Złośliwe oprogramowanie i ataki hakerskie potrafią sparaliżować komputery firmy, a nawet całą jej infrastrukturę IT. Spowodowane tym straty mogą doprowadzić nawet do upadłości. Dziennie dochodzi w Polsce do ok. 100 tys. różnego rodzaju cyberataków. Najczęściej przychodzą z Rosji, Niemiec i z Polski. Polisa ubezpieczeniowa nie zapobiegnie oczywiście skutkom takich ataków, ale zrekompensuje szkody finansowe.
Według globalnie działającej firmy ubezpieczeniowej, Munich Re, do końca 2020 r. przedsiębiorstwa podwoją swoje roczne wydatki na ochronę przed cyberatakami, wydając na nią ok. 8-9 mld dolarów. – Tradycyjne ubezpieczenie nie obejmuje ataków szantażujących (ang. ransomware) i DoS (ang. Denial of Service). Idealna, kompleksowa polisa ubezpieczeniowa powinna obejmować: koszty śledztwa wyjaśniającego incydent (informatyczny – przyp. red.), pokrycie strat poniesionych przez stronę trzecią i związanych z tym roszczeń, naruszenie danych, zniszczenia sprzętu, koszty powiadomień o zainfekowanych stronach, włamania komputerowe, wymuszenia, zniesławienia, straty związane z przestojami i inne – uważa Błażej Pilecki, Bitdefender Product Manager firmy Marken.
Odpowiedzialne w firmach za bezpieczeństwo cybernetyczne osoby mogą więc, a nawet powinny, zmniejszać straty wynikłe z ewentualnych ataków, przenosząc część związanego z nimi ryzyka na towarzystwo ubezpieczeniowe.
Co grozi firmie?
* Złośliwe oprogramowanie (malware)
Malware to różnego rodzaju szkodliwe programy, które usiłują zainfekować komputer lub urządzenie mobilne.
* Phishing
To nic innego jak podszywanie się pod innych, by ukraść firmie dane. Najczęściej chodzi o informacje dostępowe, np. podanie loginu i hasła do systemów firmowych, lub nakłonienie firmy do założonych przez oszusta działań.
* Atak blokujący dostęp (atak DoS i DDoS)
Jest to zmasowany atak na system komputerowy lub usługę sieciową, który polega wysyłaniu ogromnej liczby zleceń (prób połączeń z systemem, operacji).
* Naruszenie bezpieczeństwa danych, np. kradzież, wyciek danych, zgubienie dokumentów
Często się zdarza, że pracownik niechcący wyśle e-mail z widoczną, pełną listą adresów odbiorców. Czasem zaginie dokumentacja medyczna pacjentów przychodni albo nieuczciwy pracownik, czy haker wykradnie dane finansowe firmy.
Co pokrywa pełne ubezpieczenie?
Towarzystwo ubezpieczeniowe może zaoferować szeroki zakres cyberpolisy. W takiej sytuacji pokrywa koszty roszczeń (np. odszkodowań, zadośćuczynień, kar i grzywien – w granicach dozwolonych przez prawo), które powstały w wyniku: naruszenia prywatności, w tym danych osobowych, praw autorskich, prawa własności przemysłowej, prawa do firmy lub prawa do domeny internetowej, plagiatu, piractwa, przywłaszczenia lub kradzieży koncepcji, naruszenia dobrego imienia (zniesławienia, pomówienia, podważenia reputacji biznesowej), obowiązku zachowania poufności, przekazania dalej wirusa lub innego złośliwego oprogramowania.
Ubezpieczyciel wypłaci także pieniądze za naprawę szkód spowodowanych naruszeniem danych lub zagrożeniem bezpieczeństwa sieci, np. koszty pracy informatyków – śledczych, obsługi prawnej, odzyskania danych, które zostały przypadkowo usunięte, uszkodzone, zniszczone lub zaszyfrowane przez wirusa lub oprogramowanie ransomware, związane z cybernetycznym wymuszeniem (żądaniem okupu). Pokryje także koszty: zawiadomienia (np. związane z obowiązkiem informacyjnym RODO), ochrony dobrego imienia czyli działania PR, monitorowania transakcji na wypadek nieuprawnionego posłużenia się danymi klientów, w tym kartami płatniczymi. Ubezpieczyciel może zrekompensować także firmie utratę zysków oraz wydatki niezbędne do podtrzymania działalności firmy. W tym konkretnie: utracony zysk netto oraz wydatki niezbędne do podtrzymania działalności firmy – z powodu nieupoważnionego dostępu, błędu operatora, ataku poprzez odmowę dostępu czy wprowadzenia złośliwego oprogramowania.
Także koszty i wydatki na zmniejszenie rozmiarów skutków awarii systemu komputerowego lub zakłóceń sieci informatycznej, koszty wykrycia i zmniejszenia zakłóceń lub pogorszenia bezpieczeństwa sieci informatycznej oraz ustalenia i utrwalenia dowodów tej szkody. Ubezpieczyciel może też pokryć koszty kar i oceny PCI, co jest związane z naruszeniem tzw. standardów bezpieczeństwa PCI podczas przetwarzania danych kart płatniczych.
Warto wiedzieć, że standardy bezpieczeństwa PCI obowiązują firmy (niezależnie od ich wielkości i kwoty transakcji) akceptujące płatności kartami kredytowymi i debetowymi. Każda firma, która przechowuje, przetwarza i/lub przesyła numery kart płatniczych, powinna zapewnić zgodność obsługi transakcji ze standardem PCI DSS.
Chronić najważniejsze
Część towarzystw ubezpieczeniowych koncentruje się na ochronie tych obszarów, które uważa za newralgiczne dla firmy:
– Generalnie ubezpieczamy dwa obszary. Po pierwsze dane przetwarzane w firmie − np. na wypadek nieuprawnionego ujawnienia tych danych i konieczności zapłaty odszkodowań osobom, których dane zostały ujawnione albo konieczności zapłaty kar. Drugi obszar to systemy informatyczne. Są to szkody spowodowane przez hakerów, przez awarie systemów informatycznych. Zarówno szkody polegające na odtworzeniu systemów informatycznych, danych, koszty doradców, informatyków, którzy pomagają odtworzyć te systemy, jak i koszty przestojów spowodowanych brakiem możliwości prowadzenia działalności przez firmę – powiedział w wywiadzie dla portalu aleBank.pl Włodzimierz Pyszczek, dyrektor ds. Kluczowych Klientów, Marsh Polska
Ubezpieczyciele oferują klientom szereg narzędzi analitycznych pozwalających oszacować wpływ na finanse firmy ataku cybernetycznego i przestoju w działalności, a także nieuprawnionego ujawnieniu danych. Zanim sprzedadzą i wystawią polisę mogą obliczyć, jakie hipotetycznie straty poniosłaby firma, gdyby zaatakował ją wirus komputerowy.
