Wyciek danych – czy to firmowych czy osobowych klientów - zawsze stanowi dla organizacji duży problem i wiąże się z poważnymi konsekwencjami. Można jednak zabezpieczyć się przed jego skutkami - szczególnie finansowymi - polisą od zagrożeń cybernetycznych. Przedsiębiorcy mogą liczyć na wsparcie ze strony ubezpieczyciela w minimalizacji rozmiaru szkód oraz „obsłudze” formalno-prawnej incydentu.
– Coraz więcej przedsiębiorców zdaje sobie sprawę, że to nie kwestia „czy”, ale „kiedy” będę celem ataku. Dlatego rośnie popularność ubezpieczeń od zdarzeń cybernetycznych. Wobec coraz większego zagrożenia możemy spodziewać się, że w procesie oceny ryzyka zyskają na znaczeniu wymagania techniczne i organizacyjne, które winny być spełnione przez wnioskujących o ubezpieczenie. Przykładowo, coraz częściej mówi się o posiadaniu systemu do analizy i wykrywania zagrożeń na urządzeniach końcowych, tzw. Endpoint Detection and Response - EDR. Eksperci od oceny ryzyka zwracają też uwagę, czy firma prowadzi szkolenia dla pracowników z cyberbezpieczeństwa, wypracowała procedury reakcji, stosuje stopniowanie dostępu itd. – zauważa Szymon Bąk, ekspert od cyberubezpieczeń i broker ubezpieczeniowy w spółce EIB.
Konkretne wsparcie
W czym pomoże firmie cyberubezpieczenie? Z polisy można opłacić koszty związane m.in. z zatrudnieniem dodatkowych, zewnętrznych ekspertów, takich jak eksperci od bezpieczeństwa IT, osoba zarządzająca reakcją na zdarzenie, a także prawników i specjalistów od public relations. Pieniądze można przeznaczyć także na działania związane z usunięciem złośliwego oprogramowania lub odzyskaniem dostępu do zainfekowanych urządzeń albo usunięciem luki w ochronie. Polisa może zapewnić także rekompensatę strat finansowych wynikających z ataku cyberprzestępców.
– Ubezpieczenie zakłada także pokrycie kosztów działań wymaganych przez RODO w razie wycieku, czyli przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa może uwzględniać także zapłacenie kar nałożonych w myśl przepisów RODO – wyjaśnia Szymon Bąk.
Żelazne zasady ochrony
Przedsiębiorstwa, które nie chcą stać się ofiarami ataku hakerskiego, powinny przestrzegać kilku żelaznych zasad. Po pierwsze, warto by połączenia sieciowe odbywały się wyłącznie za pośrednictwem sprawdzonych i zabezpieczonych łączy. Po drugie, należy uważnie sprawdzać nadawców wiadomości, zwłaszcza tych, które wydają się podejrzane. Istotną kwestią jest także wielostopniowe logowanie do aplikacji i systemów firmowych oraz regularne testy szczelności zabezpieczeń.
– Jak pokazuje jednak praktyka, jest jeden czynnik, nad którym żadna firma, żaden ekspert od cyberzagrożeń, nie ma kontroli – użytkownicy. O skuteczności większości ataków hakerskich decyduje właśnie nasza nieuwaga lub zlekceważenie procedur bezpieczeństwa. W przypadku phishingu są one podstawą sukcesu hakerów. A błąd może zdarzyć się każdemu z nas. Ostatnią deską ratunku jest najczęściej cyberubezpieczenie. Dlatego nie wolno go pomijać w programie ochrony firmy – dodaje Szymon Bąk.