Ubezpieczenie od wirusów i hakerów

Niebezpieczeństwa, na jakie narażone jest to, co posiadają przedsiębiorcy, zmieniają się tak samo szybko jak rzeczywistość. Kiedyś obawiali się ognia, powodzi, gradu, rabusiów. Dzisiaj realniejsze i bardziej niebezpieczne są inne ryzyka, takie jak: kradzież bazy danych klientów, poznanie tajemnic technologicznych przedsiębiorstwa czy wpuszczenie złośliwego oprogramowania unieruchamiającego portale internetowe do obsługi klientów. Tego rodzaju zdarzenia określa się modnym słowem „cyberryzyka" albo wręcz „cybercrime", czyli inaczej przestępstwa komputerowe (informatyczne, internetowe).

Aktualizacja: 10.04.2016 10:58 Publikacja: 10.04.2016 10:00

Ubezpieczenie od wirusów i hakerów

Foto: 123rf.com

Każdego dnia dostęp do sieci internetowej uzyskuje dwa razy więcej urządzeń niż jest ludzi na świecie. Dzieje się tak dlatego, że na każde domostwo przypada ich co najmniej kilka. Z siecią łączy się każdy tablet, smartfon, telefon, komputer, a niekiedy nawet... pęk kluczy. Nadajniki mają na szyjach nawet krowy pasące się na łąkach południowej Walii. To naszpikowanie bramkami dającymi wejście do sieci czyni wręcz banalnym uzyskanie dostępu do danych firm przez osoby nieuprawnione. Przestępstwa komputerowe kosztują bilony dolarów rocznie, zajmują się nimi unijne instytucje, uniwersytety, ministerstwa i organizacje pozarządowe większości krajów świata. Niestety, skutek tych działań jest wciąż niewielki – co chwila banki ogłaszają przerwy w dostępie do pieniędzy, instytucje publiczne kajają się z powodu utraty danych, zaś portale społecznościowe rwą szaty z powodu wypłynięcia „prywatnych" zdjęć i e-maili.

Atak z sieci i co dalej

Wdarcie się do systemów komputerowych może przynieść szkody dwojakiego rodzaju. Najbardziej bolesne są te z tytułu strat firmy. Przerwa w działalności, utracona baza klientów czy ukradziona własność intelektualna to znaczące straty dla każdego przedsiębiorstwa. Często czyny te mogą zagrozić jego dalszej egzystencji. Podobne skutki może mieć ingerencja w procesy produkcyjne, system zarządzania czy system księgowy.

Równie dotkliwe finansowo mogą się okazać pretensje klientów, których danych firmowych czy osobowych nie upilnowano. Z ich strony można się spodziewać roszczeń cywilnoprawnych oraz żądania wykonania wielu kosztownych czynności przywracających i zabezpieczających.

Przykład

Pod koniec roku do firmy przyszedł e-mail zawierający rzekomo informacje o rozliczeniu salda księgowego. Sekretariat przekierował e-maila do księgowości, która miała starsze komputery. Tam otwarto załącznik, który zainfekował skrzynkę e-mailową i sam zaczął wysyłać dziesiątki podobnych e-maili do wszystkich kontrahentów firmy. Sparaliżowało to pracę wielu ludzi na kilka tygodni.

Ryzyko ujarzmione

Tam, gdzie powstaje zagrożenie uszczerbku w mieniu bądź ryzyko obowiązku prawnego pokrycia strat poniesionych przez innych, pojawiają się ubezpieczenia. Jednak ubezpieczenie jest jedynie końcowym elementem dużo obszerniejszego systemu zwanego zarządzaniem ryzykiem. W przypadku ryzyk informatycznych jego prawidłowe funkcjonowanie jest ważniejsze niż gdziekolwiek indziej. Ponadto jego jakość wpływa na koszt ubezpieczenia, a nawet może być warunkiem jego zawarcia. O zarządzanie ryzykiem ubezpieczyciel zapyta przedsiębiorcę przy wypełnianiu wniosku lub może nawet chcieć dokonać jego kontroli.

Są następujące etapy zarządzania ryzykiem informatycznym:

- Ramy instytucjonalne – podstawowym elementem procesu zarządzania ryzykami informatycznymi jest stworzenie ram instytucjonalnych. Potrzebny jest człowiek (zespół) z odpowiednią wiedzą i doświadczeniem. Jego pozycja w przedsiębiorstwa nie może być podrzędna. Stworzenie stanowiska szefa bezpieczeństwa informatycznego obniża straty związane z naruszeniami internetowymi nawet o 30 proc.

- Scenariusze katastroficzne – następnym krokiem jest ciągłe tworzenie możliwych scenariuszy ataków i incydentów oraz sposobów postępowania w razie ich zaistnienia. Określa się zadania i przydziela kompetencje w przypadku stwierdzenia naruszeń.

- Praca z personelem i otoczeniem – celem cyberataku mogą stać się systemy działające zarówno wewnątrz, jak i na zewnątrz firmy. Ważną rzeczą jest stała praca z zatrudnionymi (szkolenia, monitorowanie przestrzegania procedur) oraz podmiotamii współpracującymi (dostawcy, podwykonawcy). Ci ostatni nie mogą mieć systemów o niższym poziomie zabezpieczeń, gdyż stwarza to okazję do łatwego przedostania się do systemu.

- Dynamiczne zmiany – ważnym elementem procesu zarządzania ryzykiem jest jego stałe ulepszanie. Sposoby, w jaki dochodzi do naruszeń, się zmieniają. Również zabezpieczenia muszą być stale ulepszane. Zbieranie informacji o zagrożeniach, ich ocena i reagowanie nie pozwolą systemowi skostnieć. Dynamika cyberprzestępczości jest jego najważniejszą cechą i trzeba sobie z nią radzić.

- Transfer ryzyka – ostatnim etapem zarządzania ryzykiem może być (nie musi) transfer jego finansowych konsekwencji na ubezpieczyciela.

Metoda ubezpieczeniowa

Włączenie do systemu ochrony informatycznej metodyki ubezpieczeniowej jest wskazane z kilku powodów.

Po pierwsze, w fazie zawierania ubezpieczenia ubezpieczyciel ocenia poziom zabezpieczeń i procedury zarządzania ryzykiem informatycznym. Możliwe jest korzystanie z jego wiedzy pozyskanej w przypadkach szkodowych.

Po drugie, ubezpieczyciel weźmie na siebie ciężar rozliczenia szkód, jakich doznały osoby trzecie – klienci, dostawcy i inni.

Po trzecie, odszkodowanie z tytułu poniesionych strat (kosztów, przestojów) być może pozwoli przetrwać na rynku.

Jednak zawarcie ubezpieczenia od ryzyk informatycznych nie jest rzeczą prostą i standardową. Ubezpieczyciele boją się tzw. selekcji negatywnej, tj. zainteresowania ubezpieczeniem jedynie tych podmiotów, które są, albo spodziewają się bycia celem ataków.

Przykład

W związku z wykryciem nadużyć przy zakupie sprzętu komputerowego w banku zwolniono kilkunastu pracowników IT. Przy poszukiwaniu ubezpieczenia w zakresie ryzyk informatycznych ubezpieczyciele złożyli oferty jedynie w zakresie sprzętu. Odmówili zawarcia ubezpieczenia od ataków z sieci, tłumacząc to bardzo dużym ryzykiem.

Pierwsze oferty, tzw. polis cybercrime (Allianz, Ergo Hestia, AIG) nie są produktami prostymi. Ich warunki są przeniesione z innych rynków, co już powoduje problemy terminologiczne wynikające z wad przekładu na język polski (słownik terminów stanowi często 30 proc. ich zawartości). Dodatkowo wymagają one wiedzy informatycznej, gdyż cały czas odwołują się do niej w wielu kwestiach. Sprawia to trudności związane z prawidłowym zrozumieniem ich rzeczywistego zakresu i sposobu funkcjonowania. Uogólniając można stwierdzić, że polisa cybercrime zawiera standardowo ubezpieczenie odpowiedzialności cywilnej oraz ubezpieczenie strat własnych firmy.

Odpowiedzialność cywilna

Podstawowe ubezpieczenie, na które chętnie zgadzają się polscy ubezpieczyciele, dotyczy objęcia skutków finansowych powstania odpowiedzialności odszkodowawczej firmy. Przy czym chodzi o szkody wywołane niewłaściwym zabezpieczeniem danych powierzonych nam przez innych: klientów, osoby trzecie, dostawców. Zabezpieczenie nie jest właściwe, gdy zaistniały błędy i zaniedbania. Zaś ich następstwem jest naruszenie danych osobowych lub innych informacji pochodzących od podmiotów gospodarczych (np. tajemnica handlowa). Oddzielnym przypadkiem jest działalność medialna (multimedialna). Tu możliwe są też inne delikty, np.: publikacja nieprawdziwych informacji, zniesławienie, naruszenie praw autorskich i inne.

Ubezpieczenie odpowiedzialności cywilnej może funkcjonować według różnych systemów. Najprostszy zakłada, że odpowiedzialność ubezpieczeniowa idzie w ślad za odpowiedzialnością cywilną. Dla zaistnienia odpowiedzialności ubezpieczeniowej ważny jest fakt wywołujący szkodę (data popełnienia błędu, zaniedbania).

W ubezpieczeniu cybercrime przyjęto jednak inny system (tzw. system wniesienie roszczenia – claims made). Zakłada on, że odpowiedzialność z polisy ubezpieczeniowej powstanie dopiero w chwili, gdy na adres sprawcy lub ubezpieczyciela wpłynie roszczenie poszkodowanego.

Przykład

Firma zajmująca się wkładaniem do czasopism insertów (reklam, próbek towaru) i ich wysyłką, zgodnie z dyspozycją zleceniodawcy, zmieniając siedzibę, pozostawiła w jednym z pomieszczeń stare, i jej zdaniem bezużyteczne, komputery. Lokal był pusty dwa lata. Nowy najemca otrzymał zgodę na przejęcie komputerów. Uznał, że ma prawo do porzuconych baz klientów, które sprzedał. Jedno z wydawnictw stwierdziło kradzież bazy abonentów jej czasopisma i złożyło roszczenie do firmy insertowej. Na szczęście ta zawarła już ubezpieczenie, z którego wypłacono odszkodowanie.

Zaletą systemu claims made jest to, że zaniedbanie mogło powstać dużo wcześniej i o ile ubezpieczający o nim nie wiedział, nie ma to znaczenia dla ochrony ubezpieczeniowej. Wadą tego systemu jest brak możliwości składania roszczeń w przypadku, gdy ochrona ubezpieczeniowa z jakiegoś powodu wygasła (brak wznowienia polisy). Aby termin ten przedłużyć, ustala się tzw. dodatkowy okres składania roszczeń (np. 60 dni). Jednak najbardziej godne polecenia jest ciągłe odnawianie polisy ubezpieczeniowej cybercrime.

Szkody własne

Ubezpieczenie własnych strat z powodu ataku z sieci jest trudniejsze do pozyskania. Oferta rynkowa jest uboga. Ubezpieczyciele stosują różne rozwiązania. To ubezpieczający musi dokonać wyboru formuły naprawienia szkód własnych najlepiej odpowiadającego specyfice działalności. Proponowanych jest kilka rozwiązań modelowych. I tak ubezpieczyciel może zobowiązać się do pokrycia szkody z tytułu przerwy w działalności spowodowanej atakiem z sieci. Jako przerwę rozumie się też jej spowolnienie. Jest to najobszerniejsze ujęcie szkody własnej. Bazuje ono na koncepcji tradycyjnego ubezpieczenia przerw w działalności (business interruption – BI) wywołanego np. szkodą pożarową. Podobnie jak w BI szkoda jest wyliczana jako czas konieczny do odzyskania sprawności firmy. Suma ubezpieczenia jest wyrażona nie tylko kwotowo, ale też w postaci okresu odszkodowawczego. Podobnie ujmują zakres ochrony ubezpieczyciele, proponując odszkodowanie liczone na bazie szkód z tytułu zakłócenia działania sieci komputerowej (awaria systemu).

Odmienne podejście prezentują ubezpieczyciele koncentrujący się na poszczególnych pozycjach kosztowych. Ich szczegółowe zdefiniowanie pozwala ubezpieczycielowi na obniżenie ryzyka, jednak poszkodowany nie otrzyma odszkodowania, gdy szkoda przybierze inną formę. I tak pozycją kosztową, jaką zwykle skłonni są pokryć ubezpieczyciele, jest praca zewnętrznych ekspertów mających stwierdzić atak sieciowy, wyjaśnić jego mechanizm, pomóc usunąć przyczyny, skutki i zaproponować zmiany zabezpieczające na przyszłość.

Zewnętrzni specjaliści będą również opłaceni przez ubezpieczyciela, gdy zaistnieje potrzeba komunikacji kryzysowej z mediami, jak również gdy konieczne będzie odzyskanie utraconej reputacji. Na podobnej zasadzie ubezpieczyciel obejmie koszty porad prawnych we wszystkich fazach zajścia szkodowego, jak i koszty reprezentowania przed organem ochrony danych osobowych, organami administracji oraz sądami.

Ubezpieczyciele mogą również zobowiązać się do pokrycia kosztów tzw. cyberwymuszenia (cyberterroryzmu). Odszkodowanie obejmie kwotę, jaką ubezpieczony w porozumieniu z ubezpieczycielem zgodzi się zapłacić za uniknięcie lub ustanie ataku agresora. Oczywista jest wtedy ścisła współpraca z organami ścigania, o ile doszło do naruszenia prawa.

Przykład

Firma ubezpieczeniowa, zmieniając nazwę, nie była zainteresowana swoją starą domeną internetową. Została ona legalnie sprzedana i okazało się, że na adresy e-mailowe utworzone na bazie starej domeny są kierowane informacje poufne. Nabywca domeny zaproponował jej odsprzedaż za wysoką kwotę. Ubezpieczyciel wypłacił odszkodowanie w wysokości ceny odkupienia domeny.

Jakie wyłączenia

Zarówno szkody własne, jak i z odpowiedzialności cywilnej będą poza zakresem ubezpieczenia, o ile trafią na listę wyłączeń. Standardowe wyłączenie dotyczy np. takich przypadków, jak szkody z odpowiedzialności kontraktowej, zanieczyszczenia środowiska, szkód dotyczących papierów wartościowych i prezentacji sprawozdań finansowych. Warto zwrócić uwagę na wyłączenie zdarzeń wynikających z zastosowania wadliwego, przestarzałego czy posiadającego wady oprogramowania.

Uboga podaż tego rodzaju ubezpieczeń sprawia, że firmy ubezpieczeniowe rygorystycznie podchodzą do wyłączeń odpowiedzialności związanych z poziomem zabezpieczenia danych. Najgroźniejsza jest dotkliwość w postaci odmowy wypłaty odszkodowania, z jaką spotka się ubezpieczony, gdy jego zachowanie okaże się niedbałe w stopniu rażącym bądź umyślne. Ubezpieczyciele chętnie rozciągają klasyczną formułę kodeksową i zrównują winę kwalifikowaną ubezpieczającego z działaniami charakteryzowanymi jako: przestępcze, oszukańcze, nieuczciwe, a nawet złośliwe. Stwierdzenie takiego przypadku przyniesie nie tylko skutek w postaci odmowy wypłaty odszkodowania, ale też obowiązek zwrotu zaliczkowanych kosztów ochrony prawnej.

Zdaniem autora

Paweł Sikora, prawnik, specjalista ubezpieczeniowy

Sieci komputerowe wszechwładnie panują nad życiem prywatnym i gospodarczym. Informacja jest jak krew w organizmie. Jej bezpieczeństwo staje się priorytetem. Do systemu ochrony warto włączyć ubezpieczenia. Te pozwolą na transfer konsekwencji finansowych ataków z sieci oraz błędów przedsiębiorców. Nie oznacza to, że posiadanie polisy pozbawi przedsiębiorców trosk związanych z ryzykami cybernetycznymi. Te bywają skomplikowane i wymagają wielu wysiłków, co jednak opłaci się w przypadku ataku z sieci.

Polska, jako jedyny, dodajmy, kraj w UE, od wielu lat należy do grupy 50 najbardziej narażonych na ataki komputerowe państw na świecie (obecnie na 37. miejscu – liczonym od tyłu). Zainteresowanie pokryciem ubezpieczeniowym powinno więc być duże. Niestety, krajowy rynek ubezpieczeń powoli reaguje na nowe potrzeby. Wynika to najprawdopodobniej z małej innowacyjności krajowych ubezpieczycieli. Faktem jest również, że zaniedbania w stosowaniu standardów zarządzania ryzykiem informatycznym podwyższają ich ryzyko.

Każdego dnia dostęp do sieci internetowej uzyskuje dwa razy więcej urządzeń niż jest ludzi na świecie. Dzieje się tak dlatego, że na każde domostwo przypada ich co najmniej kilka. Z siecią łączy się każdy tablet, smartfon, telefon, komputer, a niekiedy nawet... pęk kluczy. Nadajniki mają na szyjach nawet krowy pasące się na łąkach południowej Walii. To naszpikowanie bramkami dającymi wejście do sieci czyni wręcz banalnym uzyskanie dostępu do danych firm przez osoby nieuprawnione. Przestępstwa komputerowe kosztują bilony dolarów rocznie, zajmują się nimi unijne instytucje, uniwersytety, ministerstwa i organizacje pozarządowe większości krajów świata. Niestety, skutek tych działań jest wciąż niewielki – co chwila banki ogłaszają przerwy w dostępie do pieniędzy, instytucje publiczne kajają się z powodu utraty danych, zaś portale społecznościowe rwą szaty z powodu wypłynięcia „prywatnych" zdjęć i e-maili.

Pozostało 92% artykułu
2 / 3
artykułów
Czytaj dalej. Kup teraz
Prawo karne
Przeszukanie u posła Mejzy. Policja znalazła nieujawniony gabinet
Prawo dla Ciebie
Nowe prawo dla dronów: znikają loty "rekreacyjne i sportowe"
Edukacja i wychowanie
Afera w Collegium Humanum. Wykładowca: w Polsce nie ma drugiej takiej „drukarni”
Edukacja i wychowanie
Rozporządzenie o likwidacji zadań domowych niezgodne z Konstytucją?
Praca, Emerytury i renty
Są nowe tablice GUS o długości trwania życia. Emerytury będą niższe