Hakerzy wykorzystali pandemię i masowe przejście pracowników na pracę zdalną. Ataków – szczególnie typu ransomware – jest w ostatnim czasie tak dużo, jak nigdy wcześniej. Ta sytuacja odbija się także na stawkach i dostępności ubezpieczeń na wypadek ryzyk cybernetycznych.
Światowy trend zwyżkowy
Niedawno spółka Willis Re poinformowała, że przy odnowieniach reasekuracji ryzyka cyber stawki wzrosły o 40 proc. Przyczyną są większe wypłaty z polis za ataki ransomware, w przypadku których przestępcy blokują dostęp do systemu komputerowego lub uniemożliwiają odczyt zapisanych w nim danych, a następnie żądają od ofiary okupu za przywrócenie stanu pierwotnego. Prezes Willis Re stwierdził, że niektóre kraje rozważają, czy ubezpieczyciele w ogóle powinni płacić za tego typu ataki. Globalny wzrost stawek wpływa także na Polskę.
– Ubezpieczenia cyber są oferowane w naszym kraju w dwóch modelach. Pierwszy opiera się na umowach reasekuracji. Drugi polega na oferowaniu tego rodzaju produktów w ramach działalności oddziałów ubezpieczycieli globalnych. W jednym i drugim przypadku mamy odniesienie do rynku międzynarodowego, dlatego też sytuacja na rynku globalnym skutkuje automatycznie wzrostem składki i zmianą podejścia do analizy ryzyka przez lokalnych graczy – mówi Jakub Płócienniczak, starszy broker, ekspert do spraw ubezpieczeń cyber w Willis Towers Watson Polska.
Jego zdaniem w Polsce podwyżki cen cyberubezpieczeń są już widoczne. Jednak nasycenie takimi polisami u nas wciąż jest niewielkie. Dotkliwe są zatem nie tyle wysokie stawki, co trudności z pozyskaniem polisy. Wynikają one z zaostrzonej oceny ryzyka.
– W wielu przypadkach, z powodu niskiego poziomu cyberbezpieczeństwa z firmach, ubezpieczyciele w ogóle nie przedstawiają im oferty – mówi Jakub Płócienniczak.
Konieczny udział w szkodzie
Anna Pluta, lider praktyki cybernetycznej w firmie brokerskiej Marsh, zwraca uwagę, że o wyraźnej zmianie strategii ubezpieczycieli w odniesieniu do polis od ryzyka cybernetycznego można mówić od 2020 r.
– Podejście do oceny ryzyka jest bardzo ostrożne i poprzedzone głęboką analizą. To oczywiście efekt szkód o charakterze ransomware. Ataki tego typu są coraz powszechniejsze i dotkliwsze dla ofiar oraz ich ubezpieczycieli – mówi Anna Pluta.
W pierwszym kwartale tego roku Marsh odnotował wzrost składek w Europie o 38,7 proc. w porównaniu z poprzednim rokiem.
– Zdecydowanie mamy rynek ubezpieczyciela, a nie poszukującego ochrony. Ubezpieczyciele w czasie pandemii mocno odczuli finansowe skutki ransomware, dlatego ograniczają swój apetyt na ryzyko, stosując różne rozwiązania, m.in. wprowadzenie sublimitu dla ochrony na wypadek cyberyzyka, wymuszenie lub zwiększenie udziału własnego bądź też wprowadzenie koasekuracji w szkodzie powstałej po ataku ransomware – tłumaczy Anna Pluta.
Pomimo tego polisy cyber oferowane na polskim rynku obejmują nadal wypłaty z tytułu ataków ramsomware. Zdaniem Jakuba Płócienniczaka tak powinno zostać.
– W mojej ocenie ubezpieczenia cybernetyczne powinny nadal obejmować ryzyko ataku ramsomware. Wiąże się ono bowiem dla organizacji z kryzysem, który może być bardzo dotkliwy. Trzeba pogodzić jednak z jednej strony interesy klienta, który powinien znaleźć wsparcie w polisie, z możliwościami rynku ubezpieczeniowego, który z uwagi na ogromną szkodowość ma swoje ograniczenia. Uważam, że dobrym rozwiązaniem jest wprowadzenie na przykład 50-procentowego udziału w szkodzie ubezpieczonego, co mogłoby wpłynąć na zwiększenie zainteresowania poprawą bezpieczeństwa i zmniejszyłoby skłonność do natychmiastowej wypłaty okupu – mówi Jakub Płócienniczak.
Duże zainteresowanie
Jednocześnie zainteresowanie cyberpolisami szybko rośnie.
– Do tego firmy, które już mają cyberochronę, szukają coraz większych limitów, pomimo tego, że koszt ubezpieczania jest coraz wyższy – mówi Anna Pluta.
W PZU standardowa cena cyberubezpieczeń dla klientów z sektora MŚP się nie zmieniła.
– Obecnie nie przewidujemy jej wzrostu. Natomiast w przypadku dużych przedsiębiorstw do każdego klienta podchodzimy indywidualnie, weryfikujemy zabezpieczenia oraz podatności na ataki – zapewnia Jakub Orlicz, menedżer produktu i ekspert od ubezpieczeń cyber w PZU.
Dodaje, że w ostatnim czasie PZU rozszerzyło ofertę pakietu ochrony dla małych i średnich firm o ubezpieczenie cyber. W jej ramach ubezpieczyciel gwarantuje wsparcie w kryzysowej sytuacji, rekompensuje utratę zysku oraz wydatki niezbędne do podtrzymania działalności firmy, a także pokrywa koszty ewentualnych kar i roszczeń.
Mali i średni przedsiębiorcy generalnie mają jednak łatwiej niż duzi. Ubezpieczyciele ograniczają ochronę w przypadku tych ostatnich.
– Zupełnie inne oczekiwania mają jednak w stosunku do małych firm, gdzie ryzyko żądania dużego okupu jest zdecydowanie niższe, niż w przypadku dużych i znanych, jak na przykład CD Projekt, który notabene takiego ataku doświadczył – mówi Jakub Płócienniczak.
Tak czy inaczej, warto postawić na prewencję.
– Trzeba robić regularne kopie zapasowe, weryfikować ich integralność, zapisywać je na dyskach zewnętrznych i przechowywać w odrębnej lokalizacji. Ubezpieczenie zadziała na końcu i może zminimalizować skutki powstałe po zainfekowaniu systemów przez złośliwe oprogramowanie – radzi Anna Pluta.