Firmy stają się coraz łatwiejszym celem

Jak z pańskiej perspektywy wygląda podejście polskich przedsiębiorców do kwestii związanych z cyberbezpieczeństwem?

Jako ubezpieczyciel przed nawiązaniem współpracy z klientem dokonujemy oceny ryzyka, dzięki czemu wiemy, jak dana firma radzi sobie z zagrożeniami, czy ma wypracowane odpowiednie procedury na wypadek ataku. Na takiej podstawie decydujemy, czy i jaką możemy przedstawić ofertę ubezpieczenia. Analizując profil klientów, widzimy, iż podejście do cyberbezpieczeństwa się zmienia, ale wyłącznie w przedsiębiorstwach świadomych ryzyka. Lwia część rodzimych firm niestety nie zdaje sobie sprawy z powszechności zagrożeń. Naszym zdaniem organizacje nie inwestują w systemy zabezpieczające, ponieważ uważają, że takie ryzyko ich nie dotyczy, że hakerów interesują wyłącznie większe firmy finansowe bądź podmioty zajmujące się infrastrukturą krytyczną.

Z czego to wynika?

Między innymi z tego, że o atakach na polskie przedsiębiorstwa niewiele się słyszy – w końcu mało kto chce się podzielić informacją, iż został zaatakowany. Tymczasem cyberincydenty dotykają wszystkich firm: z branż produkcyjnych, hotelarstwa, ochrony zdrowia czy administracji publicznej.

Przeglądałem niedawno zestawienie podmiotów, które w minionym czasie dostały kary finansowe za wyciek danych. Wśród nich znalazł się m.in. dom kultury w małej miejscowości.

Jakiś czas temu w podobnym raporcie znalazła się także np. spółdzielnia mieszkaniowa. Różnorodność branż jest rzeczywiście ogromna. Ataki ransomware czy ściśle ukierunkowane działania hakerów naprawdę mogą dotknąć każdego, warto to podkreślać na każdym kroku. Banki czy organizacje zajmujące się infrastrukturą krytyczną są zapewne atakowane codziennie, ale ich inwestycje w zabezpieczenia są na tyle duże, że w większości przypadków po prostu wygrywają walki z cyberprzestępcami. Życzyłbym sobie większej liczby kampanii społecznych, w których mówiono by o ryzykach związanych z cyberbezpieczeństwem, ponieważ dzięki nim – być może – rosłaby świadomość także wśród najmniejszych podmiotów. Jednocześnie należy stwierdzić, że ogromna odpowiedzialność stoi na firmowych działach IT, które stale powinny informować zarządy o potencjalnych zagrożeniach.

Problem w tym, że firmy – zwłaszcza te najmniejsze – po prostu nie mają takich działów. A jeśli już mają, to zarządy nie potrafią wsłuchiwać się w ich potrzeby.

Jest jeszcze inna kwestia – nawet jeśli przedsiębiorstwo rozwija dział IT rozumiejący ryzyko dotyczące cyberzagrożeń, to członkowie takiego zespołu nie mówią głośno o swoich potrzebach, bojąc się, iż zostaną skrytykowani za brak skuteczności. Pułapka myślowa: jeśli dział IT przekonuje, że firma potrzebuje ubezpieczenia od cyberzagrożeń, to co to za dział, skoro sam nie potrafi ochronić organizacji? Każdy ekspert od cyberbezpieczeństwa powie panu, iż nie ma idealnych zabezpieczeń i żaden podmiot nigdy nie będzie w pełni bezpieczny.

Zwłaszcza że najsłabszym ogniwem każdej firmy jest człowiek. I jeśli pracownicy nie będą dostatecznie uważni, to żadna ochrona nie spełni swojej roli.

Jednym z kluczowych punktów oceny ryzyka jest to, czy organizacja prowadzi szkolenia wśród pracowników z zakresu cyberbezpieczeństwa. Takie inicjatywy, niestety, wciąż nie są powszechne.

Usłyszałem ostatnio o przypadku, kiedy firma – w ramach szkolenia – przeprowadziła tzw. biały atak na pracowników. Ci podopieczni, którzy – kolokwialnie rzecz ujmując – dali się nabrać, zostali natychmiast zwolnieni. To o tyle zastanawiające, że, tak mi się przynajmniej wydaje, osoba, która raz się nabierze, będzie znacznie uważniejsza w przyszłości.

Takie sytuacje wynikają z pośpiechu i chęci uzyskania szybkich efektów, tymczasem skutek będzie odwrotny – wkrótce będziemy bać się otwierać jakiekolwiek załączniki, a przecież też nie o to w tym wszystkim chodzi. Jednocześnie uważam, że białe ataki są jednymi z najlepszych form szkoleń, ponieważ dają namacalne przykłady potencjalnych zagrożeń. Pogoń za hakerami jest niezwykle trudna, moim zdaniem stale jesteśmy krok za nimi.

Na ile w tej pogoni mogą pomóc nam ubezpieczenia od cyberzagrożeń?

Rynek polis cyber w Polsce rośnie, ale rośnie od pułapu w zasadzie zerowego – one nie są powszechne jak chociażby ubezpieczenia komunikacyjne czy nawet podróżne. Niedawno mieliśmy klienta, który pomimo oferty ubezpieczenia z różnych przyczyn nie zdecydował się na wykupienie naszego ubezpieczenia. Po miesiącu otrzymaliśmy od niego telefon, że został zaatakowany.

Jak w tym zakresie wygląda oferta ERGO Hestii

Możemy mówić o kilku aspektach. Przede wszystkim oferta ubezpieczenia dotyczy danych przetwarzanych przez organizację – pokrywamy koszty związane z odtworzeniem czy przywróceniem danych, jak również koszty okupu bądź kar administracyjnych. Nasze propozycje obejmują też zwrot kosztów przestoju działalności po ataku cybernetycznym. Oferta ERGO Hestii jest bardzo szeroki, gdyż chronimy nie tylko klienta, ale zajmujemy się również konsekwencjami jego działań mogących spowodować szkodę u innych, np. kontrahentów.

Dodatkowo nasze ubezpieczenia obejmują nie tylko zdarzenia powstałe po cyberataku. Prosty przykład – gubimy laptopa z istotnymi danymi osobowymi lub informacjami poufnymi, czego konsekwencją jest ich być może przypadkowe dostanie się w niepowołane ręce. Pokrycie kosztów takich incydentów również jest częścią naszej oferty.

Na ile wasza oferta jest personalizowana i przygotowywana według potrzeb poszczególnych klientów?

Jako ERGO Hestia oferujemy dwa podstawowe produkty. Pierwszy jest propozycją dla mikro-, małych i średnich przedsiębiorstw, których roczny obrót nie przekracza 15 mln zł. Składka w takim przypadku wynosi maksymalnie 3 tys. zł miesięcznie z limitem odpowiedzialności do 1 mln zł. To bardzo atrakcyjna oferta dla tego typu podmiotów, w naszej ocenie dobrze dopasowana do ich potrzeb. Drugi produkt to kompleksowy zakres ubezpieczenia, skierowany do wszystkich przedsiębiorstw, gdzie limity odpowiedzialności są wyższe. Zawiera wszystkie funkcjonalności

– i wiele innych – o których wspomniałem wcześniej. Tego drugiego produktu sprzedajemy więcej, gdyż najmniejsze organizacje, jak już wspominaliśmy, wciąż postrzegają rozwój cyberochrony jako koszt, a nie inwestycję. Klientowi łatwiej sobie wyobrazić, że jego biuro spłonie, niż dojdzie do ataku hakerskiego, który spowoduje nie tylko spore straty finansowe, ale także – a może przede wszystkim – wizerunkowe. W końcu kto chciałby współpracować z firmą, która nie przykłada należytej uwagi do twoich danych? Jednym z elementów naszych ubezpieczeń jest pokrycie kosztów obsługi public relations związanej z poinformowaniem opinii publicznej o cyberincydencie i ograniczeniem skutków wizerunkowych. To ważne, biorąc pod uwagę fakt, iż wyciek danych może dotyczyć nie tylko informacji o kontrahentach, ale także np. o opracowywanych przez nas patentach czy dalszych strategicznych planach.

Próbując podsumować: ubezpieczenie od cyberzagrożeń nie jest remedium na większość zła, ale powinno stanowić istotny element ochrony organizacji?

Jeśli wykupujemy AC, to nie po to, żeby zapobiec kolizji, ale żeby jej skutki w miarę skutecznie naprawić. Dokładnie tak samo działa ubezpieczenie cyber. Hakerzy stale rozwijają swoje umiejętności, przez co firmy stają się dla nich coraz prostszym celem. Ryzyko cyberincydentu dotyczy każdego podmiotu – bez względu na jego wielkość czy branżę, w jakiej działa. I co ważne – ubezpieczenie od cyberzagrożeń umożliwia szybkie reagowanie. A z atakiem hakerskim jest jak z udarem – im szybciej zareagujemy, tym skutki będą mniej opłakane.