Ubezpieczenia dla firm od ataku hakerów

Utrata newralgicznych danych czy przypadkowe spowodowanie szkód na skutek wycieku informacji przechowywanych w komputerach mogą doprowadzić firmę na skraj bankructwa. Nawet małe przedsiębiorstwa związane z przetwarzaniem danych narażone są na to ryzyko, gdyż trudno obronić się przed wirusami czy hakerami.

Klient korzystający z bazy danych, w oparciu o którą świadczy usługi, zainteresowany jest ubezpieczeniem jej od utraty czy uszkodzenia. Zwykle poszukuje też ochrony przed roszczeniami kontrahentów, a także przerwami w działalności.

W standardzie ubezpieczeniem sprzętu elektronicznego od zdarzeń losowych można pokryć koszty odtworzenia danych utraconych wskutek szkody w sprzęcie elektronicznym, co nie zrekompensuje strat w danych.

– I tu pojawia się problem, jak wycenić dane czy też szkodę spowodowaną wyciekiem, skoro przedmiotem ubezpieczenia może być wyłącznie interes majątkowy, który da się ocenić w pieniądzu – mówi Anna Zielińska z Biura STBU w Warszawie. – Jak w takim przypadku określić sumę ubezpieczenia, udokumentować stratę i naliczyć odszkodowanie?

Dane można utracić wskutek zdarzenia zewnętrznego związanego z nośnikiem. Jednak przy odpowiednich procedurach zarządzania ryzykiem powinny być tworzone kopie zapasowe w innej lokalizacji. Wobec tego ryzyko utraty czy koszt odtworzenia nie wzbudza niepokoju klienta.

– Gorzej jest z atakami hakerskimi lub wprowadzeniem wirusów, które powodują utratę danych czy zakłócenie działalności spółki – wyjaśnia Anna Zielińska.

Konsekwencje takich zdarzeń mogą prowadzić do utraty klientów, przerw w działalności i tym samym zmniejszenia przychodów, a dodatkowo mogą pojawić się roszczenia odszkodowawcze.

Przedsiębiorcy nie doceniają omawianych ubezpieczeń.

– Jest dość bierny rynek klienta. Oznacza to, że mamy podaż, ale nie ma popytu – wyjaśnia Sylwia Kozłowska z Gras Savoye. Najlepszym motywatorem, jak zawsze, są szkody i straty, a te wydają się w dzisiejszym technologicznie rozwiniętym świecie nieuchronne.

Zagrożenie nie jest wymyślone. Każdego dnia na świecie dochodzi do 117 tys. ataków hakerów, z powodu cyberprzestępczości globalna gospodarka traci 375–575 mld dol. rocznie.

Nie tylko dla dużych

Polisy oferowane są przedsiębiorstwom małym, średnim i dużym z dowolnej branży. Przydają się tam, gdzie pojawia się ryzyko zbierania, przetwarzania, transferowania danych, w szczególności osobowych.

– Można wyróżnić kilka branż, które narażone są na największe ryzyko cybernetyczne – mówi Sylwia Kozłowska. – Należą do nich sieci handlowe, firmy telekomunikacyjne, instytucje finansowe, branża hotelarsko-turystyczna, uczelnie, media społecznościowe i firmy informatyczne.

Cyberzagrożenia kojarzone są zwykle z atakiem hakerów na sieci lub systemy firmy. – Mogą się też one wiązać z działaniami pracowników, błędami partnerów, ale także z koniecznością odtworzenia lub odzyskania utraconych danych, podjęcia działań chroniących reputację firmy czy też koniecznością zaangażowania się w postępowania administracyjne – podaje Adam Gmurczyk z Financial Lines AIG.

Jakie świadczenia

Ubezpieczenie może obejmować pokrycie kosztów: roszczeń osób trzecich, odzyskania danych, postępowań, wynagrodzenia konsultantów, odbudowy wizerunku spółki, przywrócenia lub zastąpienia danych, nabycia licencji, ratowania reputacji firmy, związanych z utratą przychodów lub powstaniem dodatkowych wydatków.

Odszkodowaniem w ramach ubezpieczenia od cyberryzyk mogą być objęte także koszty obrony, w tym w postępowaniu administracyjnym oraz kary nakładane przez organ nadzoru.

– Polisa działa również, gdy sprawa trafia do sądu w przypadku roszczenia odszkodowawczego związanego z ujawnieniem danych, lub gdy generalny inspektor danych osobowych nakłada na firmę grzywnę w przypadku utraty danych – mówi Adam Gmurczyk.

Dodatkowo można rozszerzyć zakres ochrony o tzw. działalność multimedialną oraz próby szantażu.

– Przy pełnej wersji ubezpieczenia ryzyk cybernetycznych ubezpieczony otrzyma pakiet kosztów dodatkowych, na które składają się wydatki na usługi śledcze, koszty odtworzenia wizerunku spółki i jej reprezentantów, odzyskania danych, opłaty związane z zawiadomieniem osoby, której dane ujawniono – podaje Sylwia Kozłowska. – Odszkodowania i koszty można uzupełnić o ochronę utraconego zysku w wyniku zakłóceń w sieci, jak również koszty okupu w przypadku szantażu w postaci zagrożenia systemu komputerowego. Zakres ochrony można modelować w zależności od potrzeb – dodaje.

Co wpływa na cenę

Koszty ubezpieczenia zależą od przychodów firmy, profilu działalności, zabezpieczeń oraz limitu sumy ubezpieczenia. Na wysokość składki mają wpływ systemy operacyjne, polityka bezpieczeństwa, w tym procesy zarządzania zabezpieczeniami, a szczególnie mechanizmy uwierzytelniania, plany awaryjne.

Omawiane produkty kierowane są też do małych i średnich przedsiębiorstw. W nich może być mniejsze ryzyko i tym samym mniejsze limity odpowiedzialności, natomiast składka na poziomie, który mogą pokryć – mówi Anna Zielińska.

Na cenę wpływa też długość okresu odszkodowawczego, limity odpowiedzialności oraz dotychczasowe roszczenia klienta.

Wycena składki poprzedzona jest analizą ryzyka obejmującą badanie bezpieczeństwa systemów i sieci IT, branżę oraz wcześniejsze doświadczenia szkodowe. Nie bez znaczenia pozostaje wysokość limitu odpowiedzialności. W związku z umiarkowaną podażą ubezpieczyciele są gotowi przyjąć na siebie większe ryzyko za mniejszą składkę, by zachęcić klientów do polisy. Jest to więc dobry moment, aby sięgnąć po nią.