Rośnie grono firm gotowych chronić przed atakami na systemy komputerowe. Gorzej z klientami.
PZU – największy polski ubezpieczyciel – włącza się do walki o klientów zainteresowanych ochroną przed cyberzagrożeniami. Według naszych informacji zamierza wprowadzić do oferty tego typu ochronę jeszcze w tym półroczu.
– Zagrożenia cybernetyczne w Polsce rosną już nie z roku na rok, ale wręcz z miesiąca na miesiąc. Do tej pory do najbardziej spektakularnych ataków dochodziło głównie w krajach Europy Zachodniej, jednak zaczynają one sięgać naszego kraju – mówi Tomasz Huś, dyrektor ds. strategii i rozwoju biznesu korporacyjnego PZU.
Firma nie ujawnia, jakie dokładnie plany wiąże z tym produktem. Informacje płynące z branży wskazują, że będzie to skok dużej ryby na płytką wodę. Choć co jakiś czas pojawiają się wiadomości o coraz poważniejszych celach ataków hakerskich – przykładem może być ujawniona w tym miesiącu próba ingerencji w system informatyczny Komisji Nadzoru Finansowego – to chętnych na polisy jest niewielu.
– Według naszych szacunków łączna liczba wykupionych cyberpolis w Polsce waha się w granicach kilkudziesięciu – informuje Anna Pluta z firmy brokerskiej Marsh Polska.
Podobnie rynek ocenia Włodzimierz Pyszczek, menedżer wydziału ubezpieczeń ryzyk finansowych w Allianz. Firma wprowadziła cyberpolisy w 2015 r. jako jedna z pierwszych na rynku. – Nowe zdarzenia w bardzo małym stopniu wpływają na rzeczywisty wzrost zainteresowania ochroną przed cyberatakami. Najczęściej wynika to z wciąż niskiego poziomu świadomości zagrożeń – twierdzi Tomasz Dolata, ekspert od ubezpieczeń cyber w Ergo Hestii, która z takimi polisami też ruszyła w 2015 r.
W polisach dostępnych w krajowych zakładach można pokryć koszty m.in. przywrócenia danych elektronicznych, usunięcia złośliwego oprogramowania, przeniesienia nieutraconych danych na inne serwery czy postępowań administracyjnych np. przed Generalnym Inspektorem Ochrony Danych Osobowych. Polisy mogą też objąć odpowiedzialność za straty osób trzecich, m.in. klientów czy kontrahentów, jeśli dojdzie do przejęcia czy ujawnienia ich danych osobowych lub handlowych i wystąpią z roszczeniami.
Towarzystwa wskazują też, że tak naprawdę nie wiadomo, jak duże jest zjawisko cyberataków. Efekt jest taki, że firmy, które nie zostały nimi dotknięte, liczą, że takie ryzyko ich nie dotyczy.
– Przedsiębiorstwa nie mają obowiązku raportowania o incydentach związanych z cyberbezpieczeństwem. Nie wiadomo więc dokładnie, ile firm jest celem cyberataków i jakie są ich skutki – potwierdza Marcin Makusak, dyrektor w zespole zarządzania ryzykiem PwC.
Jednym z niewielu źródeł informacji jest specjalny zespół CERT przy Naukowej i Akademickiej Sieci Komputerowej, który zajmuje się badaniem i rozwiązywaniem cybernetycznych problemów w firmach i administracji publicznej. W 2015 r. obsłużył on 1456 incydentów. Raport za 2016 r. dopiero przygotowuje.
– Ogólnie możemy powiedzieć, że nasiliły się ataki z wykorzystaniem ransomware, złośliwego oprogramowania szyfrującego dane użytkowników i żądającego okupu za ich odszyfrowanie – podaje Janusz A. Urbanowicz z zespołu monitoringu i wstępnego rozpoznania.
Brokerzy, którzy działają na rynku ubezpieczeń w imieniu i na rzecz klientów towarzystw, wskazują, że zakłady muszą też mocno konkurować o wydatki na bezpieczeństwo systemów z działami IT spółek. Inną kwestią jest sama oferta ubezpieczycieli. To na razie produkty kierowane głównie do większych i zasobniejszych firm. Np. Allianz do tej pory celował przede wszystkim w klientów, których suma ubezpieczenia w cyberpolisie sięga od kilku do nawet kilkudziesięciu milionów złotych, a ceny ubezpieczenia zaczynały się od 20–50 tys. zł. Za dwa do trzech miesięcy chce jednak wystartować z polisami do mniejszych przedsiębiorców. Ich stawki mają zaczynać się od 2,5 tys. zł, a sumy gwarancyjne od 250–500 tys. zł. Będą skierowane m.in. do firm, które przechowują podstawowe dane swoich klientów, a płatności realizują przez zewnętrzne systemy płatności.
Ale pojawiają się zarzuty, że produktom oferowanym przez krajowe towarzystwa wiele brakuje w porównaniu z oferowanymi na Zachodzie. Przedstawiciele firm doradczych sugerują, że stosują zbyt wiele wyłączeń odpowiedzialności, np. dotyczących konkretnego rodzaju wirusa.
Mimo niewielkiego popytu w branży panuje przekonanie, że wzrost zainteresowania polisami jest nieuchronny. Ubezpieczyciele liczą, że firmy uważniej przyjrzą się cyberbezpieczeństwu, kiedy zaczną przygotowania do wdrożenia przepisów o ochronie danych. Mają one zacząć obowiązywać w całej Unii od maja przyszłego roku.
– Istotne naruszenia w zakresie bezpieczeństwa danych osobowych będą musiały być notyfikowane do regulatora, a w przypadku nieautoryzowanego ich użycia lub ujawnienia danych także do osób poszkodowanych. Podobne przepisy obowiązują w USA, Kanadzie czy Australii i tam właśnie cyberubezpieczenia charakteryzują się bardzo wysokim wzrostem – wskazuje Anna Pluta z Marsh.
Amerykański Allied Market Research w 2016 r. szacował, że światowy rynek cyberpolis wart był wówczas ok. 3 mld dol., z czego 87 proc. przypadało na Amerykę Północną.
Ubezpieczyciele mają ofertę dla zasobniejszych i większych podmiotów.