Ataki hakerskie na firmowe dane już dawno nie są tylko teorią, tylko realnym zagrożeniem. Coraz więcej firm zdaje sobie z tego sprawę. Z badania spółki Sophos wynika, że aż 90 proc. przedsiębiorstw z całego świata, zatrudniających powyżej 100 osób, w minionym roku miało wykupioną cyberpolisę.
Większa świadomość
Najczęstszym powodem zakupu ubezpieczenia jest większa świadomość dotycząca wpływu skutków cyberataków na działalność gospodarczą. Polisę kupują przede wszystkim firmy z branży energetycznej, gazowej i użyteczności publicznej, a najrzadziej pomioty rządowe, spółki z branży IT, technologiczne i telekomunikacyjne.
Z raportu wynika, że przedsiębiorcy coraz lepiej rozumieją istotę posiadania ubezpieczenia i zwiększają poziom ochrony danych, aby zapewnić sobie możliwość korzystania z tego typu ochrony. Dzięki temu w minionym roku możliwość zakupu polisy miało 76 proc. firm, a 67 proc. uzyskało lepszą cenę. Z kolei 30 proc. przedsiębiorstw zapewniło sobie korzystniejsze warunki umowy.
– Chęć pozyskania cyberubezpieczenia zmusza firmy do wdrażania podstawowych środków bezpieczeństwa, co z kolei ma pozytywny wpływ na biznes. Trzeba pamiętać, że posiadanie cyfrowej polisy jest tylko jednym z elementów strategii przeciwdziałania skutkom cyberataków. Duże znaczenie ma też praca nad wzmacnianiem poziomu ochrony firmy. Incydent naruszenia bezpieczeństwa może mieć poważny wpływ na firmę zarówno z operacyjnego, jak i reputacyjnego punktu widzenia, a samo posiadanie polisy tego nie zmienia – podkreśla Chester Wisniewski, dyrektor do spraw technologii w firmie Sophos.
Aż 99 proc. firm, które poprawiły poziom swoich zabezpieczeń w celu otrzymania ubezpieczenia, stwierdziło, że dzięki inwestycjom uzyskały również szersze korzyści w postaci lepszej ochrony i mniejszej liczby alertów.
Niewystarczające sumy
Badanie Sophos pokazuje też, że całkowite koszty odzyskiwania danych po cyberatakach zazwyczaj przewyższają wartość wykupionej polisy. Tylko 1 proc. respondentów wśród firm, które zgłosiły roszczenie, odzyskał od ubezpieczyciela całość kosztów związanych z usuwaniem skutków incydentu. W 2023 r. ubezpieczyciele wypłacali średnio 63 proc. wysokości roszczenia.
– Jest duże ryzyko, że niska suma ubezpieczenia, często wybierana ze względu na bardziej korzystną cenę, zostanie w pełni skonsumowana. Jeżeli jednak jest dobrze dobrana do profilu danego klienta, to do jej przekroczenia raczej nie dojdzie. Natomiast niewątpliwie koszty odzyskiwania danych są bardzo wysokie i potrafią sięgać setek tysięcy złotych. Z roku na rok rosną ceny wszystkich usług powiązanych z reakcją na zdarzenie – mówi Michał Jatczak, starszy specjalista ds. ubezpieczeń finansowych w firmie ubezpieczeniowej Colonnade.
Agata Żbikowska, dyrektor biura financial & specialty lines w spółce brokerskiej STBU, zwraca uwagę, że składka nie rośnie proporcjonalnie do wzrostu sumy ubezpieczenia.
– Często jest tak, że różnica między sumą na przykład na poziomie 3 mln zł a 5 mln zł jest stosunkowo niewielka, więc dla spokoju ducha lepiej wybrać tę wyższą – mówi Agata Żbikowska.
Przyznaje, że koszty incydentów po cyberatakach mogą wynieść nawet kilkanaście mln zł.
– Niestety, najczęściej zdarza się to u przedsiębiorców, którzy polisy nie posiadali, ponieważ albo nie widzieli potrzeby, albo nie byli wystarczająco przygotowani pod kątem zabezpieczeń systemów IT i procedur. Dlatego też bardziej zależy im na zawarciu polisy na przyszłość. Fakt, że aktywność cyberprzestępców to już dawno nie jest teoretyczny problem, dostrzegły już zarówno małe firmy, jak i korporacje - mówi Agata Żbikowska.
Dodaje, że trudno jest określić wystarczającą sumę w przypadku polisy na wypadek cyberataku, ale warto w tym celu zrobić głęboką analizę w zakresie cyberbezpieczeństwa. Trzeba przy tym wziąć pod uwagę branżę, w jakiej działa firma, jej szkodowość oraz poziom potencjalnych kar administracyjnych wynikających z RODO czy NIS1/2.
Zakres polisy
Z badania Sophos wynika także, że wiele firm nie wie, jaką dokładnie ochronę zapewnia ubezpieczenie na wypadek cyberataku.
– W efekcie ryzyko, że polisa nie zaspokaja potrzeb firmy, jest duże. To bardzo ważne, żeby wszyscy w przedsiębiorstwie mieli jasność co do tego, jakie warunki zawiera ubezpieczenie, a potrzeby te powinny stanowić podstawę do jego zakupu – tłumaczy Chester Wisniewski.
Dodaje, że radzenie sobie z poważnym cyfrowym incydentem to stresujący czas dla wszystkich zaangażowanych stron. Dlatego odkrycie w momencie ataku, że zakres oczekiwanego wsparcia nie został w całości uwzględniony w polisie ubezpieczeniowej, dodatkowo komplikuje, opóźnia i zwiększa koszty działań naprawczych.
– Pocieszające jest to, że posiadanie cyfrowego ubezpieczenia staje się dziś w wielu branżach normą. Niemniej, aby zapewnić pełną ochronę, przedsiębiorstwa muszą dokładnie dopasować warunki polisy do specyficznych potrzeb i potencjalnych zagrożeń, z jakimi mogą się spotkać – podsumowuje Chester Wisniewski.