Polisa cyber to relatywnie nowe narzędzie na polskim rynku, a wiele firm nie wie nawet o istnieniu takiej formy ubezpieczenia. Tymczasem może ona istotnie ograniczyć finansowe skutki ataku ransomware czy wycieku danych – pod warunkiem, że firma wie, czego od niej oczekiwać. Czym są polisy cyber, kiedy się sprawdzają i gdzie kończą się ich możliwości – wyjaśniają nam eksperci od cyberbezpieczeństwa, ubezpieczeń i prawa.
Za informację dziękujemy Kamilowi Wiśniewskiemu, ekspertowi ds. cyberbezpieczeństwa i kierownik studiów podyplomowych „Zarządzanie Cyberbezpieczeństwem" w Polsko-Japońskiej Akademii Technik Komputerowych (PJATK), Rafałowi Goszczyckiemu, brokerowi ubezpieczeniowy specjalizujący się w ubezpieczeniach cyber, oraz Kamilowi Muniakowi, radcy prawnemu specjalizującemu się w ubezpieczeniach i cyberbezpieczeństwie.
Czym jest polisa cyber
W Polsce od niedawna firmy mogą wykupić polisę ubezpieczeniową od skutków incydentów w obszarze cyberbezpieczeństwa (potocznie polisy cyber). Ponieważ jest to relatywnie nowe narzędzie na rynku, a wiele firm nawet nie wie o istnieniu takiej formy ubezpieczenia, to warto się przyjrzeć czym polisy cyber są, w jakich sytuacjach ich zastosowanie będzie najsensowniejsze a także jakie są ich ograniczenia.
Rafał Goszczycki, broker ubezpieczeniowy specjalizujący się w obsłudze ubezpieczeń cyber wyjaśnia czym są takie polisy.
“Ubezpieczenie cybernetyczne staje się coraz istotniejszym elementem zarządzania ryzykiem w organizacjach. Celem ubezpieczenia jest ochrona finansowa ubezpieczonego na wypadek różnego typu zdarzeń, w tym:
- nieuprawnionego dostępu do systemu komputerowego,
- zainstalowania złośliwego oprogramowania,
- błędów ludzkich,
- umyślnego działania pracowników (z wyłączeniem działań celowych członków władz ubezpieczonego),
- czy innego ataku hakerskiego.”
Czytaj także:
JPK_CIT czy zostawić to księgowości firmZakres ochrony po incydencie
Jak zauważa Rafał Goszczycki polisa cyber pomaga w zarządzaniu zdarzeniem kryzysowym w organizacji dotkniętej incydentem.
„W ramach świadczonej ochrony ubezpieczyciele ponoszą koszty specjalistów, których zadaniem jest wsparcie zaatakowanego podmiotu i jak najszybsze przywrócenie działalności. Zasadniczo są to:
- wsparcie w zarządzaniu incydentem;
- zapewnienie dostępu do usług informatyków śledczych;
- odzyskanie utraconych danych oraz przywrócenie systemów;
- notyfikacja osób, których dane zostały naruszone;
- usługi związane z negocjacjami z cyberprzestępcami;
- wsparcie ze strony specjalistów PR;
- pomoc prawna.
W dalszej kolejności ochrona ubezpieczeniowa skupia się na minimalizacji odsuniętych w czasie konsekwencji incydentu. Polisa cyber w tym aspekcie co do zasady zapewnia pokrycie kosztów obrony oraz odszkodowań wynikających z roszczeń z tytułu ujawnienia danych osobowych, braku dostępu do systemu czy zainfekowania systemu osoby trzeciej. Z reguły w ramach ochrony ubezpieczeniowej uwzględniane są również koszty pokrycia kar administracyjnych nałożonych w wyniku zaistniałego zdarzenia”.
Czyli oferowane polisy mają bardzo szeroki zakres ochrony a na pomoc ubezpieczyciela, będzie można liczyć w bardzo wielu sytuacjach, które można określić jako incydent cybernetyczny.
Doświadczenia z praktyki - cyberbezpieczeństwo
Swoimi praktycznymi doświadczeniami dzieli się Kamilowi Wiśniewski ekspert ds. cyberbezpieczeństwa i wykładowca PJATK. „Dwukrotnie zdarzyło mi się być zaangażowanym we wsparcie w sytuacji kryzysowej firm, które były objęte polisą cyber. W obu przypadkach powodem incydentu był celowany atak ransomware. Mimo że firmy przyjęły skrajnie różne strategie postępowania (jedna z firm podjęła decyzję o przystąpieniu do negocjacji z cyberprzestępcami, a druga odrzuciła taką możliwość), to w obu przypadkach polisa cyber okazała się bardzo efektywnym narzędziem w ograniczeniu skutków finansowych ataków.
Zwracam tu uwagę, że w żadnym z przypadków ochrona nie objęła 100% całkowitych kosztów, głównie ze względu na ograniczenia wynikające z OWU (limit odpowiedzialności ubezpieczyciela, brak pokrycia ubezpieczeniem niektórych kategorii kosztów czy brak pokrycia utraconych zysków). Niemniej wypłata przez ubezpieczyciela kilkudziesięciu procent kosztów, w każdym z tych przypadków liczonych w milionach euro, w sposób istotny ograniczyła skutki finansowe incydentów."
Granice ochrony – co ubezpieczenia mówią między wierszami
I tak dochodzimy do ograniczeń polis cyber. Po pierwsze OWU (Ogólne Warunki Umowy) polis mogą się od siebie istotnie różnić, a w przypadku polis o dużej wartości możemy wręcz indywidualnie negocjować warunki. Decydując się na ochronę ubezpieczeniową od incydentów cyber warto na podstawie profilu ryzyka naszej organizacji określić jakie obszary ochrony są w naszym konkretnym przypadku kluczowe i szukać polisy adresującej te specyficzne potrzeby.
Po drugie zapominamy, że co prawda polisa cyber jest narzędziem pomagającym ograniczyć skutki finansowe oraz przyspieszającym przywrócenie normalnego działania, ale nie jest ona zabezpieczeniem PRZED wystąpieniem incydentu. Czyli nie możemy jej traktować jako elementu zabezpieczeń wdrażanych w celu ograniczenia ryzyka cybernetycznego w organizacji. Polisa cyber pomoże w procesie odzyskiwania danych czy reputacji, ale nie daje nam gwarancji, że te działania zakończą się powodzeniem. Z powyższych powodów radziłbym traktować polisę cyber jako element uzupełniający systemu cyberodporności organizacja a nie jego podstawę. Element o bardzo konkretnym podstawowym celu, którym jest ograniczenie ryzyka finansowego skutków incydentu.
Pułapki prawne a ubezpieczenia
Dodatkowym aspektem jaki należy przeanalizować przy zawarciu umowy ubezpieczeniowej w obszarze cyber są uwarunkowania prawne. Poniżej komentarz Kamila Muniaka, radcy prawnego specjalizującego się w ubezpieczeniach i cyberbezpieczeństwie:
“W kontekście ubezpieczeń cyber na pewno warto zwrócić uwagę na kilka kluczowych zagadnień. Przede wszystkim w przypadku wyboru polisy, analiza prawna OWU, pod kątem spełnienia obowiązków przez klienta (ubezpieczającego) wobec ubezpieczyciela oraz wyłączeń odpowiedzialności ubezpieczyciela. Czyli mówić wprost: co należy zrobić (albo czego bezwzględnie nie robić), żeby ubezpieczyciel wypłacił odszkodowanie oraz w jakiej sytuacji i dlaczego ubezpieczyciel go nie wypłaci.
Przykładem problematycznego zapisu OWU jednego z ubezpieczycieli, jest ograniczenie, iż w dużym uproszczeniu wypłata odszkodowania nastąpi, dopiero po rozstrzygnięciu postępowania karnego. W przypadku takiego zapisu sugerowałbym wybór innego ubezpieczyciela.
Klauzula tajemnicy i dyskrecja. Warto też zwrócić uwagę, że polisy cyber w większości przypadków, zawierają wymóg zachowania w tajemnicy faktu posiadania ubezpieczenia. Bez względu na sensowność uzasadnienia, jakim jest nieprowokowanie cyberprzestępców do ataku, niespełnienie tego warunku naraża na odmowę wypłaty odszkodowania.
Okup a odpowiedzialność karna. Kolejnym zagadnieniem prawnym jest kwestia ewentualnej odpowiedzialności karnej, kiedy dojdzie do ataku cyber z żądaniem okupu. Sama kwota ewentualnego okupu jest zwykle objęta ochroną ubezpieczeniową do określonej w polisie wysokości i jest zwracana ubezpieczającemu. Pojawia się jednak problem prawny samego faktu zapłaty okupu: klient przekazując kwotę okupu przestępcom, naraża się na sankcje karne. Wynikają one z uznania, że przekazana przez klienta kwota okupu jest złamaniem przepisów AML (Anti-Money Laundering – przepisy o przeciwdziałanie praniu pieniędzy) i może stanowić finansowanie terroryzmu”.
Komentarz redakcji: W połączeniu z lawinowo rosnącą liczbą incydentów cybernetycznych w polskich firmach, polisa cyber przestaje być egzotycznym dodatkiem, a staje się przemyślanym elementem strategii zarządzania ryzykiem. Pojedynczy atak ransomware potrafi sparaliżować działalność średniej firmy na tygodnie, a koszty bezpośrednie i pośrednie sięgają milionów złotych – od opłat za informatykę śledczą i odzyskanie danych, przez utracone zyski i kary administracyjne, po długofalową utratę zaufania klientów.
Polisa cyber łagodzi te skutki, ale – jak słusznie podkreślają eksperci – nie zastępuje zabezpieczeń. Tu pojawia się drugi, równie ważny element: cyberbezpieczeństwo przestaje być wyłącznie domeną IT, a staje się obowiązkiem zarządu i elementem nadzoru organizacyjnego. Wraz z wejściem w życie znowelizowanych przepisów ustawy o Krajowym Systemie Cyberbezpieczeństwa (KSC 2.0), które implementują unijną dyrektywę NIS2 (Network and Information Security Directive 2 – druga unijna dyrektywa o bezpieczeństwie sieci i informacji), tysiące polskich przedsiębiorstw stanęło przed nowymi obowiązkami w zakresie zarządzania ryzykiem, raportowania incydentów i odpowiedzialności kadry kierowniczej. Co istotne, nowelizacja radykalnie rozszerza katalog instytucji, które muszą dostosować się do rygorystycznych wymogów bezpieczeństwa, obejmując m.in. branżę spożywczą, chemiczną, usługi pocztowe oraz gospodarkę ściekową.
W tym kontekście inwestycja w przeszkolenie pracowników w zakresie cyberhigieny – rozpoznawania phishingu (wyłudzania danych pod fałszywą tożsamością), bezpiecznego korzystania z poczty i systemów, reagowania na incydent – jest co najmniej tak samo istotna jak wykupienie polisy. Większość udanych ataków zaczyna się od błędu człowieka, nie od luki w systemie. Polisa cyber pokryje część strat finansowych, ale tylko świadomy zespół jest w stanie zapobiec incydentowi albo szybko go ograniczyć. Dla podmiotów objętych nowymi przepisami ustawy o Krajowym Systemie Cyberbezpieczeństwa kwestia szkoleń staje się dodatkowo elementem zgodności regulacyjnej, a nie tylko dobrej praktyki. Najrozsądniejsza strategia łączy więc trzy filary: techniczne zabezpieczenia, kompetencje ludzi i ubezpieczenie jako bufor finansowy ostatniej linii obrony.
Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu za zgodą wydawcy INFOR PL S.A. Kup licencję.
Wpisz adres e-mail wybranej osoby, a my wyślemy jej bezpłatny dostęp do tego artykułu