrócenie systemu do stanu sprzed szkody. W tym uwzględnione jest też odzyskanie utraconych danych. Ponadto, działania finansowane z polisy mają służyć ochronie wizerunku przedsiębiorstwa oraz zapewnić wsparcie prawne w przypadku ewentualnych roszczeń cywilnych i postępowań administracyjnych, np. z tytułu naruszenia RODO. W tym ostatnim aspekcie w umowie ubezpieczenia można też zawrzeć wszystkie koszty związane z przeprowadzeniem akcji informacyjnej wśród osób, których dane mogły zostać ujawnione, a także refundację ewentualnych kar administracyjnych nałożonych przez PUODO. Wsparcie z polis jest szczególnie istotne w momencie, gdy firma padnie ofiarą szeroko zakrojonego ataku, kiedy siły własne przedsiębiorcy mogą okazać się niewystarczające.

Kiedy cyberpolisa nie zadziała?

Trzeba jednak pamiętać, że są pewne sytuacje, kiedy ubezpieczyciel może odmówić przyjęcia na siebie odpowiedzialności za koszty wynikające z cyberataku. Podstawową kwestią, o którą trzeba zadbać, jest wspomniana wcześniej systematyczna aktualizacja legalnego oprogramowania i zabezpieczeń. Ponadto firma ma obowiązek utrzymania standardów bezpieczeństwa wskazanych w umowie ubezpieczenia przez cały czas trwania ochrony. Polisa nie zadziała także w momencie, kiedy do uszkodzenia systemu, ataku czy wycieku dojdzie w wyniku awarii sprzętu, łącza czy infrastruktury telekomunikacyjnej.

– Obecnie ubezpieczyciele jeszcze bardziej rygorystycznie podchodzą do tych kwestii niż wcześniej i dokładnie sprawdzają, czy nie doszło do naruszenia procedur, czy na pewno wszystkie urządzenia oraz oprogramowanie posiadają wsparcie producenta. Ubezpieczenie jest trzecim elementem składowym systemu ochrony przed zagrożeniami cybernetycznymi, uruchamianym, gdy hardware i software zawiodą – mówi Marcin Nagórski z EIB SA.

[1] Źródło: https://go.checkpoint.com/2022-mid-year-trends/, dostęp 17.11.2022 r.

[2] Źródło: https://www.trendmicro.com/explore/trend_global_risk_research_2/the-challenge-of-man, dostęp 17.11.2022 r.