Tekst powstał we współpracy z firmą ERGO Hestia

Towarzystwa ubezpieczeń i ich klienci muszą przygotować się na cyfrowe zagrożenia. – Ataków jest coraz więcej, przy czym nie muszą być to działania ukierunkowane na konkretną firmę, możemy mieć do czynienia z ogólnym atakiem typu ransomware, jakim był np. WannaCry. Doczekaliśmy czasów, w których przedsiębiorcy zadają sobie pytanie kiedy, a nie czy zostaną zaatakowani – wskazuje przedstawiciel Biura Ubezpieczeń Podmiotów Gospodarczych ERGO Hestii Tomasz Dolata.

– Ubezpieczyciele powinni się zastanowić, jak rozwijać i ulepszać swoje produkty z zakresu cyberochrony, a nie, czy je wprowadzać – podkreśla.

Audyt prawdę ci powie

Firma to informacja, czyli dane, które można bezpowrotnie utracić: bazy danych, programy sterujące produkcją, systemy operacyjne. Ich odtworzenie, odblokowanie dostępu lub zakup nowego oprogramowania generuje z reguły znaczne koszty. – Polisa cyber powinna je pokrywać te, które są niezbędne, by przywrócić stan sprzed wystąpienia szkody. Atak hakerski może także zakłócić ciągłość działania przedsiębiorstwa. Wówczas niezbędne może okazać się ubezpieczenie utraty zysku, które pozwoli firmie powrócić do kondycji finansowej sprzed ataku – zaznacza przedstawiciel Biura Ubezpieczeń Odpowiedzialności Cywilnej ERGO Hestii Maciej Kleina.

Obie strony - klient i ubezpieczyciel - przed zawarciem umowy ubezpieczeniowej powinni właściwie ocenić ryzyko. Odbywa się to na dwa sposoby – na bazie informacji z tzw. kwestionariusza oraz wyników audytu u klienta. W przypadku ryzyka cyber przeprowadzany jest audyt teleinformatyczny – testy penetracyjne (pentesty).

– Razem z inżynierami z Hestii Loss Control stworzyliśmy nowoczesne laboratoria predykcyjno-prewencyjne, w tym laboratorium analizy ryzyk cybernetycznych. Dzięki nim oferujemy naszym klientom możliwość analizy potencjalnych scenariuszy zagrożeń w warunkach wirtualnych, ale również w codziennej biznesowej praktyce – podkreśla zarządzający projektem w Biurze Ubezpieczeń Podmiotów Gospodarczych ERGO Hestii Łukasz Białous.

Kwestionariusz dostarcza sporo informacji ogólnych odnośnie do skali przedsiębiorstwa i stosowanych zabezpieczeń, natomiast przeprowadzenie audytu teleinformatycznego daje najszersze spektrum wiedzy o bezpieczeństwie firmy.

– Pentesty realizowane są w w pełni kontrolowanych warunkach, zapewniając klientowi bezpieczeństwo informacji. Już w trakcie badania ostrzegamy o krytycznych lukach w systemie bezpieczeństwa, rekomendując działania naprawcze. Po zakończeniu pentestu wspólnie sporządzamy szczegółowy raport zawierający podsumowanie dla zarządu oraz służb informatycznych firmy. Oprócz podniesienia bezpieczeństwa dzięki naszym rekomendacjom przedsiębiorcy mogą optymalizować wydatki na zabezpieczenia teleinformatyczne – podkreśla Dariusz Włodarczyk, ekspert ds. cyberbezpieczeństwa Hestia Loss Control.

– Pentest z założenia przynosi obopólną korzyść jeszcze przed zawarciem umowy ubezpieczeniowej. Z jednej strony ubezpieczyciel sprawdza poziom bezpieczeństwa infrastruktury technicznej klienta, z drugiej przedsiębiorca uzyskuje pełny obraz zabezpieczeń informatycznych własnej firmy – tłumaczy Tomasz Dolata.

Kompleksowa polisa

Prowadzący do sparaliżowania działalności firmy atak hakerski dla niektórych może być dopiero początkiem kłopotów. Szkody wizerunkowe, konieczność zabezpieczenia nieutraconych danych lub zasięgnięcia porady kancelarii prawnej to tylko niektóre z dalszych konsekwencji ataku.

– Skala zagrożeń rośnie w kontekście wymogów nowej ustawy o ochronie danych osobowych (RODO), która zacznie obowiązywać od maja tego roku – przypomina dyrektor Biura Prawnego ERGO Hestii Ewa Jezierewska. Wskazuje, że kary za naruszenie bezpieczeństwa danych osobowych (klientów czy pracowników) prowadzące do przypadkowego lub niezgodnego z prawem (umyślnego) ich zniszczenia, utracenia, zmodyfikowania czy nieuprawnionego ujawnienia mogą sięgać nawet 20 mln euro lub 4 proc. całkowitego rocznego światowego obrotu firmy.

Istotnym elementem polisy cyber jest odpowiedzialność cywilna. Nieuwaga pracowników przedsiębiorstwa może skutkować szkodą (przestój, utracone korzyści, koszty odzyskania danych) i całym wachlarzem roszczeń ze strony osób trzecich. – Administrator danych osobowych odpowiada również za ich przetwarzanie. Jeśli nie zabezpieczyli infrastruktury firmy wystarczająco dobrze, a wirus doprowadził do wycieku danych, mogą pojawić się roszczenia o pokrycie strat i zadośćuczynienie w stosunku do osób pokrzywdzonych, szczególnie jeśli dane będą dotyczyć dokumentacji medycznej lub poufnych informacji handlowych – podkreśla Dolata.

Ubezpieczyciel musi dostarczyć klientowi najlepszy assistance szkodowy. Oprócz starannej likwidacji szkody w ramach własnych struktur ubezpieczyciel korzysta z usług wyspecjalizowanych, zewnętrznych firm zajmujących się informatyką śledczą. Pozwala ona wstrzymać atak i zminimalizować czynione przezeń szkody. – Polisa zawsze powinna chronić klienta na wypadek ryzyk, które występują przez cały czas trwania umowy ubezpieczenia, a nie tylko w momencie jej zawierania – podkreśla Kleina.