Ubezpieczenie od cyberataku. Przed czym chroni firmy?

Cyberatak NotPetya zapisał się w historii międzynarodowego świata cyberprzestępczego. Incydent przyczynił się do strat szacowanych globalnie na około 10 mld dolarów.

Amerykańska firma Mondelez - która odczuła skutki gigantycznych cyberataków NotPetya w 2017 roku - pozwała szwajcarską firmę ubezpieczeniową Zurych Insurance za odmowę wypłaty odszkodowania. Chodziło o straty poniesione w związku z tym zdarzeniem. Gra toczyła się o 100 mln dolarów. Ostatecznie obie strony doszły do porozumienia.

Jedna z firm, która również padła wtedy ofiarą hakerów – gigant farmaceutyczny Merck – także ubiegał się o odszkodowanie. Jak w Polsce wygląda rynek ubezpieczeń od cyberataków? Czy firmy często decydują na taki rodzaj zabezpieczenia swoich danych i pieniedzy na wypadek incydentu?

Nikola Bochyńska, CyberDefence24: Wraz z cyfryzacją naszego życia pojawia się coraz więcej zagrożeń. Część firm chce ubezpieczyć się od ewentualnych skutków incydentów. Jak wygląda obecnie rynek cyberubezpieczeń, w porównaniu do sytuacji jeszcze sprzed 5-10 lat?

Monika Ściuba, Koordynatorka ds. Underwritingu w Biurze Analiz i Oceny Ryzyka Ubezpieczeń Korporacyjnych, PZU SA: Obserwujemy, że na przestrzeni ostatnich 5-10 lat wraz ze wzrostem i bardziej wyrafinowanymi cyberatakami wzrosło zainteresowanie ubezpieczeniami cybernetycznymi.

Spektakularne i szeroko komentowane w mediach ataki hakerskie, takie jak np. Not-Petya z 2017, który swoim zasięgiem objął firmy na całym świecie, spowodowały z jednej strony wzrost świadomości cyberzagrożeń wśród przedsiębiorców i poszukiwanie możliwości ubezpieczenia tych ryzyk, zaś z drugiej strony wymusiło zmianę podejścia ubezpieczycieli do oceny ryzyk cybernetycznych i ich adekwatnej wyceny. Ubezpieczyciele, którzy zdecydowali się pozostać na rynku cyber ryzyk, skupili się na zapewnieniu stabilizacji i dostępności produktów.

Dziś w PZU oferujemy ubezpieczenia dla małych i średnich firm oraz dużych przedsiębiorstw. Nasze ubezpieczenie zapewnia pomoc i ochronę w przypadku zdarzeń cybernetycznych, w tym naruszenia danych osobowych. Chroni m.in. przed skutkami ataków cybernetycznych, błędami pracowników, konsekwencjami naruszenia przepisów RODO.

Jak wygląda polski rynek, w porównaniu do zagranicznego? Gdzie jest najbardziej rozwinięty?

Polski rynek ubezpieczeń stanowi ważną część rynku europejskiego. Nasze produkty ubezpieczeniowe i kierunki rozwoju wpisują się w to, co oferują inne wiodące podmioty europejskie. Dla przykładu, klienci PZU korzystają z produktów cyber, które są bliźniacze do ubezpieczeń oferowanych na rynku londyńskim.

Patrząc szerzej, wyraźną różnicę możemy zauważyć pomiędzy rynkiem amerykańskim i europejskim. Nie jest to jednak kwestia różnic w samych zagrożeniach cybernetycznych czy dostępnych produktach ubezpieczenia, lecz w tym jak zdarzenia cybernetyczne przekładają się na rodzaje kosztów, które są pokrywane z umów ubezpieczenia. W dużej mierze wynika to z różnic systemów prawnych i specyfiki dochodzenia odszkodowań w USA.

Przed czym w rezultacie chronią cyber ubezpieczenia, a przed czym w praktyce nie? Jakie są wyłączenia?

Istotą ubezpieczeń cyber jest ubezpieczenie kosztów wynikających z naruszenia danych. Jest to niezmienne od końca lat dziewięćdziesiątych XX wieku, kiedy to firmy zaczęły digitalizować swoje operacje na dużą skalę i diametralnie wzrosła rola danych w wartości przedsiębiorstw. W taki sam sposób definiowane są również dane na potrzeby ubezpieczenia. Mam na myśli dane elektroniczne, w tym oprogramowania i licencje oraz dane w papierze.

To, co się zmieniło w porównaniu do wspomnianych lat dziewięćdziesiątych to charakter naruszeń i zagrożeń. Dziś najczęściej dochodzi do działalności hakerskiej, kradzieży, żądań okupu, a także błędów pracowników, które skutkują naruszeniem danych.

Ubezpieczenie PZU chroni w przypadku wystąpienia wszystkich tych naruszeń, bez względu na ich charakter. Zakres ubezpieczenia jest szeroki i obejmuje m.in. organizację i pokrycie kosztów wsparcia ze strony specjalistów (m.in. informatyków śledczych, prawników, agencji PR), którzy pomogą zminimalizować skutki zdarzenia, rekompensatę utraconego zysku oraz pokrycie wydatków niezbędnych do podtrzymania działalności firmy z powodu m.in. ataku hakerskiego, czy też pokrycie kar i kosztów związanych z naruszeniem norm akceptowania płatności kartami płatniczymi.

Jeśli chodzi o wyłączenia, to w ubezpieczeniu ryzyk cybernetycznych nie ma przede wszystkim pokrycia dla szkód osobowych i rzeczowych, a także – jak w przypadku innych produktów – wyłączone są szkody spowodowane działaniami wojennymi.

Co w przypadku cyberataku lub wojny, której elementem są cyberataki? Czy w ubezpieczeniu cyber są wyłączenia takich zdarzeń?

Definicja wojny to jeden z trudniejszych tematów, który w środowisku ubezpieczeniowym jest szeroko omawiany od lat. Jak wspomniałam, w większości warunków ubezpieczenia stosowane są wyłączenia szkód spowodowanych w związku z działaniami wojennymi. Kluczowym dla zastosowania tego wyłączenia jest zdefiniowanie samej operacji cybernetycznej jako wojennej i skuteczne przypisanie odpowiedzialności za tę operację danemu państwu.

Pani zdaniem rynek cyberubezpieczeń w Polsce rozwija się czy kurczy? Jakie są prognozy w związku z faktem choćby sytuacji geopolitycznej?

Kilkanaście lat temu zaczęliśmy od miękkiego rynku i szerokich warunków ubezpieczenia, z biegiem lat przeszliśmy radykalnie do zaostrzonych zasad oceny ryzyka i wzrostu składek za ubezpieczenie, dziś do gry wkracza coraz większa wiedza, doświadczenie i stabilizacja.

Obecnie rynek w Polsce notuje stabilny wzrost, który jest pochodną zainteresowania ubezpieczeniem wśród klientów korporacyjnych. Duże znaczenie w kształtowaniu ubezpieczeń cyber ma obecna sytuacja geopolityczna, która od przedsiębiorców wymaga wzmocnienia zabezpieczeń, a od zakładów ubezpieczeń umiejętnej interpretacji skali zagrożenia i dopasowania oferty do wymagań rynku.

Dziękuję za rozmowę.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].