RODO sprzyja rynkowi cyberpolis

opublikowano: 11-03-2019, 22:00

Zmiany w ochronie danych osobowych zmotywowały małe i średnie przedsiębiorstwa do korzystania z zabezpieczeń

W ciągu ostatnich dwunastu miesięcy znacznie wzrosło zainteresowanie firm ubezpieczeniem na wypadek ataków cybernetycznych, szczególnie wśród MŚP. To w dużej mierze efekt nowych wymagań związanych z unijnym rozporządzeniem o ochronie danych osobowych (RODO).

— Cyberubezpieczenie może się przydać w działalności gospodarczej
każdego rodzaju, ponieważ wszystkie firmy są podłączone do internetu, z którego
pochodzi większość ataków — mówi Marta Paruch, starszy menedżer ds. oceny ryzyk
cybernetycznych w Chubb.
Zobacz więcej

BEZ WYJĄTKU:

— Cyberubezpieczenie może się przydać w działalności gospodarczej każdego rodzaju, ponieważ wszystkie firmy są podłączone do internetu, z którego pochodzi większość ataków — mówi Marta Paruch, starszy menedżer ds. oceny ryzyk cybernetycznych w Chubb. Fot. Marek Wiśniewski

Więcej chętnych

Jeszcze dwa lata temu ubezpieczenie cyber było produktem bardzo niszowym, ale od roku dynamicznie się rozwija.

— Firmy, m.in. dzięki RODO, są teraz bardziej świadome zagrożeń, jakie niesie ze sobą cyfryzacja i upowszechnienie internetu, co przekłada się na rosnącą popularność cyberpolis — przyznaje Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych (SPBUiR).

— Więcej zapytań odnośnie tej polisy zauważyliśmy ostatnio, po tym, jak pojawił się komunikat Prezesa Urzędu Ochrony Danych Osobowych o wzrastającej świadomości Polaków w zakresie danych osobowych i ich ochrony. Okazało się bowiem, że od momentu wejścia w życie RODO do końca stycznia wpłynęło ponad 4 tys. skarg — mówi Monika Osóbka, lider ds. oceny ryzyk cybernetycznych i odpowiedzialności zawodowej w polskim oddziale Colonnade Insurance.

Rośnie liczba firm zainteresowanych cyberpolisą, więc możliwość takiej ochrony pojawia się w ofercie kolejnych ubezpieczycieli. Ma ją Chubb, Colonnade, Ergo Hestia i PZU, a niedługo będzie ją oferować także Axa.

Marta Paruch, starszy menedżer ds. oceny ryzyk cybernetycznych w Chubb, zwraca uwagę, że polisa cyber ma coraz szerszy zakres. — Do ochrony można włączyć choćby przestępstwa komputerowe, w wyniku których dochodzi do kradzieży pieniędzy z firmy wskutek szkodliwego dostępu lub użycia systemu komputerowego ubezpieczonej spółki przez osobę trzecią — mówi Marta Paruch.

Zabezpieczone koszty

Generalnie cyberubezpieczenie zostało stworzone, żeby chronić firmy w zakresie odpowiedzialności cywilnej w stosunku do osób trzecich w związku z wyciekiem i naruszeniem danych osobowych.

— Pokryje ono nie tylko roszczenia osób trzecich w związku z atakiem hakerskim, ale też koszty reakcji na zdarzenie. Dzięki temu firmy dotknięte cyberprzestępstwem nie muszą na własną rękę szukać specjalistów z dziedziny informatyki śledczej czy prawników specjalizujących się w ochronie danych osobowych. Dostęp do nich zapewni polisa — mówi Marta Paruch.

Tłumaczy, że jeżeli w wyniku ataku hakerskiego zostaną zdobyte dane klientów firmy, którzy zaczną kierować roszczenia do spółki, to polisa pokryje koszty obrony i ewentualne zasądzone odszkodowania lub koszty ugody.

— Z kolei gdy dojdzie do postępowania regulacyjnego, zapłacimy też za doradcę prawnego, którego rolą będzie odpowiedź na wezwania do udzielenia wyjaśnień lub zapytań organu nadzoru — mówi Marta Paruch.

Ubezpieczyciel może pokryć również nakłady na znalezienie przyczyny naruszenia bezpieczeństwa danych lub ich wycieku, likwidację zagrożenia i zapobieganie jego wystąpieniu w przyszłości. Co więcej, ochrona może obejmować także działania służące odzyskaniuutraconej reputacji, jak i pokryciu strat wynikających z przestoju w działalności.

— Ubezpieczyciel opłaci też kary administracyjne nałożone za niedopełnienie obowiązków wynikających z rozporządzenia RODO — mówi Łukasz Zoń.

Nie dla każdego

Tutaj pojawia się pewien paradoks, ponieważ generalnie, żeby przedsiębiorca w ogóle mógł kupić polisę, musi być dobrze zabezpieczony na wypadek cyberzagrożeń.

— Firma powinna odpowiednio zarządzać ryzykiem w zakresie nie tylko bezpieczeństwa informatycznego, ale też zabezpieczania danych, za które jest odpowiedzialna. Nasza ankieta, którą przedsiębiorcy wypełniają, zanim dostaną ofertę ubezpieczenia, to w rzeczywistości miniaudyt dla klienta. Szukamy spółek z odpowiednimi procedurami i przeszkoloną kadrą. Czasem, aby być odpowiednio zabezpieczonym, wystarczy ograniczyć dostęp do danych pracownikom, którzy nie powinni go mieć, bądź nadawać dostępy do systemów na podstawie ról użytkowników, zgodnie z regułą najmniejszego uprzywilejowania — tłumaczy Marta Paruch.

Jej zdaniem nałożenie kary administracyjnej nie zawsze jest efektem niedostosowania się do przepisów.

— Może się zdarzyć, że firma jest dobrze zabezpieczona, zarówno technicznie, jak i proceduralnie, a zawodzi najsłabsze ogniwo, jakim jest pracownik. Z powodu umyślnych bądź nieumyślnych błędów jednostek może dojść do naruszenia danych osobowych, za które odpowiada spółka. To przedsiębiorca musi przeprowadzić ocenę ryzyka wszystkich obszarów, w których może dojść do incydentów i na podstawie tego odpowiednio zabezpieczyć dane — tłumaczy Marta Paruch.

Zabezpieczenie jest istotne, tym bardziej, że naruszenie ochrony danych osobowych

może kosztować przedsiębiorcę ogromne pieniądze.

— Oszacowaliśmy, że już same koszty notyfikacji osób fizycznych, których dotyczył wyciek danych w firmie średniej wielkości, mogą sięgnąć 500 tys. zł — mówi Monika Osóbka.

Inwestycja w polisę też nie będzie tania. W przypadku małej firmy może to być wydatek rzędu kilku tysięcy złotych rocznie — przy sumie 1-2 mln zł. Przy tym mali i średni przedsiębiorcy zwykle mogą liczyć na uproszczony proces oceny ryzyka przed zawarciem umowy. W przypadku PZU ankieta sprawdzająca stan zabezpieczeń składa się z zaledwie pięciu pytań. Z kolei Collonnade proponuje cyberpolisę w dwóch wariantach. W pierwszym znajduje się pełen katalog ryzyk cybernetycznych, a w drugim — te bezpośrednio związane z RODO. Obejmuje on m.in. koszty zawiadomienia osób, których dane dotyczą, postępowań administracyjnych oraz kary administracyjne i roszczenia cywilne osób fizycznych. Monika Osóbka przyznaje, że tą drugą opcją szczególnie zainteresowane są właśnie firmy MŚP. Jednak cyberpolisa przyda się wszystkim spółkom — i to niezależnie od branży.

— Ubezpieczenie cyber jest dostępne na rynkach zagranicznych od dwóch dekad. Na początku interesowały się nim głównie firmy informatyczne, ponieważ w największym stopniu zdawały sobie sprawę z ryzyka, z jakim wiąże się działanie w sieci. Instytucje finansowe były kolejnym sektorem biznesowym, który szukał ubezpieczenia cybernetycznego ze względu na ryzyko elektronicznej przestępczości finansowej, jak i dużą liczbę danych wrażliwych, którymi dysponują. Obecnie o ten rodzaj ubezpieczenia najczęściej pytają firmy produkcyjne i usługowe — mówi Marta Paruch.

Sprawdź program konferencji "RODO rok po wdrożeniu", która odbędzie się już 15-16 kwietnia w Warszawie >>>

© ℗
Rozpowszechnianie niniejszego artykułu możliwe jest tylko i wyłącznie zgodnie z postanowieniami „Regulaminu korzystania z artykułów prasowych” i po wcześniejszym uiszczeniu należności, zgodnie z cennikiem.

Podpis: Sylwia Wedziuk

Być może zainteresuje Cię też:

Polecane

Inspiracje Pulsu Biznesu