Firmy są coraz bardziej narażone na ataki hakerskie. Co może nam dać ubezpieczenie?

Firma Prywatność i bezpieczeństwo dołącz do dyskusji (4) 30.09.2020
Firmy są coraz bardziej narażone na ataki hakerskie. Co może nam dać ubezpieczenie?

partner-logo

Kamila Sienkiewicz-Twardy

Jednym ze skutków pandemii jest wzrost zagrożeń związanych z cyberprzestępczością dla firm. Zdaniem ekspertów, kluczowym czynnikiem mającym wpływ na zwiększenie liczby ataków hakerskich, jest praca zdalna. W efekcie przedsiębiorcy poszukują nowych rozwiązań, które mogą uchronić ich przed skutkami cyberszkód. Coraz większą popularność zyskują ubezpieczenia cybernetyczne. Sprawdzamy, czym jest cyber insurance oraz kiedy warto rozważyć skorzystanie z takiego rozwiązania.

Praca zdalna przyczyniła się do wzrostu cyberzagrożeń

W związku z rozwojem epidemii, w wielu przedsiębiorstwach zapadła decyzja o oddelegowaniu pracowników na home office. Mając świadomość, że dla wielu pracodawców jest to nie lada wyzwanie, jakiś czas temu już pisaliśmy na Bezprawniku o tym, jak zabezpieczyć komputer przeznaczony do pracy zdalnej. Okazuje się, że popularyzacja transferu środowiska pracy do przestrzeni wirtualnej przyczyniła się do wzrostu cyberprzestępczości. Z danych udostępnionych przez Reuters wynika, że w marcu 2020 r. w USA odnotowano ponad dwukrotny wzrost ataków hakerskich, których celem były przedsiębiorstwa. Co więcej, zgodnie z informacjami opublikowanymi przez VMware CarbonBlack, to właśnie w marcu, czyli w początkowym okresie lockdownu, liczba ataków ransomware, czyli tzw. ataków wymuszeniowych, wykorzystujących oprogramowanie szantażujące, w porównaniu do lutego 2020 r., wzrosła aż o 148 %. Jeśli tendencja wzrostowa nie ulegnie zmianie, bieżący rok może okazać się rekordowy pod względem wzrostu cyberzagrożeń, których ofiarami będą przedsiębiorcy.

Na ataki hakerskie szczególnie narażone są małe i średnie przedsiębiorstwa

Cyberzagrożenia nie dotyczą wyłącznie korporacji, wyposażonych w odpowiednie infrastruktury, zarządzane przez ekspertów z zakresu bezpieczeństwa teleinfomatycznego. Coraz częściej ze skutkami ataków hakerskich muszą mierzyć się małe i średnie przedsiębiorstwa, posiadające ograniczone środki na zabezpieczenie infrastruktury przed cyberzagrożeniami. Cyberataki mogą być szczególnym zagrożeniem dla tych przedsiębiorstw, dla których umożliwienie pracownikom świadczenia pracy w formie zdalnej było zaskoczeniem oraz które nie dysponują odpowiednimi zabezpieczeniami z zakresu IT. W takiej sytuacji, cyberatak w zasadzie może całkowicie uniemożliwić prowadzenie działalności gospodarczej. Wzrost ataków hakerskich w związku z trwającą epidemią dostrzegają przedstawiciele branży ubezpieczeniowej. Zdaniem Macieja Kleiny z Biura Ubezpieczeń Korporacyjnych ERGO Hestii:

Obecna sytuacja zaowocowała zwiększoną aktywnością hakerów i innych cyfrowych przestępców. Coraz częściej przedsiębiorcy stają się ofiarami ataków typu ransomware, polegających na szyfrowaniu dostępu do danych i żądaniu okupu w zamian za odszyfrowanie. W przypadku pracy zdalnej może to oznaczać całkowitą blokadę działania dla małej firmy.

Wśród przedsiębiorców wzrasta zainteresowanie ubezpieczeniami cybernetycznymi

W zasadzie w przypadku każdego przedsiębiorstwa, utrata danych klientów albo zakłócenia w realizacji podstawowych procesów biznesowych mogą prowadzić do poważnych strat, zarówno finansowych, jak i wizerunkowych. Zwiększająca się świadomość w zakresie cyberprzestępczości, a także ryzyka związane z naruszeniem bezpieczeństwa danych, w tym możliwość nałożenia kary finansowej przez UODO, sprawiły, że wiele przedsiębiorstw poszukuje rozwiązań mających na celu zabezpieczenie swoich organizacji przed cyberzagrożeniami. Jednak to pandemia i zagrożenia związane z pracą zdalną w postaci cyberataków wpłynęły na zasadniczą zmianę postrzegania zagrożeń przez przedsiębiorców. W konsekwencji, w środowisku biznesowym coraz większym zainteresowaniem cieszą się, popularne w USA, ubezpieczenia cybernetyczne (ang. cyber insurance). Ten trend potwierdzają eksperci z branży ubezpieczeniowej.

Rzeczywiście, praca zdalna stwarza wiele nowych ryzyk, którymi firmy muszą zarządzać. Zaobserwowaliśmy w ostatnich tygodniach zwiększone zainteresowanie pośredników produktami cyber.

…wskazuje Tomasz Dolata, przedstawiciel Biura Ubezpieczeń Korporacyjnych ERGO Hestii.

Ekspert podkreśla, że wśród małych i średnich przedsiębiorstw rośnie świadomość cyberzagrożeń, a niektóre firmy decydują się na wykupienie polisy w obliczu cyberszkody poniesionej przez kogoś w najbliższym otoczeniu:

Do mediów trafiają największe sprawy związane z cyberszkodami, ale to nie znaczy, że problem nie dotyczy mniejszych firm. Przeciwnie. Stopniowo rośnie świadomość cyberryzyk, zarówno wśród pośredników, jak i klientów. Szkody, które pojawiają się w ich najbliższym otoczeniu, czy przypadki opisywane w mediach sprawiają, że niektóre firmy decydują się na zakup polisy, chociaż jeszcze do niedawna nie były nią zainteresowane.

Co obejmują ubezpieczenia cybernetyczne?

Najogólniej rzecz ujmując, ubezpieczenia cybernetyczne najczęściej obejmują ochroną firmy na wypadek szkód wyrządzonych przez wirusy komputerowe i ataki hakerskie oraz nieuczciwych pracowników. Jak wiadomo, poszczególne przedsiębiorstwa mają różne potrzeby w zakresie cyberbezpieczeństwa, dlatego na rynku ubezpieczeń można znaleźć oferty o zróżnicowanym zakresie ochrony. Dostępne są zarówno wersje przewidujące bazową ochronę na okoliczność wystąpienia incydentu w zakresie cyberbezpieczeństwa, jak również oferty o charakterze rozszerzonym, często z szeregiem dodatkowych usług.

Zakres ochrony ubezpieczeniowej jest zróżnicowany w zależności od wariantu polisy. Istnieją zarówno oferty o podstawowym zakresie ochrony, jak i wersje rozszerzone

O ile warianty ubezpieczeń przewidujących kompleksową ochronę przed cyberatakami z pewnością zainteresują przedsiębiorstwa o złożonej strukturze organizacyjnej, przetwarzające pokaźne ilości danych, o tyle w przypadku mniejszych firm wystarczająca może okazać się polisa w wariancie podstawowym. Bartosz Zwoliński z Biura Ubezpieczeń Korporacyjnych ERGO Hestii przyznaje, że wprowadzenie oferty w wariancie podstawowym stanowiło odpowiedź na oczekiwania klientów:

Odnotowaliśmy większe zapotrzebowanie na ochronę również ze strony mniejszych podmiotów. Z tego względu, oprócz naszego flagowego produktu Cyber XL, stworzyliśmy ubezpieczenie Cyber M – o prostej i przejrzystej konstrukcji, dostosowanej do potrzeb małych i średnich firm.

Niektóre z przedsiębiorstw, z uwagi na wykonywanie skomplikowanych operacji na danych, czy też ze względu na dysponowanie rozbudowaną infrastrukturą sieciową, mogą oczekiwać szerszego zakresu ochrony. Na rynku funkcjonują oferty ubezpieczeń cybernetycznych o bardzo rozbudowanym zakresie. Co ciekawe, przedsiębiorcy, którzy zdecydują się na rozszerzony wariant ubezpieczenia, w niektórych przypadkach są zabezpieczeni nawet na okoliczność e-kradzieży, konieczności zakupu nowego sprzętu elektronicznego czy też utraty zysku.

Niektóre polisy przewidują możliwość skorzystania z pomocy fachowców w przypadku wystąpienia ataku hakerskiego

Oferty ubezpieczeń cybernetycznych mogą przewidywać rozwiązania skrojone na potrzeby sektora małych i średnich przedsiębiorstw. Przykładowo, niektóre polisy uwzględniają możliwość skorzystania ze specjalistycznej pomocy informatycznej w sytuacji, gdy faktycznie dojdzie do ataku hakerskiego. Jak wiadomo, to brak zasobów i specjalistycznej wiedzy z zakresu IT stanowi główne czynniki przyczyniające się do ekspozycji przedsiębiorstwa na cyberzagrożenia.

Z czego wynika zainteresowanie cyberubezpieczeniami wśród polskich przedsiębiorców?

O ile w USA posiadanie przez przedsiębiorcę cyberubezpieczenia jest w zasadzie standardem, o tyle w Polsce jest to stosunkowo nowy rodzaj polisy. Na gruncie europejskim, do wzrostu zainteresowania ubezpieczeniami cybernetycznymi z pewnością przyczyniło się wejście w życie RODO i ryzyko nałożenia przez organ regulacyjny kary na te przedsiębiorstwa, które nie wdrożą odpowiednich rozwiązań zapewniających należyty poziom bezpieczeństwa danych osobowych. Co więcej, trwająca epidemia jest katalizatorem zmian w cyberprzestrzeni, w tym zmian niosących poważne zagrożenia dla firm, a dane statystyczne nie pozostawiają złudzeń co do skali ataków hakerskich wymierzonych w przedsiębiorstwa. W konsekwencji, wśród przedsiębiorców stopniowo wzrasta świadomość w zakresie cyberzagrożeń. W przypadku wielu firm, poniesienie strat związanych z cyberatakiem mogłoby zaburzyć płynność finansową. Nie zapominajmy, że ataki hakerskie zazwyczaj wycelowane są w najsłabsze ogniwo w infrastrukturze sieciowej. W wielu przypadkach, tym najsłabszym ogniwem okazuje się człowiek. W tym miejscu warto przypomnieć słowa znanego hakera, Kevina Mitnicka, wedle których „łamał on nie hasła, a ludzi”.

Czy warto zainwestować w ubezpieczenie cybernetyczne?

Nie ulega wątpliwości, że cyberataki, niezależnie od tego, czy będą bezpośrednio związane z COVID-19, czy też nie, mogą w przyszłości przybierać coraz bardziej wyrafinowane formy. Co więcej, czy tego chcemy czy nie, powoli zaciera się granica pomiędzy tym, co analogowe i rzeczywiste, a tym, co cyfrowe, a przedsiębiorstwa stopniowo przenoszą działalność, choćby częściowo, do sieci. Co prawda, większość przedsiębiorców ma świadomość, że digitalizacja procesów powinna być poprzedzona przygotowaniem infrastruktury, mającej na celu ochronę przedsiębiorstwa przed cyberzagrożenami, jednak nie wszystkie firmy stać na wdrożenie odpowiednich rozwiązań. O ile korporacje najczęściej dysponują odpowiednimi rozwiązaniami z zakresu IT, o tyle dla podmiotów z sektora małych i średnich przedsiębiorstw, wdrożenie infrastruktury mającej na celu ochronę przed cyberzagrożeniami, może okazać się nie lada wyzwaniem. Podejmując temat cyberzagrożeń i ubezpieczeń, które mają uchronić firmy przed ich skutkami, nie można nie wspomnieć o szacowaniu ryzyka. Nie da się odpowiedzieć w jednoznaczny sposób, na pytanie, jaką kwotę warto zainwestować w ubezpieczenie cybernetyczne. Nie ma jednej odpowiedzi dla wszystkich przedsiębiorców. Wynika to ze zróżnicowanych poziomów zabezpieczeń przed cyberzagrożeniami, funkcjonujących w poszczególnych organizacjach. Decyzję w tym zakresie należy pozostawić przedsiębiorcom, którzy powinni oszacować, czy zastosowane w firmie rozwiązania są adekwatne do potencjalnych zagrożeń oraz na bieżąco weryfikować, czy dokonana analiza ryzyka zachowuje aktualność. Na koniec przypomnijmy pewne anglojęzyczne przysłowie, o treści: „If you think safety is expensive, try an accident.”