Zespołowi Reagowania na Incydenty Komputerowe znowu przybyło pracy. Na rosnącym zagrożeniu coraz częściej chcą zarabiać ubezpieczyciele.
Kiedy rządowy Zespół Reagowania na Incydenty Komputerowe (CERT) podsumowywał stan bezpieczeństwa polskiej cyberprzestrzeni w 2014 r., już niemal tradycyjnie informował o rekordowej liczbie otrzymanych zgłoszeń oraz obsłużonych incydentów. Zgłoszeń było ponad 12 tys., z czego niemal 7,5 tys. zakwalifikowano jako incydenty. Jak sugeruje rzecznik Agencji Bezpieczeństwa Wewnętrznego płk Maciej Karczyński, wiele wskazuje na to, że także w podsumowaniu 2015 r. będzie można mówić o rekordach.
– W odniesieniu do najczęstszych źródeł zgłoszeń incydentów można wyróżnić zgłoszenia z wykorzystywanych systemów wspomagających Cert.gov.pl, ustalenia własne i zgłoszenia od podmiotów zewnętrznych – dodaje płk Karczyński. Jednym z najbardziej pamiętnych incydentów był ubiegłoroczny atak na warszawską giełdę, kiedy hakerzy wykradli, a następnie opublikowali w sieci dane archiwalne używane do logowania do Szkolnej Internetowej Gry Giełdowej i symulatora giełdowego. W tym roku spektakularne było zaś włamanie do systemu informatycznego Plus Banku i kradzież danych grupy klientów.
Na coraz liczniejsze doniesienia o cyberzagrożeniach niemal jednocześnie zareagowali najwięksi ubezpieczyciele. Nieco ponad miesiąc temu oferta Ergo Hestii wzbogaciła się o program ubezpieczeniowy chroniący przed skutkami cybernetycznych ataków. Ma to być pierwszy tego typu produkt dostosowany bezpośrednio do potrzeb polskiego rynku. W ramach polisy towarzystwo oferuje np. pokrycie kosztów związanych z utratą lub uszkodzeniem danych elektronicznych oraz kosztów odpowiedzialności cywilnej za szkody wyrządzone osobom trzecim w wyniku ataku komputerowego.
Z ubezpieczeniem technologii cyfrowych i ochrony danych ruszył też Allianz Polska, który informuje, że przez nieco ponad miesiąc, czyli od momentu wprowadzenia produktu, przygotował kilkanaście ofert takich ubezpieczeń. Ergo Hestia twierdzi z kolei, że tego rodzaju polisy spotkały się z dużym zainteresowaniem różnych branż, choć zaznacza, że objęcie ochroną każdorazowo poprzedza procedura przygotowawcza. – Zanim wystawimy pierwsze polisy, musi minąć jeszcze trochę czasu – tłumaczy Tomasz Dolata z Ergo Hestii.
Rozmówcy DGP na razie nie chcą przesądzać, czy polisy skrojone bezpośrednio pod ryzyko cybernetyczne mają szansę na szybki sukces. Większość wskazuje, że głośne ataki przez sieć na razie nie przełożyły się na wzrost zainteresowania taką ochroną. – Popularność tego zakresu ochrony utrzymuje się na stabilnym poziomie. Mimo coraz częstszych informacji o cyberatakach na systemy IT w instytucjach i przedsiębiorstwach nie zauważamy wzrostu zainteresowania tego typu ochroną – mówi Leon Pierzchalski, dyrektor departamentu ubezpieczeń majątkowych firmy Uniqa, która umożliwia kompleksowo ubezpieczanym klientom rozszerzenie ochrony o niektóre zdarzenia związane z ryzykiem cybernetycznym.
Przedstawiciele branży ubezpieczeniowej wskazują, że poza niską świadomością ryzyka związanego ze skutkami takich ataków przeszkodą w rozwoju tego segmentu są ceny polis. W przypadku objęcia ochroną wycieku danych osobowych, np. klientów, może to być koszt kilku tysięcy złotych rocznie. Przy większej liczbie rekordów, czyli danych objętych ochroną, ceny polis mogą sięgać setek tysięcy złotych. – To niszowe ubezpieczenie. Jego cena będzie się zmieniać w miarę pojawiania się nowych produktów, ubezpieczycieli i większej sprzedaży polis – tłumaczy Adam Kujawiak, dyrektor ds. ubezpieczeń klientów kluczowych brokera Mentor.
Specjaliści liczą, że pojawienie się tego typu ubezpieczeń spowoduje, iż firmy uważniej przyjrzą się swojej odporności na cyberataki. Na razie ich doświadczenia wskazują, że mają w tym zakresie wiele do nadrobienia. – Do tej pory przeprowadziliśmy w Polsce kilkadziesiąt symulacji ataku hakerskiego na firmy, które decydowały się na taką formę sprawdzenia swojej odporności na cyberataki. Niemal w każdym przypadku udawało się nam przejść przez zabezpieczenia – wskazuje Tomasz Sawiak, wicedyrektor w zespole cyber security w PwC. Nie wiadomo, ile dokładnie wynoszą straty związane z przestępczością internetową w Polsce. Firma Symantec szacowała w 2013 r., że w ciągu ostatnich 12 miesięcy koszty tego procedru wyniosły u nas 6 mld zł.
Jakub Bojanowski z Deloitte wskazuje, że obecnie głównym celem ataków cybernetycznych na małe i średnie firmy jest uzyskanie dostępu do kont bankowych przez atak phishingowy. – Skutków finansowych wielu ataków nie da się wycenić. Mogą one przecież pogrążyć reputację firmy – ocenia Bojanowski. Ważnym celem cyberataków są też instytucje finansowe, przede wszystkim banki, a w kolejnych latach – mówi specjalista Deloitte – na celowniku coraz częściej będą się znajdować instytucje i zakłady przemysłowe o charakterze strategicznym.
