#RZECZoBIZNESIE: Dariusz Gołębiewski: Cyberataki zmieniają sposób myślenia ubezpieczycieli

W jakim stopniu kompensacja szkód związanych z cyberatakami to wyzwanie dla rynku ubezpieczeniowego?

Jest to największe wyzwanie w historii z jakim rynek ubezpieczeniowy ma do czynienia. Proszę sobie wyobrazić atak, który spowoduje efekt domina, czy jednoczesny atak na kilka kluczowych podmiotów z infrastruktury krytycznej. Konsekwencje mogą być trudne do przewidzenia. Wszystkie modele, które wytworzyły firmy ubezpieczeniowe, nie są odpowiednie do tego rodzaju zagrożeń. Musieliśmy zmienić sposób myślenia o ryzyku i dostosować się do cyberzagrożeń.

Np. atak na sieć przesyłu prądu to gigantyczne straty, a musielibyście wypłacać odszkodowanie.

Są to trudne do przewidzenia straty. Bazujemy na pewnych założeniach związanych z poziomem szkód. Podjęliśmy prace z partnerami z przemysłu. Zaczęliśmy rozwijać ten problem i szukać rozwiązań, żeby dostarczyć klientom, głównie z infrastruktury krytycznej, rozwiązania w zakresie cyberbezpieczeństwa przemysłowego. To zupełnie inne zagrożenie niż na sieci IT. Rozwinęliśmy tę działkę głównie w PZU Labie. Możemy zaoferować najbardziej zaawansowane rozwiązanie na rynku, w zakresie cyberbezpieczeństwa.

Ma Pan przykład firm ubezpieczeniowych i dużych strat związanych z koniecznością wypłaty wielkich odszkodowań?

Były dosyć poważne zdarzenia np. na rynku niemieckim. W jednej z hut został uszkodzony piec hutniczy. Spowodowało to gigantyczne szkody związane z bezpośrednimi stratami, ale również z przestojem działalności. Straty ubezpieczycieli wynikają głównie z przestojów działalności. Zeszły rok był obfity w zdarzenia w przemyśle. Chodzi o różnego rodzaju zagrożenia związane z wirusem Petya, które też dotknęły Polskę. Ponadto WannaCry spowodował poważne problemy w przemyśle samochodowym, straty dużych producentów części i podzespołów. Liczb nie podano oficjalnie, ale szacuje się, że ponad 50 proc. podmiotów przemysłowych zostało zaatakowanych. Straty szacuje się na 0,5 mld dol. na podmiot.

PZU Lab może zapobiegać takim zdarzeniom?

Jest to niezwykle trudne. Możemy stymulować naszych klientów i tak ułożyliśmy nasz produkt ubezpieczeniowy. Doceniamy pracę klienta nad ryzykiem. Klient, który pracuje nad cyberbezpieczeństwem, może liczyć, że jego składka będzie niższa niż klienta, który nic nie robi w tym zakresie. Najsłabszym ogniwem jest człowiek. 80 proc. awarii w przemyśle spowodowane jest błędem ludzkim. W przypadku szkód związanych z atakami cybernetycznymi statystyki te mogą być większe. Postawiliśmy na szkolenia ludzi. Mamy pakiet szkoleń przygotowanych pod kątem rozwoju kompetencji w zakresie cyberbezpieczeństwa. Chcemy to zaoferować razem z produktem ubezpieczeniowym. Zależy nam, żeby klienci pracowali nad ryzykiem we własnej organizacji, budowali struktury, uświadamiali pracowników o zagrożeniach. Chcemy ich w tym wspierać.

Hakerzy podszywają się pod PZU atakując klientów?

Nie słyszałem o takim ataku. Natomiast jest to powszechne, szczególnie w przypadku dystrybutorów mediów itp.

Grupa robocza „Cyber Industry" powstała pod patronatem PZU. Są tam przedstawiciele uczelni technicznych i różni eksperci. Jaki jest jej cel?

Zbudowaliśmy grupę roboczą, żeby przejrzeć, co jest dostępne w Polsce. Zależy nam na rozwoju polskich technologii w zakresie cyberbezpieczeństwa. Zostały wypracowane konkretne rozwiązania, które ciągle dopracowujemy, żeby móc je zaoferować. Mamy nadzieję, że wkrótce uda się zaproponować klientom rozwiązania, które wesprą ich w bieżącym zabezpieczeniu ich instalacji. W „Cyber Industry" skupiamy się na infrastrukturze krytycznej.

PZU pracuje też nad cyberpolisą dla firm.

W tej chwili mamy 2 rozwiązania. Jedno jest dedykowane dla mniejszych podmiotów. Idą w kierunku pokrycia kosztów związanych z przywróceniem danych i obsługą prawną. Kluczowym produktem jest polisa dedykowana dużym podmiot z infrastruktury krytycznej. Mamy rozwiązania najbardziej zaawansowane na rynku. Pokrywa szeroki wachlarz zdarzeń, który może wystąpić wskutek ataku cybernetycznego, łącznie ze stratami związanymi z przestojem, stratami bezpośrednimi i kosztami następczymi.

Świadomość cyberzagrożeń firm rośnie?

Zdecydowanie. Stymulowane to jest zmianami prawnymi. Ataki, które do tej pory były sprawiają, że coraz powszechniej w przedsiębiorstwach budowane są specjalne komórki dedykowane cyberbezpieczeństwu.

Jednak wciąż jest niższa niż w Europie Zachodniej?