Firma brokerska Willis Re przeprowadziła ankietę wśród specjalistów do spraw ryzyka z całego świata. Uważają oni, że liczba szkód cybernetycznych będzie rosła w związku z COVID-19. Może to wynikać z szybkiego, zakrojonego na szeroką skalę przejścia na pracę zdalną. W efekcie coraz więcej przedsiębiorstw jest narażonych na ataki cybernetyczne.
Druga fala
Przedsiębiorcy zdają sobie z tego sprawę. W ostatnim czasie ubezpieczyciele odnotowują większe zainteresowanie firm polisami na wypadek cyberataków.
— Liczba zapytań o nie rośnie dwucyfrowo — mówi Bartosz Zwoliński, dyrektor do spraw ubezpieczeń małych i średnich przedsiębiorstw w Ergo Hestii.
— Już mamy więcej pytań o cyberpolisy niż w całym minionym roku — wtóruje mu Juliusz Małyszko, analityk cybernetyczny w Colonnade.
Cyberubezpieczenia miały swoje pięć minut po wejściu w życie unijnych zasad dotyczących ochrony danych osobowych w 2018 r.
— Pierwsza fala zainteresowania cyberpolisami była związana z wejściem w życie RODO. Obecny, kolejny wzrost popularności tej ochrony wynika z masowego przestawienia się wielu firm na pracę zdalną z powodu pandemii — przyznaje Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych (SPBUiR).
I tłumaczy, że cyfryzacja i korzystanie z chmury co prawda generują oszczędności, ale jednocześnie zwiększają prawdopodobieństwo cyberataku i wycieku danych. Obecnie wielu przedsiębiorców rezygnuje z rozbudowanej infrastruktury informatycznej — własnych serwerowni czy banków danych — i przenosi wszystko do chmury. Rośnie też popularność komunikatorów internetowych oraz narzędzi do wideokonferencji. Dzięki temu pracownicy mogą wykonywać swoje obowiązki niezależnie od miejsca, w którym się znajdują.
— Wszystkie te działania stwarzają dodatkową furtkę dla hakerów. Dlatego warto się ubezpieczyć. Cyberpolisy w wielu krajach są już standardową ochroną, kupowaną przez większość przedsiębiorców niezależnie od ich wielkości. Spodziewam się, że już niedługopodobnie będzie w Polsce — twierdzi Łukasz Zoń.
Więcej opcji dla małych
Im bardziej rośnie popularność ubezpieczeń na wypadek ryzyka cybernetycznego, tym są one tańsze.
— Z jednej strony jest to efekt skali, a z drugiej wynika z rosnącej konkurencji między towarzystwami ubezpieczeń. Obecnie cyberochrona to wydatek rzędu od kilku do kilkunastu tysięcy rocznie w zależności od zakresu ochrony i wybranej sumy ubezpieczenia — mówi Łukasz Zoń.
Jakub Płócienniczak, ekspert w zakresie cyber w firmie Willis Towers Watson Polska, uważa, że przejście na pracę zdalną w erze COVID-19 spowodowało z jednej strony bardzo duże zwiększenie liczby ataków ransomware, przy jednoczesnym znacznym wzroście wartości okupów, a z drugiej doprowadziło do ograniczania apetytu na ryzyko ze strony rynku ubezpieczeniowego. Obecnie ubezpieczyciele z dużą wnikliwością oceniają poziom bezpieczeństwa cybernetycznego w firmach. Cyberpolisy wciąż mają w ofercie tylko nieliczni. Do niedawna były one tworzone z myślą o większych podmiotach. Teraz o cyberochronie coraz częściej myślą też małe i średnie firmy. We wrześniu propozycję dla nich wprowadziła Ergo Hestia. Jej polisa Cyber M zapewnia wypłatę w przypadku ataku hakerskiego i związanych z nim konsekwencji.
— To propozycja dla firm, których skala działalności nie jest duża, ale są świadome podstawowego ryzyka wiążącego się z użytkowaniem internetu. Ma ona bardzo prostą konstrukcję. Kalkulacja składki zajmuje chwilę, wystarczy odpowiedzieć na siedem pytań zawartych w formularzu — tłumaczy Bartosz Zwoliński.
Koszt takiego rozwiązania to co najmniej 400 zł rocznie. Zależy on od wysokości limitu odpowiedzialności i skali działalności klienta. Kilka dni temu o nowej ofercie dla małych firm poinformował też Mondial Assitance. Razem ze start-upem technologicznym Veronym wprowadził on Cyber Casco — rozwiązanie łączące polisę z zaawansowanym oprogramowaniem zapewniającym cyberbezpieczeństwo.
— To ubezpieczenie połączone z technologią jest proste w zakupie i uruchomieniu. Jednocześnie jest to najbardziej zaawansowana polisa dostępna poza obszarem produktów dla dużego biznesu — przekonuje Piotr Ruszowski, dyrektor sprzedaży i marketingu w Mondial Assistance.
Standardowo cyberpolisy w podstawowym wariancie zapewniają pieniądze na wykrycie i likwidację zagrożenia, czyli m.in. zatrudnienie ekspertów IT oraz zarządzanie sytuacją kryzysową. Można liczyć także na pomoc prawną oraz przeprowadzenie akcji informacyjnej w sytuacji wycieku danych. Ubezpieczyciel wypłaci zadośćuczynienia poszkodowanym i może opłacić kary administracyjne.
— Ponadto ubezpieczyciele zapewniają pokrycie kosztów odzyskania dostępu do zablokowanych urządzeń, w tym zapłatę okupu. Za dodatkową składkę można mieć ochronę w przypadku przerwy w działalności wskutek awarii systemów i liczyć na pokrycie wydatków na ulepszenie systemu bezpieczeństwa — mówi Łukasz Zoń.
Juliusz Małyszko dodaje, że do ochrony można włączyć też zakłócenia w działaniu sieci, działalność multimedialną lub próbę szantażu.
Każdy jest zagrożony
Cyberpolisami interesują się firmy z różnych branż.
— Najczęściej są to przedsiębiorstwa zajmujące się produkcją, działające w służbie zdrowia i jednostki administracji samorządowej. Ale ryzyko cyberzagrożeń dotyczy właściwie każdej działalności, która w jakikolwiek sposób wykorzystuje w swojej pracy komputery i dane cyfrowe — mówi Bartosz Zwoliński.
Szczególnie niebezpieczne są ataki na szpitale.
— W zeszłym miesiącu zaszyfrowanie serwerów Kliniki Uniwersyteckiej w Düsseldorfie sprawiło, że placówka nie mogła przyjmować karetek, co skończyło się śmiercią jednej z pacjentek — zwraca uwagę Łukasz Zoń.
Przy tym trzeba pamiętać, że celem hakerów jest nie tylko kradzież danych osobowych. Coraz więcej ataków polega na unieruchomieniu systemów operacyjnych firmy i próbie wymuszenia okupu za ich odblokowanie.
— W przypadku niektórych przedsiębiorstw paraliż ich linii produkcyjnych może być nie tylko bardzo kosztowny, ale też stwarzać zagrożenie dla zdrowia i życia — mówi Łukasz Zoń.
Przykładem może być sytuacja, gdy w procesie produkcji wykorzystywane są substancje niebezpieczne i toksyczne. Zatem nie bez powodu to właśnie produkcja jest branżą, która najczęściej pyta o cyberpolisy.
— Trafiają do nas pytania od firm każdej wielkości i działających w różnych branżach. Jednak dwa najbardziej zainteresowane naszym produktem sektory to produkcja, ze względu na potrzebę ochrony ciągłości działania, i IT, dla którego szczególnie ważne jest zabezpieczenie przetwarzanych danych— mówi Juliusz Małyszko.
Generalnie najbardziej zagrożone atakami firmy to właśnie te przetwarzające dużą liczbę danych osobowych i płatniczych — a więc również sklepy internetowe i sektor finansowy. Ataki hakerskie coraz częściej wymierzone są także w branżę edukacyjną.