Cyberpolisa: Bądź mądry przed szkodą!

Wizyta agenta ubezpieczeniowego, zaraz po sprzedawcy odkurzaczy, była niegdyś jedną z tych najmniej lubianych. Czasy się zmieniły i obecnie sami musimy zadbać o znalezienie najlepszej dla nas oferty. Oprócz podstawowego ubezpieczenia, firmy powinny również pomyśleć o polisie od ryzyk cyfrowych, która powinna być nieodłącznym elementem każdej strategii zarządzania ryzykiem. Jednak jak wybrać tę najwłaściwszą?

Ubezpieczenie od cyberprzestępczości różni się od ubezpieczenia od odpowiedzialności zawodowej w branży informatycznej. To drugie pokrywa roszczenia z tytułu wyrządzonych szkód, jak i niepełnego wykonania umowy (dostarczenia produktu o ograniczonej funkcjonalności, świadczenia usług w ograniczonym zakresie, itp.). Z kolei cyberpolisa pokrywa straty, które powstały w wyniku działań osób trzecich. Pod względem formalnym są to naruszenia bezpieczeństwa informacji, do których dochodzi, gdy zostaje naruszona poufność, integralność lub dostępność danych elektronicznych. Istotnym celem ochrony jest również autentyczność, czyli unikalna tożsamość użytkowników. W praktyce jednak ubezpieczenie od ryzyk cyfrowych jest często połączeniem ubezpieczenia od odpowiedzialności cywilnej, ubezpieczenia od przerw w działalności i ubezpieczenia danych od szkód wyrządzonych osobom trzecim i szkód własnych w postaci strat finansowych.

Szkody te mają wpływ nie tylko na całą gospodarkę, ale mogą także zagrozić istnieniu poszczególnych firm. Wiążą się one nie tylko ze spadkiem sprzedaży, ale także z utratą pracy, kosztami odtworzenia infrastruktury informatycznej i odzyskania danych klientów. Do tego dochodzą działania i koszty następcze, takie jak koszty zarządzania kryzysowego oraz trudne do oszacowania straty wynikające z utraty reputacji. Ubezpieczenie od ryzyk cyfrowych powinno być zatem traktowane jako ważny element szerszego zarządzania ryzykiem w firmie.

Aby zapewnić wytyczne dla obu stron zamierzonego stosunku umownego, Niemieckie Towarzystwo Ubezpieczeniowe (GDV) opracowało w 2017 roku "Ogólne warunki ubezpieczenia od ryzyka cybernetycznego" oraz kwestionariusz ryzyka do opcjonalnego stosowania. Grupą docelową są małe i średnie przedsiębiorstwa, które w ten sposób otrzymują ważne wskazówki. Kwestionariusze dla ubezpieczeń od ryzyk cyfrowych są przekazywane przez ubezpieczycieli klientom do samodzielnego ujawnienia przed zawarciem umowy. Oczywiście zaleca się wypełnienie listy kryteriów w sposób jak najbardziej zgodny z prawdą, ponieważ po zawarciu umowy ubezpieczyciele będą dokładnie sprawdzać, czy kryteria te zostały rzeczywiście spełnione. Z ujawnionych informacji można wywnioskować, czy dana firma w ogóle kwalifikuje się do ubezpieczenia jako partner umowy, a jeśli tak, to jak w danym przypadku należy skonstruować warunki polisy.

Dodatkową pomoc w weryfikacji odpowiednich środków bezpieczeństwa stanowi broszura na temat "aktualnego stanu techniki" w zakresie bezpieczeństwa IT, opublikowana przez TeleTrusT - Bundesverband IT-Sicherheit e.V. Zawiera on techniczne i organizacyjne zalecenia dotyczące działań oraz przegląd możliwych środków i kroków w celu stworzenia struktury bezpieczeństwa informatycznego odpowiadającej aktualnym możliwościom technicznym. W okresie poprzedzającym zawieranie umów może być ona wykorzystywana jako punkt odniesienia dla firm, dostawców i usługodawców, ale nie zastępuje oceny w indywidualnych przypadkach.

Kluczowe elementy składowe bezpieczeństwa informacji to m.in.:

• Polityka bezpieczeństwa i zarządzanie ryzykiem. Określenie ryzyka związanego z krytycznymi systemami informatycznymi oraz ustanowienie odpowiednich mechanizmów kontroli w celu jego zminimalizowania.
• Systemy i programy ochrony systemów informatycznych. Obejmują one aplikacje do scentralizowanego zarządzania sprzętem i oprogramowaniem oraz do monitorowania konfiguracji systemów komputerowych.
• Środki ochrony systemów informatycznych. Obejmują one bieżącą aktualizację i monitorowanie stosowanego oprogramowania zabezpieczającego, np. firewalli i oprogramowania antywirusowego, oraz regularne, kontrolowane lub zautomatyzowane wdrażanie poprawek bezpieczeństwa.
• Ocena podatności na zagrożenia. Regularne skanowanie i analiza podatności na zagrożenia stają się coraz ważniejsze dla bezpieczeństwa sieci i utrzymania ciągłości biznesowej, podobnie jak ich natychmiastowe, najlepiej zautomatyzowane eliminowanie.
• Kopie zapasowe i przywracanie. Ochrona i audyt kopii zapasowych są niezbędne w przypadku, gdy firma została już zaatakowana, aby można było przywrócić ważne dane.

System baramundi Management Suite (bMS) znacząco przyczynia się do realizacji wszystkich tych aspektów. Jego zastosowanie pomaga zapewnić lepszą kontrolę sieci oraz ułatwia przestrzeganie wytycznych dotyczących zgodności z przepisami. Dzięki funkcjom takim jak automatyczna inwentaryzacja sprzętu i oprogramowania w sieci, ochrona punktów końcowych, automatyczne aktualizacje i zarządzanie poprawkami, a także funkcje tworzenia kopii zapasowych i przywracania danych, system bMS znacząco przyczynia się do podniesienia poziomu bezpieczeństwa w firmie. Jednocześnie zwiększa przejrzystość sieci w zakresie bezpieczeństwa dla firm, które chcą wykupić ubezpieczenie cyfrowe i pomaga im znaleźć najlepszą ofertę w każdym przypadku. W końcu im bardziej zabezpieczona jest firma, tym korzystniejsza będzie umowa. Dla obu stron kompleksowe oprogramowanie do zarządzania punktami końcowymi przyspiesza obsługę roszczeń, a jednocześnie zmniejsza prawdopodobieństwo ich wystąpienia.

Ubezpieczenie od ryzyk cyfrowych jest dziś praktycznie obowiązkowe dla dużych organizacji. Jednak również firmy średniej wielkości mogą dostrzec jego znaczenie i dodatkową ochronę, jaką zapewnia, mimo iż nie jest to panaceum na rosnące zagrożenia cybernetyczne. W związku z rosnącą liczbą klientów warto zadbać o przejrzystość sieci i wyraźnie identyfikowalne środki bezpieczeństwa, które można trwale egzekwować za pomocą systemów zarządzania, takich jak bMS. W przypadku szkód firmy ubezpieczeniowe, co zrozumiałe, lubią ponownie ustalać ich przyczyny i kwoty do wypłaty, dlatego warto zadbać o możliwie dokładny przegląd sieci, używanych urządzeń, ich oprogramowania i stanu ich aktualizacji.

Oprócz tych wewnętrznych czynników, które przemawiają za wykupieniem ubezpieczenia od ryzyk cyfrowych, istnieje również zewnętrzny powód, dla którego firmy powinny jak najszybciej zadbać o odpowiednie ubezpieczenie: szybko rosnące składki. Jak podaje Handelsblatt, już w czwartym kwartale ubiegłego roku wzrosły one o 65% w porównaniu z rokiem poprzednim, podczas gdy składki z innych ubezpieczeń majątkowych wzrosły tylko o 13%. Jedną z przyczyn takiego stanu rzeczy jest prawdopodobnie fala ataków typu ransomware, które nasiliły się w ubiegłym roku. Innym nowym powodem jest wojna w Ukrainie, w związku z którą ubezpieczyciele spodziewają się wzmożonych i kosztownych cyberataków ze strony Rosji. Szybki i dokładny przegląd ważnych zasobów w firmie może zatem zaoszczędzić wiele czasu, a co za tym idzie - także pieniędzy.