Zwiń

Nie masz konta? Zarejestruj się

Przed ubezpieczeniem sprawdzamy higienę cyberbezpieczeństwa w firmie

Ten tekst przeczytasz w 3 minuty
wyciek danych, dane osobowe, cyberbezpieczeństwo, hakerzy, kradzież danych, cyberprzestępstwo
ShutterStock

W dobie cyfrowej gospodarki cyberzagrożenia to wyzwanie, z którym powinna się liczyć każda firma. O ubezpieczaniu ryzyk cybernetycznych i związanej z tym aktywności prewencyjnej ubezpieczyciela mówią Michał Balwiński i Marcin Gajkowski z Generali Polska.

Czy można ubezpieczyć firmę na okoliczność cyberataku?

Michał Balwiński - Generali Polska
Michał Balwiński - Generali Polska /
Materiały prasowe

Michał Balwiński: Jak najbardziej tak. Można ubezpieczyć firmę od realizacji ryzyka cybernetycznego, natomiast trzeba pamiętać, że to nadal jest ubezpieczenie. Tak samo jak w przypadku ubezpieczenia od ognia w przypadku cyberzagrożeń w firmie muszą obowiązywać zabezpieczenia. Ubezpieczenie samo w sobie nie zastępuje zarządzania ryzykiem w organizacji, natomiast jest tym zabezpieczeniem, które ma działać, kiedy wszystkie inne zawiodą. Ubezpieczenia od cyberryzyk coraz bardziej zyskują na znaczeniu. Cyfryzacja i automatyzacja różnych procesów postępują. Kiedy mamy do czynienia z ubezpieczeniem mienia firmowego i dochodzi do pożaru, to obejmuje on zazwyczaj jedną lokalizację. W przypadku zatrzymania głównych systemów informatycznych w firmie, która ma kilka lokalizacji, wszystkie te lokalizacje mogą się zatrzymać jednocześnie. Dlatego ubezpieczenie od cyberzagrożeń jak najbardziej powinno stać się obowiązkowym elementem programu ubezpieczeniowego w organizacji, i to niezależnie od tego, czy prowadzi ona produkcję, czy świadczy usługi.

Jakie warunki dotyczące bezpieczeństwa musi spełnić firma, żeby otrzymać ofertę od ubezpieczyciela?

Marcin Gajkowski - Generali Polska
Marcin Gajkowski - Generali Polska /
Materiały prasowe

Marcin Gajkowski: Kiedy ubezpieczamy dom, to ubezpieczyciel wymaga, żebyśmy dopełnili pewnych wymogów zachowania ostrożności, których oczekuje się od każdego rozsądnego człowieka. Na przykład, żebyśmy mieli dwa zamki w drzwiach i zamykali okna, wyjeżdżając z domu. Dokładnie tak samo jest w przypadku ubezpieczenia od ryzyk cybernetycznych i wszystkich innych ubezpieczeń. Oczekuje się, że ubezpieczony będzie się zachowywał rozsądnie i, przede wszystkim, że sam będzie chronił swoje sieci i systemy.

M.B: Przed przygotowaniem indywidualnej oferty dla klienta dokonuje się oceny ryzyka, która w Generali przebiega dwutorowo. Pierwszy etap to coś, co nazywamy prescreeningiem czy też OSINT-em sieciowym. Polega on na analizie publiczne dostępnych, wskazanych domen internetowych klienta pod kątem bezpieczeństwa. Szukamy słabych punktów, a jeśli takie znajdziemy, klient otrzymuje raport na ten temat z wyjaśnieniami, co może zweryfikować lub poprawić. W uproszczeniu: sprawdzamy higienę cyberbezpieczeństwa w danej organizacji na podstawie analizy bezpieczeństwa publicznej domeny. Na drugim etapie zadajemy klientowi wiele pytań o zabezpieczenia. Tu obowiązuje pewien standard minimalny – warunki, które powinny być spełnione, żeby otrzymać ofertę ubezpieczenia. W zależności od specyfiki klienta, skali jego działalności, skomplikowania rozwiązań lub urządzeń, które klient tworzy, te warunki mogą być zaostrzone. Dlatego na każdą organizację trzeba spojrzeć indywidualnie.

M.G.: W pewnym momencie doszliśmy do wniosku, że żeby pozyskać klientów i móc ich ubezpieczyć, powinniśmy im też jakoś pomóc. Staramy się wspierać działania o charakterze prewencyjnym. Dla przykładu zawsze dzielimy się z klientem raportem OSINT-owym. Nawet jeżeli nie otrzyma on od nas oferty, dostanie informację zwrotną, co powinien poprawić. Chcemy też podpowiadać klientom, z jakich technologii czy usług mogą korzystać, żeby wzmocnić zabezpieczenia. W listopadzie ub.r. wprowadziliśmy, we współpracy z naszym partnerem MCX Pro, promocję, zgodnie z którą nasz klient razem z polisą otrzymuje pakiet 10 kluczy uwierzytelniających Yubikey produkowanych przez firmę Yubico – lidera rynku tych zabezpieczeń. Oczywiście to, co my oferujemy, to jest tylko próbka, ale staramy się zainteresować klienta dostępnymi rozwiązaniami, podpowiadać mu, z czego może skorzystać. Jeżeli skorzysta z narzędzia, które poprawia jego bezpieczeństwo, to my możemy to uwzględnić np. w wysokości składki. Co ważne, nasza oferta jest skierowana nie tylko do dużych firm, lecz także do tych małych, w których często nie ma wydzielonych ról ds. cyberbezpieczeństwa i w związku z tym trudniej jest nadążać za najnowocześniejszymi rozwiązaniami.

To działania prewencyjne. A na jakie wsparcie może liczyć firma, kiedy dojdzie do cyberataku, np. do wycieku danych klientów?

M.B: Ubezpieczenie cyber ma charakter hybrydowy – składa się z trzech modułów. Pierwszy z nich to ubezpieczenie strat własnych, które pokrywa koszty reagowania na incydent (w tym koszty notyfikacji indywidualnej i urzędowej czy monitoringu kredytowego), przywrócenia danych i systemów do stanu sprzed szkody, zwrot zapłaconych w wyniku incydentu kar czy koszty wynikające z działań PR-owskich po zdarzeniu cyber. W wypadku postępowań administracyjnych i sądowo-administracyjnych zapłacimy też koszty ochrony prawnej. Drugi moduł obejmuje ubezpieczenie odpowiedzialności cywilnej związanej z ryzykiem cybernetycznym, czyli kwestie roszczeń, które są zgłaszane do ubezpieczonego przez osoby, które ucierpiały na skutek wycieku danych, naruszenia bezpieczeństwa sieci ubezpieczonego czy publikacji multimedialnych naruszających własność intelektualną lub reputację. Trzeci moduł nazywamy odpowiedzią na incydent. To odpowiednik polisy assistance, tyle że dla incydentów cybernetycznych. W sytuacji, kiedy doszło do wycieku danych osobowych, ubezpieczony może się skontaktować ze specjalistami z zakresu czy to security operations center, czy informatyki śledczej, którzy zweryfikują, co się wydarzyło w firmie, skoordynują działania naprawcze i przedstawią propozycję działań zapobiegających, żeby incydent się nie powtórzył.

M.G: By posłużyć się przywołaną już analogią do ubezpieczenia majątku: w pierwszej kolejności koncentrujemy się na gaszeniu pożaru. To jest oczywiście usługa, którą my organizujemy i która jest dostępna dla posiadacza polisy. Ubezpieczony dysponuje całodobowym numerem telefonu lub adresem e-mailowym do naszego partnera, który zapewnia wsparcie, kiedy dojdzie do incydentu. Jako ubezpieczyciel opłacamy utrzymanie takiej infrastruktury dla klientów.

A czy ubezpieczenie pokryje zapłatę okupu żądanego przez cyberprzestępców?

M.G.: Nie licząc sytuacji wyjątkowych, tego nie ubezpieczamy. W przypadku zapłaty okupu nie ma pewności, że przestępca okaże się „uczciwy” i odszyfruje ofiarę, czy nie będzie korzystał z danych albo nie sprzeda ich w darknecie. Nie wiemy też, komu płacimy, kto za tym stoi, czy to nie jest organizacja terrorystyczna, czy zapłata okupu nie wygeneruje kolejnego problemu w postaci naruszenia sankcji międzynarodowych.

M.B.: Jest jeszcze jeden bardzo ważny aspekt. Jeżeli będziemy płacić cyberprzestępcom, to będą przeprowadzać coraz więcej ataków, bo będą mieli na to fundusze.

Partner

generali logo
/
Materiały prasowe




 

Czytaj więcej w dodatku DGP Cyberbezpieczeństwo