Temat ryzyk związanych ze światem cyfrowym stał się ostatnio niezwykle popularny. Dzieje się tak w wyniku rosnącej liczby zagrożeń i incydentów w cyberprzestrzeni. Niemalże codziennie słyszymy o atakach na banki, użytkowników, struktury państwowe.

O cyber-ubezpieczeniach pisze Artur Piechocki, radca prawny z kancelarii APLAW:

Polski rynek jest nieco opóźniony pod względem oferowania tego rodzaju produktów ubezpieczeniowych, obecnie znajdują się one w ofercie trzech ubezpieczycieli w wersji dość wąskiej, zwykle wprost przeniesionej z zagranicznych oddziałów ubezpieczycieli albo jako dodatek do innych ubezpieczeń. Kolejni ubezpieczyciele pracują jednak nad wprowadzeniem cyber-ubezpieczeń do swoich ofert, można oczekiwać rozwoju rynku ubezpieczeniowego również w tym kierunku.

Zagranicą oferowane są znacznie szersze pakiety ubezpieczeń niż w Polsce i między innymi z tego powodu poziom korzystania z cyber polis jest wyższy, np. według raportu rządu brytyjskiego w Wielkiej Brytanii 2% największych firm korzysta z takich polis. Z kolei w Stanach Zjednoczonych aż 50 ubezpieczycieli oferuje cyber polisy. Szacuje się, że około 90% premii z tytułu takich polis w 2014 roku o wartości 2,5 miliarda dolarów pokrywa wyłącznie ryzyka w USA. Do 2020 roku wartość rynku w USA może wynosić nawet 10 miliardów dolarów. W Stanach Zjednoczonych coraz wyraźniej dostrzega się rolę cyberubezpieczeń we wszystkich dziedzinach gospodarki, gdzie występują zagrożenia cybernetyczne. Organizacja zrzeszająca ubezpieczycieli opublikowała nawet Cybersecurity Bills of Rights, który jest używany do badania przedsiębiorców na potrzeby cyber ubezpieczeń. Podkreśla się w końcu, że stanowe władze w USA odpowiedzialne za ubezpieczenia będą działać w kierunku regulowania rynku cyberubezpieczeń, a zatem zagadnienie ubezpieczenia od ryzyk pochodzących z cyberprzestrzeni zaczęło stanowić przedmiot zainteresowania również władz publicznych.

Nawet w krajach, w których od lat oferowane są cyber polisy uważa się, że ich rynek jest nadal mało dojrzały, a stopień zrozumienia dla ryzyk, które ubezpieczenia mają pokryć niski, z krótką w zasadzie historią. Dodatkowo, nie można przewidzieć częstotliwości, ani powagi incydentów, które powinny zostać objęte ubezpieczeniami. W rezultacie pewne dane aktuarialne nie będą dostępne.

Czynnikiem o największej niepewności w przypadku zagrożeń i incydentów dotyczących cyberprzestrzeni jest reakcja osób odpowiedzialnych za bezpieczeństwo cybernetyczne w odpowiedzi na zagrożenie. Element ludzkiej reakcji jest nie do przewidzenia, a zatem objęcie ubezpieczeniem cyfrowych zagrożeń i incydentów może wiązać się z dużym ryzykiem po stronie ubezpieczyciela.

Można zatem rozważać, czy oferowanie cyber - ubezpieczeń ma w ogóle rację bytu w tak ryzykownym środowisku. Uważam, że mimo wszystko jest to możliwe, o ile zostaną spełnione pewne warunki, zresztą typowe dla rynku każdych ubezpieczeń. Przede wszystkim konieczne jest precyzyjne określenie ryzyk, których polisa dotyczy, najlepiej znanych i przewidywalnych ryzyk, np. atak typu DDOS ze względu na swoją rozległość i skutki będzie trudny do objęcia ubezpieczeniem. Kolejnym elementem jest wskazanie skutków, które pokrywa polisa, od najprostszych np. koszty przywrócenia działania infrastruktury, aż po dalej idące, np. koszty obrony prawnej, a nawet koszty kar o charakterze publicznoprawnym (third party defense). Innym ważnym elementem będą działania o charakterze dochodzeniowym po zdarzeniu, np. weryfikacja rozmiaru faktycznych skutków incydentu. Obok ubezpieczeń rozwijać się może doradztwo wspierające zapewnienie kontynuacji funkcjonowania przedsiębiorcy, który stał się ofiarą ataku, wzmacniając w ten sposób odporność przedsiębiorców na zagrożenia.

Spełnienie co najmniej powyższych warunków pozwoli na rozwój dojrzałego rynku cyber-ubezpieczeń w Polsce. Obserwując skalę zagrożeń i incydentów uważam, że jest to rozwój bardzo potrzebny, stanowić będzie bowiem dobre uzupełnienie krajowych zdolności technicznych i organizacyjnych w obliczu nawet zorganizowanych ataków. Można przewidywać, że cyber-ubezpieczenia będą miały szczególne znaczenie dla przedsiębiorców działających na rynku infrastruktury krytycznej, szczególnie w kontekście nowej dyrektywy o bezpieczeństwie sieci i informacji. Nie oznacza to jednak, że dla pozostałych przedsiębiorców, czy nawet użytkowników Internetu cyber-ubezpieczenia nie mają sensu. Jeżeli zostaną odpowiednio dopasowane do ryzyk i ich ewentualnych skutków oraz będą oferowane na rozsądnym poziomie cenowym, to z pewnością mogą zyskać wielu zwolenników, szczególnie gdy będą składnikiem innych produktów, np. hostingu.