Ceny cyberpolis na świecie wciąż rosną w zawrotnym tempie. Firmom coraz trudniej uzyskać ochronę, bo ubezpieczyciele dokręcają śrubę – zaostrzają warunki ubezpieczenia, ograniczają oferowany zakres ochrony. Ceny polis podbija także wojna w Ukrainie.
Wyniki badania udostępnionego przez firmę informatyczną Sophos pokazują, że już co trzecia duża firma na świecie zauważa wzrost cen polis chroniących przed skutkami cyberataków, a 40 proc. jest zdania, że coraz mniej ubezpieczycieli ma w swojej ofercie takie polisy.
Rynek stawia warunki
Natomiast według raportu firmy brokerskiej Marsh ceny cyberpolis w pierwszym kwartale tego roku wzrosły r/r o 110 proc. w USA oraz o 102 proc. w Wielkiej Brytanii . I choć w Polsce rynek ten jest nieporównywalnie mniejszy i płytszy, to światowe trendy już znalazły w nim swoje odbicie.
– W tym roku widać bardzo ostrożne podejście ubezpieczycieli do składania firmom ofert w zakresie ubezpieczania od ryzyka cybernetycznego. Niektóre zakłady ubezpieczeń funkcjonują w Polsce jako oddziały zagranicznych ubezpieczycieli i po prostu muszą realizować strategię obowiązującą w regionie, dlatego obserwowane jest bardziej rygorystyczne podejście do oceny ryzyka. Inni, bazując na wytycznych reasekuracyjnych, także zostają zobligowani do weryfikacji swojego apetytu na ryzyko – mówi Anna Pluta, lider praktyki cybernetycznej w Marsh Polska.
Podkreśla, że firmy co prawda dojrzewają do ochrony, ale teraz to rynek ubezpieczeniowy stawia warunki i wyznacza pewne minimalne standardy dla zainteresowanych wytransferowaniem ryzyka na zewnątrz.
Trend bardziej rygorystycznego podejścia do tego ryzyka potwierdza Michał Gabryelak, członek zarządu Brokerskiego Domu Ubezpieczeniowego Merydian.
– Nie tylko wojna i związana z nią coraz większa skala ataków, ale również okres pandemii i powszechna praca zdalna spowodowały większe wyczulenie ubezpieczycieli. Ostrożniejsza postawa związana jest również z zachowawczym podejściem globalnych/międzynarodowych ubezpieczycieli – w przypadku tego ryzyka ma to większe przełożenie na polski rynek – uważa Michał Gabryelak.
Minimalizowanie ryzyka
Rosnące koszty ubezpieczenia to konsekwencja coraz większego natężenia i dotkliwości ataków hakerskich, które powodują wzrost szkodowości w tym produkcie.
– Ubezpieczyciele starają się minimalizować swoje ryzyko i kiedy decydują się na złożenie oferty, wprowadzają różne mechanizmy ograniczające ich odpowiedzialność i zaangażowanie w szkody – albo podnoszone są udziały własne albo zmniejsza się pojemność ubezpieczeniowa, czyli oferowane są niższe niż dotychczas sumy ubezpieczenia – tłumaczy Anna Pluta.
Ubezpieczyciele ograniczają także zakres ochrony – najczęściej dotyczy to szkód o charakterze ransomware, business interruption lub kar administracyjnych nakładanych przez prezesa Urzędu Ochrony Danych Osobowych. Jeśli w firmie nie ma określonych rozwiązań technicznych lub organizacyjnych, ubezpieczyciele mogą w ogóle nie złożyć oferty.
– Chodzi choćby o wieloskładnikowe uwierzytelnienie, czyli 2FA/MFA - jeśli firma nie stosuje go dla połączeń zdalnych lub dla kont administratorów, można nawet zaryzykować twierdzenie, że jest ona nieubezpieczalna, choć oczywiście wszystko zależy od konkretnego ubezpieczyciela – podkreśla Anna Pluta.
Niebezpieczny spokój
Według raportu KPMG prawie 70 proc. firm działających w Polsce zarejestrowało w 2021 r. co najmniej jeden incydent polegający na naruszeniu bezpieczeństwa. Wzrost liczby cyberataków r/r zauważyło 21 proc. firm. Numerem jeden wśród cyberzagrożeń są zorganizowane grupy przestępcze, które dokonują wielu udanych ataków na firmy.
– To sprawia, że coraz więcej firm spoza regulowanych, wrażliwych sektorów zaczyna poważniej podchodzić do kwestii zarządzania cyberbezpieczeństwem. Część doświadczyła ataków, inne po prostu zaczęły dostrzegać, że mogą stać się celem – mówi Michał Kurek, partner i szef cyber security regionu CEE w KPMG.
Z badania Sophos wynika, że polisę na wypadek cyberataku ma 97 proc. dużych polskich przedsiębiorstw. W dziewięciu na 10 przypadków wykupione ubezpieczenie obejmuje odszkodowanie za skutki zainfekowania oprogramowaniem ransomware.
Większość firm w Polsce nie ignoruje problemu - w 61 proc. wdrożono polityki i procedury, które przekładają się na sformalizowanie zarządzania cyberbezpieczeństwem. Ponad połowa firm jest pewna lub bardzo pewna poziomu swoich zabezpieczeń przed cyberzagrożeniami (wg raportu KPMG i Microsoft „Monitor transformacji cyfrowej biznesu”).
– Niestety, tak wysoka ocena bezpieczeństwa prawdopodobnie jest wynikiem braku wystarczającej świadomości cyberzagrożeń – zauważa Michał Kurek.
Problem jest poważny, bo cyberprzestępcy rosną w siłę.
– Następnie zwiększają uprawnienia lokalne, potem zajmują domenę firmy i rozsyłają złośliwe oprogramowanie, po czym żądają okupu. Firma staje przed dylematem, czy zapłacić okup, czy nie – bo są to gigantyczne koszty. Jeśli posiada polisę, często taniej jest zapłacić okup i pokryć tę stratę niż ponieść koszty odbudowy czy przywrócenia normalnego działania systemów – mówi Michał Kurek.
Ostrożnie z tym ryzykiem
Cyberpolisa to stosunkowo nowy produkt na polskim rynku. Ubezpieczyciele starają się mieć go w ofercie, ale starannie określają grupę docelową. Na przykład Generali Polska oferuje cyberpolisy od lipca ubiegłego roku i koncentruje się na małych i średnich firmach z obrotami poniżej 150 mln euro rocznie.
– W ciągu ostatnich dwóch lat ransomware stał się problemem globalnym, rodząc wątpliwości związane z finansowaniem przez pieniądze z okupów przestępczości i terroryzmu. Generali podjęła decyzję, że nie będzie pokrywać okupów, aby nie narażać reputacji klientów i swojej. Nie jest to łatwy krok, bo na rynku są oferty, które obejmują ochroną takie zdarzenia. Z drugiej strony, brak pokrycia kosztów okupu zwiększa naszą ekspozycję w obszarze cyber business interruption, czyli ubezpieczeń od utraty zysku w wyniku incydentu cybernetycznego – mówi Marcin Gajkowski, dyrektor działu ubezpieczeń odpowiedzialności cywilnej w Generali Polska.
Przyznaje, że proces podejmowania przez firmy decyzji o zakupie polisy jest niekiedy bardzo długi.
– Bywa, że negocjacje trwają kilka miesięcy, zanim klient podpisze umowę, szczególnie w przypadku firm, które nie miały dotychczas takiej polisy. Przedsiębiorca musi zrozumieć, co ta polisa dokładnie daje. Ale niektóre firmy podpisują umowę bardzo szybko, szczególnie jeśli są pod presją podpisania kontraktu i muszą uzyskać odpowiedni certyfikat bezpieczeństwa. Te, które taką polisę już mają, zazwyczaj podejmują decyzje o kontynuacji – mówi Marcin Gajkowski.
Ergo Hestia sprzedaje cyberpolisy od drugiej połowy 2015 r. W marcu 2018 r., podążając za rozwojem światowego rynku,, jak i decyzjami reasekuratorów, znacząco rozszerzyła zakres ubezpieczenia – m.in. o okup oraz kary administracyjne. Sygnały wskazujące na duże zainteresowanie rozszerzeniem zakresu oferowanej ochrony otrzymywała także od pośredników.
– Tak jak większość towarzystw, nie ubezpieczamy infrastruktury krytycznej, która jest narażona na bardzo poważne ataki. Uzyskanie pokrycia reasekuracyjnego np. dla dużego banku czy linii lotniczych może być bardzo trudne. Nasz model bazuje na tym, by ubezpieczać zwykłe firmy, niezależnie od skali działalnosci – mówi Maciej Kleina, ekspert od cyberryzyka z biura ubezpieczeń korporacyjnych Ergo Hestii.
Ergo Hestia nie planuje na razie ograniczania zakresu ubezpieczenia dla cyberpolis. Maciej Kleina podkreśla, że globalne trendy w reasekuracji będą w oczywisty sposób wpływały na polski rynek.
– Jeśli liczba i nasilenie ataków ransomware będą nadal rosły, można spodziewać się, że nastąpią zmiany również w samych umowach reasekuracyjnych. To będzie miało przełożenie na to, co dzieje się na rynkach lokalnych – zaznacza ekspert z Ergo Hestii.