A czy Ty dbasz o bezpieczeństwo swojej firmy w sieci?

fot. Adobe Stock
fot. Adobe Stock 93
Ataki hakerskie, wirusy i inne złośliwe oprogramowanie to nie wszystkie niebezpieczeństwa, na które jest narażona każda, nawet najmniejsza, firma. Dużym problemem, zwłaszcza po wejściu RODO, są naruszenia bezpieczeństwa danych, których skutki mogą być bardzo kosztowne.
ARTYKUŁ BEZPŁATNY

z miesięcznika „My Company Polska”, wydanie 8/2019 (47)

Zyskaj dostęp do bazy artykułów z „My Company Polska” Zamów teraz!

Liczba przestępstw cybernetycznych rośnie w zastraszającym tempie. Jak wykazują eksperci z F-Secure, firmy, która tworzy oprogramowanie antywirusowe, tylko w Polsce takie próby są podejmowane średnio 700 razy na godzinę. Prawdopodobieństwo, że przedsiębiorstwo padnie ofiarą ataku hakerskiego, jest dziś kilkakrotnie wyższe niż to, że zniszczy je pożar.

Ataki cyberprzestępców nie są wymierzone już tylko w banki, instytucje finansowe i duże korporacje, lecz także w nieduże firmy, np. z branży sprzedaży detalicznej, ochrony zdrowia i usług. I to te najmniejsze biznesy najbardziej odczuwają ataki cyberprzestępców i skutki naruszenia danych, bo awaria może doprowadzić do wstrzymania sprzedaży ich produktów i usług. – Takie zdarzenia mogą zakłócić prawidłowe działanie przedsiębiorstwa na wiele dni, a nawet tygodni – a przestój trwający np. pół miesiąca oznacza utratę połowy miesięcznych przychodów. To z kolei może być dodatkowym zagrożeniem dla stabilności firmy, bo mimo zdarzenia musi ponosić koszty niezbędne do podtrzymania działalności, czyli wypłacać pensje czy płacić czynsz – mówi Jakub Orlicz, ekspert z PZU.

Tymczasem, jak wynika z najnowszego raportu PwC, tylko 8 proc. polskich przedsiębiorstw jest przygotowanych na odparcie cyberataku. Z badań przeprowadzanych przez PZU wynika z kolei, że 97 proc. przedsiębiorstw korzysta z komputerów i internetu, ale większość z nich nie ma bezpośredniego dostępu do specjalistów w razie ataku cybernetycznego. 

Potwierdza to najnowszy raport Urzędu Komunikacji Elektronicznej „Badanie opinii publicznej w zakresie funkcjonowania rynku usług telekomunikacyjnych oraz preferencji konsumentów/klientów instytucjonalnych”. Okazuje się, że niemal 79 proc. badanych przedsiębiorców nigdy nie zetknęło się z pojęciem Big Data, a tylko 10,3 proc. badanych firm przechowuje dane w chmurze. Prawie 90 proc. małych firm nie zatrudnia też specjalistów odpowiedzialnych za zabezpieczenie sieci i bezpieczeństwo danych.

Kosztowne naruszenia danych

W wyniku cyberataku może dojść także do naruszenia danych klientów czy pracowników firmy (danych osobowych lub innych poufnych informacji, np. finansowych, zdrowotnych). – Właściwie nie ma już firmy, która nie przetwarzałaby danych osobowych. Póki nic się nie dzieje, nie ma z tym problemu. Gorzej, gdy dochodzi np. do wycieku danych, bo to już duże wyzwanie dla przedsiębiorców, którzy często nie wiedzą, jak sobie w takiej sytuacji poradzić. W szczególności dotyczy to tych przedsiębiorców, którzy na co dzień nie korzystają z pomocy prawników specjalizujących się w przepisach o ochronie danych osobowych – podkreśla Jakub Orlicz. 

Warto też pamiętać, że do naruszenia danych może dojść również bez ataku hakerskiego w sieci. Wystarczy, że pracownik firmy zgubi dokumenty albo umowy czy wyśle e-maila zbiorowego z nieukrytymi adresami innych odbiorców.

Niestety wielu przedsiębiorców nie wie, co zrobić w przypadku cyberataku lub naruszenia danych. Przez to mogą być narażeni na wysokie kary finansowe (nawet do 20 mln euro lub 4 proc. wartości obrotu). Mogą być nimi obciążeni, jeśli nie dopełnią obowiązków, które wynikają z RODO i innych przepisów dotyczących ochrony prywatności. 

Jeśli dojdzie do naruszenia bezpieczeństwa danych, np. w wyniku wycieku danych, koniecznie trzeba to zgłosić Prezesowi Urzędu Ochrony Danych Osobowych. W zgłoszeniu trzeba napisać, m.in. jak doszło do incydentu i ilu osób on dotyczy. Najlepiej jednak, żeby w odpowiedni sposób zrobiła to wyspecjalizowana kancelaria prawna. Liczy się też czas – zgłoszenie należy złożyć w miarę możliwości nie później niż w ciągu 72 godz. po stwierdzeniu naruszenia. 

– Taki incydent to nie tylko kłopot formalny, to także duże koszty, na jakie narażony jest przedsiębiorca. Chodzi nie tylko o koszty pracy prawników, ale też koszty zawiadomienia potencjalnie poszkodowanych klientów czy pracy informatyków.

Naruszenie danych osobowych to dla firmy również ryzyko utraty reputacji. Utrata dobrego wizerunku może doprowadzić firmę do poważnych problemów – zwłaszcza tę, której działalność opiera się na zaufaniu. Wtedy niezbędna może być pomoc agencji PR, która pomoże ochronić dobry wizerunek firmy – zauważa ekspert PZU. 

Ubezpieczenie dla każdej firmy

Standardowe ubezpieczenia dla firm nie chronią jednak przed skutkami cyberataków i przypadkami naruszenia danych. Poważnym następstwom cyberataków, które najbardziej mogą odczuwać małe i średnie przedsiębiorstwa, można jednak zapobiec. Nową ofertą dla przedsiębiorców jest ubezpieczenie od ryzyk cybernetycznych, które zostało specjalnie zaprojektowane tak, aby wyeliminować luki w ochronie ubezpieczeniowej i zapewnić firmom ochronę przed zagrożeniami cybernetycznymi oraz szybką pomoc w razie zdarzenia.

– W PZU z uwagą przyglądamy się potrzebom naszych klientów i staramy się wychodzić naprzeciw ich oczekiwaniom. Powstało więc ubezpieczenie od ryzyk cybernetycznych. Jest ono dostosowane do potrzeb nie tylko największych firm, ale także dla tych z sektora MSP, a nawet przedsiębiorców prowadzących jednoosobową działalność gospodarczą. Chcieliśmy stworzyć wszechstronne ubezpieczenie w korzystnej cenie, które będzie maksymalnie proste dla klientów. Aby ubezpieczyć firmę w PZU, wystarczy odpowiedzieć na pięć prostych pytań, które pozwolą nam na przedstawienie odpowiedniej oferty. Wymogi dotyczące zabezpieczeń również ograniczyliśmy do minimum – wystarczy używać program antywirusowy i zaporę sieciową (firewall) oraz tworzyć kopie zapasowe istotnych danych – mówi Jakub Orlicz. 

Wszechstronna pomoc profesjonalistów

Jeśli dojdzie do ataku cybernetycznego lub naruszenia danych, ubezpieczyciel organizuje i pokrywa koszty pomocy specjalistów zarządzających incydentami, informatyków śledczych, kancelarii prawnych, agencji PR. Doświadczeni eksperci zapewniają pomoc również w przypadku roszczeń osób trzecich (np. klientów firmy). Ponadto ubezpieczone firmy mogą otrzymać odszkodowanie za utracony zysk.

 – Współpracujemy z wieloma renomowanymi firmami, takimi jak Crawford (międzynarodowa firma zarządzająca incydentami) czy F-Secure i Grant Thorton (światowi specjaliści IT działający lokalnie). Zapewniamy pomoc międzynarodowej agencji PR – FleishmanHillard Fishburn. Jeśli nasi klienci potrzebują pomocy prawnej, pomogą im wyspecjalizowane zespoły m.in. z kancelarii CMS, Dentons, DLA Piper czy DZP. Zapewniamy więc przedsiębiorcom parasol ochronny, który w kryzysowej sytuacji musieliby zapewnić sobie sami – wylicza Jakub Orlicz.

--

Oblicz, czy warto mieć ubezpieczenie od ryzyk cybernetycznych

1. Wyceń jeden dzień braku działalności Twojej firmy – policz utracone przychody, niezrealizowane zamówienia lub usługi, straty wynikające z przerwania procesu produkcji. 

2. Pomnóż to przez liczbę dni potrzebnych na ponowne uruchomienie działalności i poprawę tego, co zawiodło, żeby sytuacja się nie powtórzyła. 

3. Dodaj straty, jakie możesz ponieść w wyniku utraty danych, np. Twoich klientów.

4. Dodaj koszt strat wizerunkowych Twojej firmy, czyli koszty obsługi specjalistów PR.

5. Policz, ile będzie kosztować Cię odzyskanie utraconej pozycji na rynku. I dodaj tę kwotę do reszty. 

 

Koszty cyberataku

200 tys. zł – przykładowy koszt pracy informatyków śledczych i kancelarii prawnej po wycieku danych pacjentów jednej z przychodni. 

120 tys. zł – przykładowy koszt przywrócenia działania systemu informatycznego kwiaciarni po ataku cybernetycznym.

650 tys. zł – przykładowe odszkodowanie, jakie mógłby dostać sklep internetowy za utracony zysk po ataku cybernetycznym.

Źródło: PZU

My Company Polska wydanie 8/2019 (47)

Więcej możesz przeczytać w 8/2019 (47) wydaniu miesięcznika „My Company Polska”.


Zamów w prenumeracie