Cyberbezpieczeństwo
Ubezpieczenie od cyberataku. Przed czym chroni firmy?
Cyberataki stają się nieodłącznym elementem funkcjonowania w cyfrowym świecie. Firmy, które są świadome zagrożeń często decydują się na zakup ubezpieczenia na wypadek incydentu, by - w razie ustraty dostępu do danych i pieniędzy - móc ubiegać się o odszkodowanie. Jak wygląda ten rynek w Polsce?
Cyberatak NotPetya zapisał się w historii międzynarodowego świata cyberprzestępczego. Incydent przyczynił się do strat szacowanych globalnie na około 10 mld dolarów.
Amerykańska firma Mondelez - która odczuła skutki gigantycznych cyberataków NotPetya w 2017 roku - pozwała szwajcarską firmę ubezpieczeniową Zurych Insurance za odmowę wypłaty odszkodowania. Chodziło o straty poniesione w związku z tym zdarzeniem. Gra toczyła się o 100 mln dolarów. Ostatecznie obie strony doszły do porozumienia.
Jedna z firm, która również padła wtedy ofiarą hakerów – gigant farmaceutyczny Merck – także ubiegał się o odszkodowanie. Jak w Polsce wygląda rynek ubezpieczeń od cyberataków? Czy firmy często decydują na taki rodzaj zabezpieczenia swoich danych i pieniedzy na wypadek incydentu?
Nikola Bochyńska, CyberDefence24: Wraz z cyfryzacją naszego życia pojawia się coraz więcej zagrożeń. Część firm chce ubezpieczyć się od ewentualnych skutków incydentów. Jak wygląda obecnie rynek cyberubezpieczeń, w porównaniu do sytuacji jeszcze sprzed 5-10 lat?
Monika Ściuba, Koordynatorka ds. Underwritingu w Biurze Analiz i Oceny Ryzyka Ubezpieczeń Korporacyjnych, PZU SA: Obserwujemy, że na przestrzeni ostatnich 5-10 lat wraz ze wzrostem i bardziej wyrafinowanymi cyberatakami wzrosło zainteresowanie ubezpieczeniami cybernetycznymi.
Spektakularne i szeroko komentowane w mediach ataki hakerskie, takie jak np. Not-Petya z 2017, który swoim zasięgiem objął firmy na całym świecie, spowodowały z jednej strony wzrost świadomości cyberzagrożeń wśród przedsiębiorców i poszukiwanie możliwości ubezpieczenia tych ryzyk, zaś z drugiej strony wymusiło zmianę podejścia ubezpieczycieli do oceny ryzyk cybernetycznych i ich adekwatnej wyceny. Ubezpieczyciele, którzy zdecydowali się pozostać na rynku cyber ryzyk, skupili się na zapewnieniu stabilizacji i dostępności produktów.
Dziś w PZU oferujemy ubezpieczenia dla małych i średnich firm oraz dużych przedsiębiorstw. Nasze ubezpieczenie zapewnia pomoc i ochronę w przypadku zdarzeń cybernetycznych, w tym naruszenia danych osobowych. Chroni m.in. przed skutkami ataków cybernetycznych, błędami pracowników, konsekwencjami naruszenia przepisów RODO.
Czytaj też
Jak wygląda polski rynek, w porównaniu do zagranicznego? Gdzie jest najbardziej rozwinięty?
Polski rynek ubezpieczeń stanowi ważną część rynku europejskiego. Nasze produkty ubezpieczeniowe i kierunki rozwoju wpisują się w to, co oferują inne wiodące podmioty europejskie. Dla przykładu, klienci PZU korzystają z produktów cyber, które są bliźniacze do ubezpieczeń oferowanych na rynku londyńskim.
Patrząc szerzej, wyraźną różnicę możemy zauważyć pomiędzy rynkiem amerykańskim i europejskim. Nie jest to jednak kwestia różnic w samych zagrożeniach cybernetycznych czy dostępnych produktach ubezpieczenia, lecz w tym jak zdarzenia cybernetyczne przekładają się na rodzaje kosztów, które są pokrywane z umów ubezpieczenia. W dużej mierze wynika to z różnic systemów prawnych i specyfiki dochodzenia odszkodowań w USA.
Przed czym w rezultacie chronią cyber ubezpieczenia, a przed czym w praktyce nie? Jakie są wyłączenia?
Istotą ubezpieczeń cyber jest ubezpieczenie kosztów wynikających z naruszenia danych. Jest to niezmienne od końca lat dziewięćdziesiątych XX wieku, kiedy to firmy zaczęły digitalizować swoje operacje na dużą skalę i diametralnie wzrosła rola danych w wartości przedsiębiorstw. W taki sam sposób definiowane są również dane na potrzeby ubezpieczenia. Mam na myśli dane elektroniczne, w tym oprogramowania i licencje oraz dane w papierze.
To, co się zmieniło w porównaniu do wspomnianych lat dziewięćdziesiątych to charakter naruszeń i zagrożeń. Dziś najczęściej dochodzi do działalności hakerskiej, kradzieży, żądań okupu, a także błędów pracowników, które skutkują naruszeniem danych.
Czytaj też
Ubezpieczenie PZU chroni w przypadku wystąpienia wszystkich tych naruszeń, bez względu na ich charakter. Zakres ubezpieczenia jest szeroki i obejmuje m.in. organizację i pokrycie kosztów wsparcia ze strony specjalistów (m.in. informatyków śledczych, prawników, agencji PR), którzy pomogą zminimalizować skutki zdarzenia, rekompensatę utraconego zysku oraz pokrycie wydatków niezbędnych do podtrzymania działalności firmy z powodu m.in. ataku hakerskiego, czy też pokrycie kar i kosztów związanych z naruszeniem norm akceptowania płatności kartami płatniczymi.
Jeśli chodzi o wyłączenia, to w ubezpieczeniu ryzyk cybernetycznych nie ma przede wszystkim pokrycia dla szkód osobowych i rzeczowych, a także – jak w przypadku innych produktów – wyłączone są szkody spowodowane działaniami wojennymi.
Co w przypadku cyberataku lub wojny, której elementem są cyberataki? Czy w ubezpieczeniu cyber są wyłączenia takich zdarzeń?
Definicja wojny to jeden z trudniejszych tematów, który w środowisku ubezpieczeniowym jest szeroko omawiany od lat. Jak wspomniałam, w większości warunków ubezpieczenia stosowane są wyłączenia szkód spowodowanych w związku z działaniami wojennymi. Kluczowym dla zastosowania tego wyłączenia jest zdefiniowanie samej operacji cybernetycznej jako wojennej i skuteczne przypisanie odpowiedzialności za tę operację danemu państwu.
Pani zdaniem rynek cyberubezpieczeń w Polsce rozwija się czy kurczy? Jakie są prognozy w związku z faktem choćby sytuacji geopolitycznej?
Kilkanaście lat temu zaczęliśmy od miękkiego rynku i szerokich warunków ubezpieczenia, z biegiem lat przeszliśmy radykalnie do zaostrzonych zasad oceny ryzyka i wzrostu składek za ubezpieczenie, dziś do gry wkracza coraz większa wiedza, doświadczenie i stabilizacja.
Obecnie rynek w Polsce notuje stabilny wzrost, który jest pochodną zainteresowania ubezpieczeniem wśród klientów korporacyjnych. Duże znaczenie w kształtowaniu ubezpieczeń cyber ma obecna sytuacja geopolityczna, która od przedsiębiorców wymaga wzmocnienia zabezpieczeń, a od zakładów ubezpieczeń umiejętnej interpretacji skali zagrożenia i dopasowania oferty do wymagań rynku.
Dziękuję za rozmowę.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].