W dobie cyfrowej gospodarki cyberzagrożenia to wyzwanie, z którym powinna się liczyć każda firma. O ubezpieczaniu ryzyk cybernetycznych i związanej z tym aktywności prewencyjnej ubezpieczyciela mówią Michał Balwiński i Marcin Gajkowski z Generali Polska.
Michał Balwiński: Jak najbardziej tak. Można ubezpieczyć firmę od realizacji ryzyka cybernetycznego, natomiast trzeba pamiętać, że to nadal jest ubezpieczenie. Tak samo jak w przypadku ubezpieczenia od ognia w przypadku cyberzagrożeń w firmie muszą obowiązywać zabezpieczenia. Ubezpieczenie samo w sobie nie zastępuje zarządzania ryzykiem w organizacji, natomiast jest tym zabezpieczeniem, które ma działać, kiedy wszystkie inne zawiodą. Ubezpieczenia od cyberryzyk coraz bardziej zyskują na znaczeniu. Cyfryzacja i automatyzacja różnych procesów postępują. Kiedy mamy do czynienia z ubezpieczeniem mienia firmowego i dochodzi do pożaru, to obejmuje on zazwyczaj jedną lokalizację. W przypadku zatrzymania głównych systemów informatycznych w firmie, która ma kilka lokalizacji, wszystkie te lokalizacje mogą się zatrzymać jednocześnie. Dlatego ubezpieczenie od cyberzagrożeń jak najbardziej powinno stać się obowiązkowym elementem programu ubezpieczeniowego w organizacji, i to niezależnie od tego, czy prowadzi ona produkcję, czy świadczy usługi.
Marcin Gajkowski: Kiedy ubezpieczamy dom, to ubezpieczyciel wymaga, żebyśmy dopełnili pewnych wymogów zachowania ostrożności, których oczekuje się od każdego rozsądnego człowieka. Na przykład, żebyśmy mieli dwa zamki w drzwiach i zamykali okna, wyjeżdżając z domu. Dokładnie tak samo jest w przypadku ubezpieczenia od ryzyk cybernetycznych i wszystkich innych ubezpieczeń. Oczekuje się, że ubezpieczony będzie się zachowywał rozsądnie i, przede wszystkim, że sam będzie chronił swoje sieci i systemy.
M.B: Przed przygotowaniem indywidualnej oferty dla klienta dokonuje się oceny ryzyka, która w Generali przebiega dwutorowo. Pierwszy etap to coś, co nazywamy prescreeningiem czy też OSINT-em sieciowym. Polega on na analizie publiczne dostępnych, wskazanych domen internetowych klienta pod kątem bezpieczeństwa. Szukamy słabych punktów, a jeśli takie znajdziemy, klient otrzymuje raport na ten temat z wyjaśnieniami, co może zweryfikować lub poprawić. W uproszczeniu: sprawdzamy higienę cyberbezpieczeństwa w danej organizacji na podstawie analizy bezpieczeństwa publicznej domeny. Na drugim etapie zadajemy klientowi wiele pytań o zabezpieczenia. Tu obowiązuje pewien standard minimalny – warunki, które powinny być spełnione, żeby otrzymać ofertę ubezpieczenia. W zależności od specyfiki klienta, skali jego działalności, skomplikowania rozwiązań lub urządzeń, które klient tworzy, te warunki mogą być zaostrzone. Dlatego na każdą organizację trzeba spojrzeć indywidualnie.
M.G.: W pewnym momencie doszliśmy do wniosku, że żeby pozyskać klientów i móc ich ubezpieczyć, powinniśmy im też jakoś pomóc. Staramy się wspierać działania o charakterze prewencyjnym. Dla przykładu zawsze dzielimy się z klientem raportem OSINT-owym. Nawet jeżeli nie otrzyma on od nas oferty, dostanie informację zwrotną, co powinien poprawić. Chcemy też podpowiadać klientom, z jakich technologii czy usług mogą korzystać, żeby wzmocnić zabezpieczenia. W listopadzie ub.r. wprowadziliśmy, we współpracy z naszym partnerem MCX Pro, promocję, zgodnie z którą nasz klient razem z polisą otrzymuje pakiet 10 kluczy uwierzytelniających Yubikey produkowanych przez firmę Yubico – lidera rynku tych zabezpieczeń. Oczywiście to, co my oferujemy, to jest tylko próbka, ale staramy się zainteresować klienta dostępnymi rozwiązaniami, podpowiadać mu, z czego może skorzystać. Jeżeli skorzysta z narzędzia, które poprawia jego bezpieczeństwo, to my możemy to uwzględnić np. w wysokości składki. Co ważne, nasza oferta jest skierowana nie tylko do dużych firm, lecz także do tych małych, w których często nie ma wydzielonych ról ds. cyberbezpieczeństwa i w związku z tym trudniej jest nadążać za najnowocześniejszymi rozwiązaniami.
M.B: Ubezpieczenie cyber ma charakter hybrydowy – składa się z trzech modułów. Pierwszy z nich to ubezpieczenie strat własnych, które pokrywa koszty reagowania na incydent (w tym koszty notyfikacji indywidualnej i urzędowej czy monitoringu kredytowego), przywrócenia danych i systemów do stanu sprzed szkody, zwrot zapłaconych w wyniku incydentu kar czy koszty wynikające z działań PR-owskich po zdarzeniu cyber. W wypadku postępowań administracyjnych i sądowo-administracyjnych zapłacimy też koszty ochrony prawnej. Drugi moduł obejmuje ubezpieczenie odpowiedzialności cywilnej związanej z ryzykiem cybernetycznym, czyli kwestie roszczeń, które są zgłaszane do ubezpieczonego przez osoby, które ucierpiały na skutek wycieku danych, naruszenia bezpieczeństwa sieci ubezpieczonego czy publikacji multimedialnych naruszających własność intelektualną lub reputację. Trzeci moduł nazywamy odpowiedzią na incydent. To odpowiednik polisy assistance, tyle że dla incydentów cybernetycznych. W sytuacji, kiedy doszło do wycieku danych osobowych, ubezpieczony może się skontaktować ze specjalistami z zakresu czy to security operations center, czy informatyki śledczej, którzy zweryfikują, co się wydarzyło w firmie, skoordynują działania naprawcze i przedstawią propozycję działań zapobiegających, żeby incydent się nie powtórzył.
M.G: By posłużyć się przywołaną już analogią do ubezpieczenia majątku: w pierwszej kolejności koncentrujemy się na gaszeniu pożaru. To jest oczywiście usługa, którą my organizujemy i która jest dostępna dla posiadacza polisy. Ubezpieczony dysponuje całodobowym numerem telefonu lub adresem e-mailowym do naszego partnera, który zapewnia wsparcie, kiedy dojdzie do incydentu. Jako ubezpieczyciel opłacamy utrzymanie takiej infrastruktury dla klientów.
M.G.: Nie licząc sytuacji wyjątkowych, tego nie ubezpieczamy. W przypadku zapłaty okupu nie ma pewności, że przestępca okaże się „uczciwy” i odszyfruje ofiarę, czy nie będzie korzystał z danych albo nie sprzeda ich w darknecie. Nie wiemy też, komu płacimy, kto za tym stoi, czy to nie jest organizacja terrorystyczna, czy zapłata okupu nie wygeneruje kolejnego problemu w postaci naruszenia sankcji międzynarodowych.
M.B.: Jest jeszcze jeden bardzo ważny aspekt. Jeżeli będziemy płacić cyberprzestępcom, to będą przeprowadzać coraz więcej ataków, bo będą mieli na to fundusze.
Partner
Czytaj więcej w dodatku DGP Cyberbezpieczeństwo