Coraz więcej pytań o polisę od cyberryzyka

opublikowano: 07-10-2019, 22:00

Ubezpieczyciele spodziewają się, że zainteresowanie firm ochroną przed cyberatakami może wyraźnie wzrosnąć. To sprawka ostatniej sankcji za wyciek danych

Obowiązujące od maja ubiegłego roku unijne zasady ochrony danych osobowych wpłynęły m.in. na większe niż do tej pory zainteresowanie ubezpieczeniami od działań cyberprzestępców. Niewątpliwie jednym z powodów tego, może nawet głównym, jest fakt, że wraz z wprowadzeniem nowych wymagań określono wysokie kary za ich niedotrzymanie, zwłaszcza gdy skutki tego naruszają prawa i interesy osób, których dane są przetwarzane. Jest to dodatkowo o tyle istotne, że dla niektórych przedsiębiorców reforma ta, wynikająca z przepisów unijnego rozporządzenia (RODO), okazała się trudna, dlatego że nowe regulacje nikogo nie prowadzą za rączkę, a tylko wskazują kierunek działań.

Ochrona ubezpieczeniowa przed skutkami ataków hakerskich jest
zagadnieniem złożonym. Zabezpieczenie na wypadek wycieku danych osobowych to
tylko wycinek zagadnień do objęcia polisą od zagrożeń cybernetycznych. Koszty,
które ona pokryje, można podzielić na kilka głównych obszarów, w tym postępowań
prawnych — mówi Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów
Ubezpieczeniowych i Reasekuracyjnych.
Zobacz więcej

TO SKOMPLIKOWANE:

Ochrona ubezpieczeniowa przed skutkami ataków hakerskich jest zagadnieniem złożonym. Zabezpieczenie na wypadek wycieku danych osobowych to tylko wycinek zagadnień do objęcia polisą od zagrożeń cybernetycznych. Koszty, które ona pokryje, można podzielić na kilka głównych obszarów, w tym postępowań prawnych — mówi Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych. Fot. Wojciech Szablewski

UODO wyjaśnia swoją decyzję

Ani RODO, ani uzupełniające je regulacje krajowe nie dają w zasadzie konkretnych wskazówek, jakimi sposobami i narzędziami należy chronić powierzone informacje. Podmiot, który je pozyskuje i wykorzystuje w swojej działalności, ma w tej kwestii dowolność w wyborze metod i strategii. W sporze z organem nadzoru powinien wykazać, że dochował wszelkiej staranności w ochronie danych osobowych. Już wiemy, że żartów nie ma.

Urząd Ochrony Danych Osobowych (UODO) skorzystał w tym roku ze swojego prawa i nałożył kilka kar. Ostatnia, najwyższa, wymierzona niedawno wobec spółki Morele.net, wyniosła ponad 2,8 mln zł. Organ uznał, że zastosowane przez nią rozwiązania organizacyjne i techniczne nie były odpowiednie do istniejącego ryzyka związanego z ich przetwarzaniem, przez co dane ok. 2 mln osób dostały się w niepowołane ręce. Zabrakło odpowiednich procedur reagowania na wypadek pojawiania się nietypowego ruchu w sieci.

Prezes UODO stwierdził, że powstała sytuacja miała znaczną wagę i poważny charakter, a w wyniku naruszenia powstało wysokie ryzyko negatywnych skutków dla wspomnianych osób, jak np. tzw. kradzież tożsamości. Według organu do naruszenia przyczyniły się też m.in. nieskutecznie monitorowanie potencjalnych zagrożeń i brak wystarczających zabezpieczeń.

W oficjalnym komunikacie o tej karze prezes UODO przyznał, że firma podjęła działania zmierzające do usunięcia nieprawidłowości i że wcześniej nie dopuściła się naruszenia przepisów o ochronie danych osobowych. Podkreślił też dobrą współpracę z administratorem. Gdyby nie te okoliczności łagodzące, sankcja byłaby wyższa.

— Przedsiębiorcy otrzymali jasny sygnał, że UODO nie będzie traktowało pobłażliwie naruszania przepisów i w tym wypadku nie będzie działało słynne polskie „jakoś to będzie”. Sądzę, że kara dla Morele.net wpłynie na zwiększenie tempa wzrostu zainteresowania cyberpolisami. Wejście w życie RODO pobudziło sprzedaż ubezpieczeń od zagrożeń cybernetycznych, które pozwalają zminimalizować szkody wynikające z ewentualnego wycieku danych osobowych. Bo podobnie jak inne nowe obostrzenia, rozporządzenie skłoniło przedsiębiorców do szukania rozwiązań pozwalających dostosować się do jego wymogów i zabezpieczyć na wypadek ich naruszenia — mówi Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych (SPBUiR).

Gdy mleko się wyleje

Przyznaje jednak, że popularność cyberpolis nie rosła skokowo. Do tej pory widmo sankcji finansowych pozostawało w sferze spekulacji i dyskusji, mimo że w tym roku nałożono już kilka kar. Żadna nie była jednak tak wysoka.

— Sprawa Morele.net pokazuje, że nawet przedsiębiorstwa działające od wielu lat w sferze cyfrowej mogą stać się ofiarą ataku hackerskiego. Można zaryzykować tezę, że ziszczenie się ryzyka ataku jest w zasadzie kwestią czasu i w pewnym stopniu może dotknąć każdego z nas. Przed prawnikami i branżą ubezpieczeniową stoi zatem niebagatelna kwestia określenia sposobu zabezpieczenia przed skutkami ryzyka określanego mianem zagrożeń cybernetycznych — komentuje Mateusz Bartoszcze, radca prawny, zastępca dyrektora Oddziału Kraków EIB.

Dodaje, że o ile aspekty techniczne mają za zadanie zatrzymać i zminimalizować ryzyko incydentu, to polisa ma pomóc zmierzyć się ze skutkami, jeśli już dojdzie do incydentu.

— Pewne jest, że posiadanie przez firmę ubezpieczenia od ryzyka cybernetycznegomoże okazać się nieocenionym wsparciem. Rzecz jasna nie zapobiegnie samemu atakowi. Jednak pieniądze, których wypłatę przewiduje polisa, mogą być przeznaczone na wiele działań minimalizujących skutki takiego zdarzenia. Przede wszystkim pozwalają one na przeprowadzenie dokładnego audytu bezpieczeństwa, także z udziałem ekspertów zewnętrznych, a następnie likwidację zagrożenia i szeroką rozumianą informatykę śledczą — wyjaśnia Mateusz Bartoszcze.

Wsparcie z ograniczeniami

Łukasz Zoń podkreśla, że ochrona na wypadek wycieku danych osobowych z firmy to jedynie wycinek zagadnień, jakie obejmuje zakres ubezpieczenia od zagrożeń cybernetycznych. Polisa może pokrywać m.in. nakłady potrzebne do wykrycia przyczyny ataku, likwidację luki bezpieczeństwa i działania zapobiegające podobnej sytuacji w przyszłości czy wydatki na działania wizerunkowe, przeciwdziałające utracie reputacji. Zwraca na to uwagę także Mateusz Bartoszcze, podkreślając, że taka sytuacja prowadzi zazwyczaj do kryzysu wizerunkowego firmy, która zarządzała danymi, i wypłata z ubezpieczenia może w pewien sposób zrównoważyć koszty działań na rzecz odzyskania zaufania klientów.

Dodaje, że w przypadku sklepu internetowego atak może prowadzić do utraty przychodów i braku możliwości sprzedaży przez pewien czas, co można złagodzić np. ubezpieczeniem zysku przedsiębiorstwa, który spada w przypadku cyberincydentu. Prezes SPBUiR wskazuje także na kosztowną w takim przypadku akcję informacyjną wśród osób, których prawa naruszono, i wypłatę odszkodowań lub zadośćuczynień. Wreszcie — według Łukasza Zonia i Mateusza Bartoszcze — polisa może przewidywać ewentualne opłacenie kar administracyjnych. Przedstawiciel EIB zastrzega przy tym, że zakres ubezpieczenia jest jednak często ograniczany do ustalonego limitu.

Zdaniem prezesa SPBUiR wszystko jest kwestią właściwych i skutecznych negocjacji umowy ubezpieczenia.

— Choć polisa oferuje kompleksowe zabezpieczenie, to istnieje wiele sytuacji, w których ubezpieczyciel może odmówić wypłaty pieniędzy i udzielenia wsparcia. Zazwyczaj dotyczy to sytuacji, w których firma nie posiadała odpowiednich zabezpieczeń antywirusowych i antyhakerskich lub korzystała z nielegalnego oprogramowania. Również brak aktualizacji zabezpieczeń może być podstawą do odmowy pomocy. Czasem wymagane jest też posiadanie kopii zapasowej utraconych danych. Polisa nie zadziała także, gdy do ataku zostanie użyty sprzęt skradziony z firmy lub zgubiony przez któregoś z jej przedstawicieli — wylicza Łukasz Zoń.

Zarówno on, jak i Mateusz Bartoszcze zastrzegają, że tak, jak w przypadku wszystkich innych ubezpieczeń, na wsparcie nie można liczyć w przypadku umyślnego naruszenia prawa.

— Ponadto niektóre towarzystwa udzielają wsparcia tylko wtedy, gdy będzie to pierwsze postępowanie wszczęte z tytułu naruszenia ochrony danych — dodaje przedstawiciel EIB.

Ile to kosztuje

Na cenę cyberubezpieczenia składa się wiele elementów. Bezpośredni wpływ na nią mają: wysokość sumy ubezpieczenia (kwoty, do jakiej odpowiada ubezpieczyciel) ocena ryzyka (stopień zabezpieczeń i wewnętrzne procedury ubezpieczonego) wnioskowany zakres ubezpieczenia. W dużym uproszczeniu — koszt udzielenia ochrony do wysokości miliona złotych oscyluje w granicach od 8 do 15 tys. zł dla prostych rodzajów ryzyka. Skomplikowana ochrona wymaga indywidualnego podejścia i odrębnego obliczenia składki.

Sprawdź program "RODO praktyka i egzekucja prawa", 26 listopada 2019, Warszawa >>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Iwona Jackowska

Polecane

Inspiracje Pulsu Biznesu