Niedawno pojawiły się informacje o wycieku 25 mln rekordów danych z Empiku. Atak okazał się jednak fałszywy. Czy w takim wypadku ubezpieczenie zadziała?
Nie ignoruj
Bez względu na to, czy atak jest prawdziwy, czy nie, nie można zignorować takiego zagrożenia.
– Trzeba działać od razu. Jeśli firma nie powiadomi regulatora i potencjalnych ofiar wycieku w przewidzianym przez prawo czasie, grożą jej surowe sankcje. Liczy się każda godzina, gdyż infekcja może postępować wewnątrz systemów organizacji, co tylko zwiększy koszty odtworzenia danych czy utracone zyski – mówi Piotr Rudzki, lider w zakresie praktyki cyber w firmie Aon Polska.
– Szybkie działanie jest niezbędne choćby z uwagi na wymogi, np. obowiązek notyfikacji naruszenia bezpieczeństwa danych osobowych, jak i konsekwencje prawne, które wiążą się z wystąpieniem incydentu. Patrząc również przez pryzmat interesu ubezpieczyciela, ważne jest, aby jak najszybciej zająć się incydentem. Szybkie działanie pozwoli ograniczyć koszty związane z ewentualną szkodą. Chodzi m.in. o koszty odtworzenia danych, kar administracyjnych czy utraty przychodów, które są pokrywane w ramach standardowego ubezpieczenia cyber - wtóruje mu Jakub Płócienniczak, starszy broker w WTW.
Przykład Empiku pokazuje, że po otrzymaniu informacji o wycieku najpierw trzeba sprawdzić, czy rzeczywiście do niego doszło.
– Takie działania też generują określone koszty, takie jak zaangażowanie ekspertów IT, przygotowanie analizy bezpieczeństwa czy uruchomienie komunikacji kryzysowej. W przypadku Empiku konieczne było przeprowadzenie dogłębnego dochodzenia, aby ustalić, czy informacje o wycieku były fałszywe – mówi Szymon Bąk, specjalista ds. cyberubezpieczeń i broker w firmie brokerskiej EIB.
Ograniczony zakres
Ubezpieczyciele przewidują, że fałszywe ataki będą się zdarzać.
– Polisa w przypadku tego typu uzasadnionego podejrzenia wystąpienia zdarzenia się uruchomi – mówi Piotr Rudzki.
Ubezpieczenie zadziała jednak w ograniczonym zakresie. Wsparcie może być różne - zależy od warunków polisy konkretnego ubezpieczyciela.
– Większość ubezpieczycieli oferuje ochronę aktywowaną już na etapie uzasadnionego podejrzenia wystąpienia cyberincydentu. Publikacja informacji o rzekomym wycieku danych z pewnością spełnia to kryterium – mówi Szymon Bąk.
– W opinii części ubezpieczycieli już sam zarzut naruszenia ochrony danych osobowych wystarcza, żeby uznać go za zdarzenie cybernetyczne, co umożliwia uzyskanie odpowiedniego wsparcia – wtóruje mu Emilia Koniszewska, broker w STBU
Dodaje, że w takim przypadku cyberpolisa pokryje m.in. koszty wynagrodzeń zewnętrznych specjalistów ds. informatyki śledczej, powołanych w celu ustalenia, czy rzeczywiście doszło do wycieku danych klientów, a także w jakim zakresie i z jakich przyczyn.
– Pokryte mogą zostać również wydatki związane z koordynacją działań ekspertów do spraw zarządzania incydentami oraz koszty PR mające na celu ochronę dobrego imienia spółki po zaistniałym incydencie – zwraca uwagę Emilia Koniszewska.
Na przykład ubezpieczenie Colonnade pozwala skorzystać z zakresu usług śledczych w celu ustalenia, czy wyciek faktycznie miał miejsce i jakie były jego przyczyny.
– Polisa umożliwi też m.in. zatrudnienie specjalistów z zakresu zarządzania reakcją na incydent – mówi Michał Jatczak, starszy specjalista do spraw ubezpieczeń finansowych w Colonnade.
Teoria kontra praktyka
Rekompensata wydatków poniesionych w związku z pracą ekspertów do spraw informatyki śledczej to w przypadku cyberpolis standard. Inaczej może jednak wyglądać sprawa pokrycia kosztów komunikacji kryzysowej, czyli dodatkowych kosztów działań PR.
– Poszczególni ubezpieczyciele podchodzą różnie także do kosztów doradztwa i obrony prawnej. Może dojść do sytuacji, że klienci firmy, mimo jej wyjaśnień, zechcą wystąpić z roszczeniami. Standardowo w cyberpolisach koszty obrony są uwzględnione. Teoretycznie bez znaczenia powinien być fakt, czy są one zasadne, czy nie i samo uruchomienie procedur prawnych powinno też determinować uruchomienie pieniędzy z polisy. W praktyce może być jednak różnie. Co więcej, część towarzystw wprowadza również specjalne limity odpowiedzialności dla takich fałszywych alarmów w kontekście pokrycia niektórych kosztów – tłumaczy Szymon Bąk.
Przy tym warto wiedzieć, że cyberubezpieczenie obejmuje znacznie więcej niż tylko reakcję na podejrzenie wycieku danych. Standardowa cyberpolisa pokryje koszty usunięcia złośliwego oprogramowania, zabezpieczenia luk w systemie i przywrócenia normalnej działalności. W kontekście danych osobowych ważne jest pokrycie kosztów związanych z wypełnieniem wymogów RODO, w tym przeprowadzenia obowiązkowej akcji informacyjnej dla osób, których dane zostały narażone.
– Pamiętajmy jednak, że ubezpieczyciele nie oferują ochrony bez żadnych wymagań. Wcześniej przeprowadzają dokładną ocenę ryzyka, wymagają konkretnych zabezpieczeń technicznych, takich jak systemy EDR czy podwójne uwierzytelnianie. Dodatkowo oczekują rozwiązań organizacyjnych, takich jak regularne szkolenia personelu, procedury reagowania na incydenty czy właściwe zarządzanie dostępami do systemów informatycznych. Rosnące wymagania są reakcją na wzrost liczby cyberataków w Polsce i na całym świecie – mówi Szymon Bąk.
Dodaje, że cyberubezpieczenie to ostatnia linia obrony. Kiedy zawiodą techniczne zabezpieczenia i procedury bezpieczeństwa, polisa pozwala zminimalizować finansowe konsekwencje incydentu – niezależnie od tego, czy on nastąpił, czy był fałszywy.