Awarie systemów informatycznych i ataki hakerskie są ostatnio na porządku dziennym. To nie tylko PKW, która do tej pory nie może policzyć głosów, ani PKP, które zaliczyły falstart sprzedaży biletów na pendolino. To także włamanie do systemu GPW hakerów, którzy na kilka godzin zablokowali stronę giełdy, oraz wiele mniej spektakularnych problemów, m.in. w bankach, na przykład ING, gdzie klienci mieli problemy z wypłatami i blokadami na kontach, czy Getinu, któremu przedłużyła się nieco przerwa techniczna.
Trudno dostępna możliwość
W takich sytuacjach dostawcy rozwiązań IT narażeni są na ogromne roszczenia. Nic zatem dziwnego, że w związku ze wzmożeniem awarii systemów i ataków hakerskich ubezpieczyciele i brokerzy zauważają większe zainteresowanie przedsiębiorców zabezpieczeniem się na wypadek skutków takich zdarzeń. Jednak rynek ubezpieczeniowy ciągle nie do końca potrafi odpowiedziećna ich potrzeby. Przynajmniej nie w każdym przypadku.
— O ile oferta dla firm IT w zakresie ubezpieczenia ryzyka szkód osobowych i rzeczowych jest w miarę bogata, o tyle wciąż brakuje rozwiązań oferujacych szeroki zakres w odniesieniu do czystych szkód majątkowych — tłumaczy Michał Molęda, główny underwriter linii OC w Leadenhall Polska.
A w przypadku dostawców na przykład oprogramowania ubezpieczenie szkód osobowych i rzeczowych na niewiele się zda. Takie firmy powinny zainwestować przede wszystkim w ubezpieczenia OC, które pokryje szkody czysto majątkowe i będzie miało sumę nieograniczoną limitami wynikającymi z podstawowego ryzyka dostarczania produktów i usług. Zdaniem Jakuba Płócienniczaka, starszego brokera specjalisty w Marsh Polska, nie jest już dzisiaj problemem uzyskanie oferty polisy OC zawodowej, która odpowiednio zabezpieczy firmę IT. Jest to możliwość dostępna szczególnie dla większych firm.
— Duże firmy IT mają możliwość negocjowania indywidualnych rozwiązań, ale zakres ubezpieczenia nawet w takich przypadkach bywa niewystarczający. Często wyłączone z ochrony są roszczenia związanez dokonywaniem transakcji pieniężnych, niedotrzymaniem kosztorysu, wynikające z braku dokumentacji, naruszenia własności przemysłowej, niestosowania adekwatnego oprogramowania zabezpieczającego, wykorzystania infrastruktury klucza publicznego, przekroczenia terminu czy nakładów poniesionych w oczekiwaniu na prawidłowe wykonanie umowy — wylicza Michał Molęda.
Zdaniem Jakuba Płócienniczaka, koszt dobrej polisy OC zawodowej sięga od kilku do kilkunastu tysięcy złotych za 1 mln zł limitu ochrony. Ubezpieczyciel zastrzega sobie jednak konieczność audytu, a to też kosztuje.
Znaleźć coś dla siebie
Zdaniem Michała Molędy, małym firmom pozostaje standardowa oferta. Mogą one próbować dopasować charakter swojego ryzyka do dostępnych na rynku ubezpieczeń. Na przykład ryzyko podmiotów prowadzących działalność tylko doradczą i projektową jest zbliżone do ryzyk OC firmy konsultingowej a ryzyko dostawców oprogramowania do ubezpieczenia OC projektanta. Warto też pamiętać, że małemu podmiotowi IT, który obsługuje dużą firmę, bardziej może się opłacać zarządzanie ryzykiem niż jego transfer na ubezpieczyciela. Bo na to drugie nie będzie go po prostu stać. Jednak Adam Gmurczyk, dyrektor działu ubezpieczeń financial lines w AIG, zapewnia, że AIG jest w stanie zapewnić kompleksową ochronę OC również dla małych i średnich firm z branży nowych technologii, w rozsądnej cenie.
Proponowana przez AIG polisa obejmuje zarówno OC zawodowe, jak i OC z tytułu prowadzenia działalności gospodarczej. W tym pierwszym przypadku pokryje kwoty odszkodowań i koszty obrony przed roszczeniami odszkodowawczymi, a może zostać rozszerzona m.in. o wymianę danych komputerowych, udział w postępowaniach sądowych, ochronę z tytułu prawa własności intelektualnej, ewentualnej nieuczciwości pracowników oraz zniesławienia czy zniewagi.
Firmy z przychodami do 20 mln zł mogą skorzystać w AIG z uproszczonej procedury zawarcia umowy, a składka jest dostosowana do przychodów firmy.
— W przypadku OC zawodowego roczny koszt polisy dla spółek o przychodach do 4 mln zł zaczyna się od 1500 zł przy sumie ubezpieczenia rzędu 0,5 mln zł — mówi Adam Gmurczyk.
Cyberubezpieczenia
Odrębna kwestia to ataki hakerskie, w przypadku których dostawca IT nie musi ponosić odpowiedzialności, więc zabezpieczenie leży również po stronie firm korzystających z rozwiązań IT.
— Dostawca IT może ponosić odpowiedzialność jedynie za zawinione błędy w dostarczonych rozwiązaniach IT, jednak ich bieżące zabezpieczenia przed ingerencją z zewnątrz należy już do obowiązków każdej firmy korzystającej z tych rozwiązań — tłumaczy Jakub Płócienniczak.
Takie zabezpieczenie jest szczególnie istotne w kontekście planowanej możliwości zaostrzenia w najbliższym czasie odpowiedzialności prawnej za utratę danych osobowych, z restrykcyjnymi karami, nawet do 5 proc. przychodów rocznie. Warto o nie dbać regularnie.
— Ważne jest posiadanie najnowszych aktualizacji, odpowiednia konfiguracja systemów IT, regularne audyty konfiguracji zasobów teleinformatycznych czy testy odporności na ataki DoS i DDoS — radzi Tomasz Szadkowski, prezes Soflab Technology.
Od niedawna istnieje jednak również możliwość wykupienia specjalnej polisy zabezpieczającej cyber-ryzyka.
— Ubezpieczenie Cyber pokryje roszczenia związane z utratą albo ujawnieniem danych osobowych oraz informacji handlowych wskutek ataku hakerskiego, zainstalowania złośliwego oprogramowania, działań o charakterze przestępczym czy klasycznych zaniedbań ze strony pracowników ubezpieczonego — mówi Małgorzata Ulatowska, menedżer biura kontaktów międzynarodowych w Donorii, firmie brokerskiej.
Polisa pokryje także m.in. koszty związane z odbudową nadszarpniętego wizerunku czy ewentualne koszty postępowania administracyjnego. Takie ubezpieczenie od ponad dwóch lat ma w swojej ofercie AIG. W tym przypadku również przewidziana jest uproszczona procedura dla MSP, ale miesięczna składka sięga od kilku do kilkunastu tysięcy złotych. Średnio za każdy milion złotych sumy ubezpieczenia koszt wyniesie ok. 5 tys. zł w przypadku firm z obrotami do 10 mln zł. Przy tym ubezpieczyciel będzie miał dodatkowe oczekiwania.
— Przed zawarciem umowy wykona audyt i może przedstawić swoje zalecenia — np. plan zachowania w przypadku utraty danych osobowych. Może być także konieczne wyznaczenie w firmie osób odpowiedzialnych w sytuacjach kryzysowych — mówi Małgorzata Ulatowska.
5000 zł Tyle wyniesie w AIG składka polisy dla MSP za każdy milion złotych sumy ubezpieczenia od cyber-ryzyka.