Kiedy ochrona zawiedzie

Na pomysł tego tekstu wpadłem przypadkiem. Dyskutowałem na inny temat związany z cyberbezpieczeństwem z ekspertem dużej korporacji. W pewnym momencie rozmowa zeszła na wyciek danych medycznych, o jakim kilka miesięcy temu głośno było w mediach społecznościowych. Jak wskazał mój rozmówca, zaatakowane przedsiębiorstwo nie wykupiło ubezpieczenia od cyberataku, choć niedługo przed tym, gdy doszło do incydentu, zastanawiało się nad stosownym rozwiązaniem. – Byłem niezwykle zdziwiony, że oni nie skorzystali z naszej oferty, zwłaszcza że propozycja była naprawdę atrakcyjna. Tak zupełnie na marginesie, nie reklamując naszych usług, zobacz sobie, co dzieje się w polskiej branży związanej z cyberubezpieczeniami. Podobnych rozwiązań powstaje coraz więcej i choć na razie przedsiębiorcy są dosyć oporni przed korzystaniem z nich, sądzę, że w niedalekiej przyszłości staną się one w pełni powszechne – stwierdził mój  rozmówca.

Zatem wspólnie „zobaczmy sobie”, czy ubezpieczenie od cyberataków to produkt przyszłości, czy może jedynie ciekawostka, która zainteresuje wyłącznie nielicznych.

Ukryte koszty

– Jeśli wykupujemy AC, to nie po to, żeby zapobiec kolizji, ale żeby jej skutki w miarę skutecznie naprawić. Dokładnie tak samo działa ubezpieczenie cyber. Hakerzy stale rozwijają swoje umiejętności, przez co firmy stają się dla nich coraz prostszym celem – mówi Tomasz Dolata z ERGO Hestii, z którym wywiad możecie przeczytać na kolejnych stronach. O tym, jak prostym celem stają się przedsiębiorstwa, świadczą najnowsze dane i statystyki.

Jak wynika z informacji KPMG, w 2023 r. 66 proc. firm w naszym kraju odnotowało przynajmniej jeden incydent polegający na naruszeniu bezpieczeństwa, a 34 proc. organizacji zauważyło wzrost intensywności prób cyberataków. Ponadto przedsiębiorstwa biorące udział w badaniu KPMG zadeklarowały, że największym cyberzagrożeniem są dla nich wyłudzenia danych uwierzytelniających (phishing) oraz wycieki danych za pośrednictwem złośliwego oprogramowania (malware). W czołówce zagrożeń organizacje wymieniają również kradzież danych przez pracowników oraz zaawansowane ataki ze strony profesjonalistów.

Mało tego, cyberryzyko znalazło się w Polsce na trzecim miejscu listy najistotniejszych zagrożeń dla biznesu, choć jeszcze dwa lata temu zajmowało odległą 18. pozycję – taką informację można znaleźć z kolei w raporcie Aon pt. „Globalne badania zarządzania ryzykiem 2023”. Autorzy publikacji przekonują jednocześnie, że obecnie mniej niż połowa rodzimych przedsiębiorstw ma wdrożoną politykę zarządzania cyberryzykiem – problem jest szczególnie widoczny w małych i średnich przedsiębiorstwach, które nie mają wyspecjalizowanych działów IT, a wszelkie nakłady finansowe konieczne do przeznaczenia na ochronę przed hakerami traktują jako koszt, a nie inwestycję.

O tym, że każda organizacja może stać się łakomym kąskiem dla cyberprzestępców świadczą publikowane co jakiś czas  informacje o karach nałożonych na poszczególne organizacje w związku z wyciekiem danych. Na listach dominują oczywiście firmy finansowe czy zajmujące się administracją, jednak nie brakuje na nich również takich podmiotów jak spółdzielnie mieszkaniowe czy domy kultury. Z badania Aon wynika, że cyberataków obawiają się przede wszystkim firmy z sektora publicznego, sportu i rozrywki, doradztwa biznesowego oraz usług opieki zdrowotnej, jednak autorzy publikacji – co budujące – zwracają jednocześnie uwagę na fakt, iż przedstawiciele niemal każdej branży czują na karku oddech hakerów. To pierwszy krok do budowania szerokiej świadomości.

Trudno jednoznacznie wskazać, która forma ataku może być najbardziej zgubna w skutkach z biznesowego punktu widzenia. Fakt jest taki, że jeśli dojdzie do cyberincydentu, organizacja będzie musiała się zmierzyć nie tylko z pogorszeniem wizerunku, ale także z utratą znaczących środków finansowych. Z niektórych kosztów będących konsekwencją ataku hakerskiego – jak wskazują moi rozmówcy – wielu przedsiębiorców nawet nie zdaje sobie sprawy. – Jeśli na skutek cyberataku na twoją firmę dojdzie do wycieku danych twoich klientów bądź kontrahentów, będziesz zmuszony każdego z nich poinformować o takim zdarzeniu listownie, na papierze. Jakie to dokładnie koszty? Wydrukowanie dokumentu i wysłanie go listem poleconym kosztuje, powiedzmy, ok. 7 zł. Jeśli mamy, dla łatwego liczenia, 10 tys. klientów, nagle robi nam się 70 tys. zł, które musimy poświęcić ot tak, z marszu. Ja to nazywam ukrytymi kosztami związanymi z cyberatakiem – tłumaczy prawnik z dużej firmy telekomunikacyjnej.

Nic więc dziwnego, że przedsiębiorstwa w jakiś sposób chcą się zabezpieczyć przed takimi właśnie ukrytymi kosztami. Biznesowi wychodzą naprzeciw pośrednicy oraz ubezpieczyciele oferujący coraz atrakcyjniejsze produkty pomagające radzić sobie z konsekwencjami cyberincydentów.

Być przy kliencie

Ubezpieczenie od cyberryzyka minimalizuje odpowiedzialność firmy dotyczącą wypłaty wszelkich odszkodowań z tytułu ataku hakerskiego. Zakres poszczególnych produktów jest różny i zależny od oferty danego ubezpieczyciela, ale może obejmować m.in.: koszty prawne, koszty przywrócenia tożsamości klientów, koszty przestoju spowodowanego incydentem, koszty przywrócenia danych czy ogólne koszty usunięcia wszelkich uszkodzeń zaatakowanych systemów komputerowych. To oczywiście nie wszystko – niektórzy ubezpieczyciele idą o krok dalej, do swojej oferty włączając również np. koszt obsługi medialno-

-PR-owej, niezbędnej do zareagowania w sytuacji kryzysowej, czy ułatwiając dostęp do usług kancelarii prawnej bądź informatyków śledczych.

Ciekawym wątkiem rozwoju cyberubezpieczeń jest fakt, że powstawanie kolejnych tego typu produktów świetnie obrazuje kierunek, w jakim zmierza sektor ubezpieczeniowy. Usłyszałem jakiś czas temu, że to branża dość konserwatywna, w której nie wprowadza się z dnia na dzień rewolucji, lecz stałą, konsekwentną zmianę w dopasowaniu do potrzeb i oczekiwań klientów ubezpieczeniowych. Firmy nie tylko z sektora insurtech wiedzą, że implementacja nowych technologii jest dla nich kwestią wręcz egzystencjalną - rynek ubezpieczeń jest bardzo konkurencyjny, więc towarzystwa ubezpieczeniowe nie mogą sobie pozwolić na brak zainteresowania technologią, bo jeśli tego nie zrobią, to za jakiś czas znajdą się w tyle, daleko za konkurencją.

A oczekiwania klientów są w tym momencie takie – co pokazują cytowane w tekście raporty – że chcą wyspecjalizowanych partnerów, którzy pomogliby im w walce z cyberprzestępcami. Eksperci z branży insurtech już teraz przewidują, że cyberpolisy mogą wkrótce stać się jedną z najważniejszych biznesowych nóg ubezpieczycieli. Proces zapewne jeszcze trochę potrwa, gdyż ten konkretny obszar rynku rozwija się u nas z poziomu w zasadzie zerowego, natomiast ostatnie statystyki największych firm ubezpieczeniowych wskazują, iż zainteresowanie tego typu produktami stale rośnie. I biorąc pod uwagę coraz powszechniejszą aktywność hakerów, będzie rosnąć nadal.

Oczywiście ubezpieczenie od cyberryzyka nie może być jedynym elementem polityki bezpieczeństwa firmy. To wyłącznie środek, który pomoże zniwelować straty, jeśli do incydentu już dojdzie. A to niezwykle istotne, ponieważ – powtarzając za Tomaszem Dolatą – z cyberatakiem jest jak z udarem mózgu. Im szybciej zareagujemy, tym skutki będą mniej opłakane. Właściwa reakcja na problemy jest kluczem do sukcesu w dynamicznie zmieniającej się i konkurencyjnej sytuacji gospodarczej.