#CyberMagazyn: Ubezpieczenia od cyberataków. "Wektor ataków hakerskich nie jest uzależniony od wielkości spółki"

Liczba zagrożeń w sieci rośnie z roku na rok. Co prawda, wzrasta też świadomość niebezpieczeństw, ale nie przekłada się to na znaczący wzrost naszego bezpieczeństwa w świecie cyber. Wyzwania, przed którymi stajemy coraz częściej skłaniają do ubezpieczenia od potencjalnych cyberataków.

W rozmowie z Piotrem Cholewczyńskim porozmawialiśmy na ich temat. Co zawiera się w takiej ofercie? Kiedy ubezpieczyciel uzna, że ubezpieczonemu nie przysługuje odszkodowanie? Czy to od ataków ransomware firmy ubezpieczają się najczęściej? Zachęcamy do lektury.

Michał Górski, CyberDefence24: Od jakiego rodzaju cyberataków można się konkretnie ubezpieczyć? Chodzi np. tylko o ransomware czy też paleta ubezpieczeń jest znacznie szersza?

Piotr Cholewczyński: Ubezpieczenie od ryzyk cybernetycznych [zwane dalej cyber] obejmuje ochroną wszelkiego rodzaju ataki hakerskie. W ramach zawartej polisy ubezpieczyciel pokrywa koszty, które najczęściej we własnym zakresie musi ponieść ofiara ataku w tym m.in.:

• zaangażowanie specjalistów w zakresie zarzadzania incydentem cybernetycznym;
• zatrudnienie specjalistów w zakresie informatyki śledczej;
• zatrudnienie kancelarii prawnych specjalizujących się w zakresie prowadzenia spraw w zakresie ataków hakerskich;
• zatrudnienie specjalistów w zakresie negocjacji okupu w przypadku ataku typu ransowmare;
• zatrudnienie specjalistów w zakresie odtworzenia uszkodzonej infrastruktury i przywrócenia odpowiedniego stanu bezpieczeństwa sieci, zarówno w zakresie sprzętu, jak i oprogramowania, oraz innych kosztów związanych bezpośrednio z atakiem hakerskim.

Zakres ochrony jest zróżnicowany i zależy od konkretnej oferty oraz ubezpieczyciela . Warto zaznaczyć, że niektórzy ubezpieczyciele specjalizujący się w oferowaniu ochrony w zakresie polis mają odpowiednie narzędzia, które pozwalają im śledzić nienaturalny ruch na infrastrukturze swoich klientów. Można powiedzieć, że posiadanie odpowiedniego ubezpieczenia cyber u renomowanego ubezpieczyciela daje nam dodatkową ochronę w postaci realizowanej przez ubezpieczyciela usługi SOC (Security Operation Center), czyli usług w zakresie utrzymania bezpieczeństwa sieci. Poza funkcją typowo ubezpieczeniową jest to niewątpliwie dodatkowa zaleta posiadania ubezpieczenia cyber.

Odmowa odszkodowania?

Zastanawiam się nad tym, jak firma ubezpieczeniowa ocenia, czy ubezpieczony dołożył wszelkich starań, aby uchronić swój sprzęt czy dane przed atakiem. Kiedy ubezpieczyciel uzna, że wypłata odszkodowania nie należy się ubezpieczonemu?

W przypadku ubezpieczenia cyber możliwości uchylenia się ubezpieczyciela od odpowiedzialności, powołując się na niedostateczne zabezpieczenia sprzętu i opogramowania, jest niezwykle mało i dotyczą one szczególnych przypadków m.in. takich jak:

• brak odpowiednich zabezpieczeń podanych we wniosku ubezpieczeniowym
• użytkowanie nielegalnego oprogramowania
• użytkowanie oprogramowania bez odpowiedniej licencji
• błędne oprogramowanie lub błąd programistyczny (wówczas odpowiada dostawca oprogramowania lub dostawca usług IT)
• umyślne lub przestępcze działanie ubezpieczonego.

Należy jednak zwrócić uwagę, że ubezpieczyciel może ograniczyć swoją odpowiedzialność lub odmówić wypłaty odszkodowania jedynie w sytuacji, gdy wyżej wymienione przypadki, miały wpływ na powstanie i rozmiar szkody.

Kto najczęściej decyduje się na tego typu ubezpieczenie? Mowa tu tylko o firmach czy ubezpieczyć może się także osoba prywatna?

Ubezpieczenie cyber jest dostępne zarówno dla firm, jak i osób prywatnych. W obu przypadkach potrzeby ubezpieczenia znacznie się od siebie różnią. Ubezpieczyciele oferują ubezpieczenia dostosowane do potrzeb odpowiednich grup. Na ubezpieczenia cyber decydują się najczęściej firmy, a w szczególności te, które z różnych przyczyn mogą być „łakomym kąskiem" dla hakerów.

Ostatnie statystyki pokazują, że dość często ofiarami ataków padają na przykład szpitale oraz inne placówki ochrony zdrowia. Tego rodzaju podmioty posiadają bardzo dużą ilość danych wrażliwych pacjentów, a zabezpieczenia sieciowe są u nich dość słabe. Powoduje to, że ataki typu phishing oraz ransomware są dość proste do przeprowadzenia. Doświadczenie pokazuje jednak, że wektor ataków hakerskich nie jest uzależniony od wielkości spółki, branży itp. Nie ma również reguły, które spółki decyzją się częściej na zakup ubezpieczenia cyber.

Liczba ataków rośnie

Czy w kontekście takich ubezpieczeń można zauważyć tendencję wzrostową i coraz większe zainteresowanie tego typu ubezpieczeniami?

W okresie ostatnich 2-3 lat nastąpił bardzo gwałtowny wzrost ataków hakerskich – w szczególności malware i ransomware. W związku z tym, że ataki malware są mniej „medialne", a informacje o ich występowaniu nie docierają do nas z taką częstotliwością, jak informacje o atakach ransomware. Ogromny wzrost liczby ataków hakerskich przyczynił się proporcjonalnie do wzrostu zainteresowania tym rodzajem ubezpieczenia .

Po agresji Rosji i wybuchu wojny w Ukrainie liczba ataków hakerskich typu ransomware znacząco spadła. Ma to związek z nałożonymi sankcjami na Rosję (jest to główne źródło ataków hakerskich) i trudniejszym dostępem do kryptowalut, w których opłacane są okupy. Rosyjscy hakerzy zwrócili się w stronę ataków typu cyber crime. Jest to rodzaj cyberprzestępczości polegającej głównie na podszywaniu się pod ofiarę (za pomocą adresów e-mail, telefonów i innych narzędzi komunikacji) i wyłudzaniu odszkodowań poprzez wskazywanie rachunków bankowych należących do hakerów. Przestępcy omijają w ten sposób ograniczenia związane z uzyskiwaniem kryptowalut, uzyskując środki w postaci normalnych walut. Bardzo często taki atak hakerski zaczyna się od udanych działań phishingowych.

Pytałem na temat tego, czy rośnie liczba podmiotów zainteresowanych ubezpieczeniami od cyberataków, a teraz dopytam o to, czy dużo firm ubezpieczeniowych obecnych na rynku proponuje takie formy ubezpieczenia?

Ubezpieczenia cyber oferowane są obecnie m.in. przez następujących polskich ubezpieczycieli  (kolejność jest przypadkowa): Allianz, Colonnade, PZU, Hestia,Generali, Chubb. Biorąc pod uwagę liczbę ubezpieczycieli zajmujących się ubezpieczeniami majątkowymi w Polsce (ponad 20 podmiotów) liczba ubezpieczycieli oferujących cyberubezpieczenia jest niewielka.

Warto podkreślić, że - zarówno zakres ochrony, jak i atrakcyjność składek - są bardzo mocno zróżnicowane, dlatego też warto szczegółowo zweryfikować cały rynek przed decyzją wyboru najkorzystniejszej oferty ubezpieczenia cyber.

W niektórych przypadkach (występowanie szczególnych ryzyk lub chęci uzyskania wysokich sum ubezpieczenia) warto zweryfikować również oferty od ubezpieczycieli zagranicznych np. z tzw. „rynku Lloyd's".  Uzyskanie tego rodzaju ofert możliwe jest najczęściej tylko za pośrednictwem brokerów ubezpieczeniowych. Oferty charakteryzują się bardzo często szerokim zakresem ochrony i atrakcyjnymi składkami. Nie ma natomiast jednego, najkorzystniejszego rozwiązania, ponieważ każdy ubezpieczyciel rozpatruje ryzyko w nieco inny sposób, co przekłada się na szeroką różnorodność ofert.

Piotr Cholewczyński jest brokerem ubezpieczeniowym w firmie Infinity Brokerzy Ubezpieczeniowi Sp. z o.o.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].