Rola ubezpieczeń w zarządzaniu cyberzagrożeniami
Wszystkie firmy i organizacje, które przetwarzają duże zbiory danych, są narażone na ryzyko cyberprzestępstw. Specjalistyczne produkty ubezpieczeniowe, takie jak CyberEdge, nie tylko chronią firmy i instytucje na wypadek nowych zagrożeń, w tym ataków na całe sieci i systemy, ale także pełnią ważną funkcję prewencyjną. Wspierają klientów w skutecznym zarządzaniu ryzykiem cybernetycznym, wykrywaniu ewentualnych przestępstw i ograniczaniu ich skutków.
Rośnie liczba ataków na banki, firmy telekomunikacyjne i instytucje publiczne. Zmieniają się także metody cyberprzestępstw, które mogą spowodować wyciek poufnych informacji dotyczących klientów. Wpływają na to trendy związane z rozwojem technologicznym, takie jak m.in. wykorzystywanie i gromadzenie rosnącej liczby danych (ang. big data), a także korzystanie z coraz popularniejszych usług w chmurze czy mobilnych płatności. Jednym z istotnych zagrożeń są tzw. ataki ukierunkowane, wymierzone przeciwko konkretnej firmie lub instytucji, i obejmujące włamania do jej sieci lub systemu. Co istotne, ryzyko cyberprzestępstw dotyczy także małych i średnich firm, choć nie zawsze zdają sobie one z tego sprawę. Brak odpowiednich zabezpieczeń IT, a nawet chwilowa nieuwaga pracownika, stwarzają realne zagrożenie związane z utratą danych, stratami finansowymi czy też przerwą w działalności.
Obawy o bezpieczeństwo danych
Zgodnie z danymi firmy PwC, w ciągu ostatniego roku liczba cyberataków odnotowanych na świecie wzrosła o 48%, zaś w Europie – o 41%. W Polsce dynamika wzrostu odnotowanych incydentów związanych z cyberbezpieczeństwem jest podobna jak na Starym Kontynencie1. Bezpieczeństwo danych coraz częściej staje się przedmiotem obaw władz spółki. Jak wskazuje PwC, 68% prezesów polskich firm uważa cyberzagrożenia, w tym brak ochrony danych, za jedno z kluczowych wyzwań biznesowych. Na świecie odsetek ten jest niższy i wynosi 61%2.
Funkcja ubezpieczeń
W związku z rozwojem technologicznym i nowymi rodzajami zagrożeń zmienia się także funkcja pełniona przez specjalistyczne rozwiązania ubezpieczeniowe.
„Rola ubezpieczeń takich jak CyberEdge w coraz większym stopniu koncentruje się wokół zapewnienia wartości dodanej dla firmy nie tylko w postaci wypłaty odszkodowań. Polisa pomaga w likwidacji już zaistniałej szkody. Ochrona obejmuje także m.in. pokrycie kosztów specjalistów do spraw informatyki śledczej, którzy wydadzą rekomendacje po incydencie, jak ograniczyć ryzyko kolejnych zdarzeń. Chociażby w tym zakresie wspieramy naszych klientów w kompleksowym zarządzaniu ryzykiem cybernetycznym” – powiedział Adam Gmurczyk, Dyrektor Działu Ubezpieczeń Financial Lines AIG.
„Przykładowo w AIG oferujemy usługi związane z aktywnym przeciwdziałaniem cyberprzestępczości. Współpracujemy z menedżerami ds. ryzyka naszych klientów przy ocenie zagrożeń, wdrażaniu odpowiednich procedur bezpieczeństwa, monitorowaniu prób ataków i raportowaniu potencjalnych incydentów. W przypadku wystąpienia czarnego scenariusza pomagamy firmom kompleksowo zarządzać kryzysem związanym z wyciekiem danym, ograniczyć skalę przestępstwa, a także reagować na ewentualny szantaż i próby wymuszenia, co umożliwia odpowiednie rozszerzenie polisy” – dodaje Adam Gmurczyk.
Zapobiec efektowi domina
W obliczu ewentualnych cyberataków firmy potrzebują kompleksowego wsparcia m.in. ze strony ekspertów ds. bezpieczeństwa systemów informatycznych i prawników. Istotne jest przede wszystkim potwierdzenie, czy doszło do wycieku informacji, jakie dane zostały skradzione i których osób dotyczyły. Pozwala to na oszacowanie ewentualnych wymiernych i niewymiernych strat, na jakie narażona została spółka. AIG zapewnia swoim klientom ekspercie usługi konsultingowe w zakresie IT w czasie incydentu i już po nim, w tym wsparcie specjalistów z zakresu informatyki śledczej. Spółka wychodzi także naprzeciw potrzebom małych i średnich firm z różnych branż i o różnym profilu działalności, które mogą nabyć ubezpieczenie na uproszczonych zasadach, korzystając z wniosku zwanego QuotePadem CyberEdge.
„Wyraźnie rośnie świadomość, że zapewnienie bezpieczeństwa danych nie jest tylko sprawą działu IT, ale wiąże się z szeregiem poważnych ryzyk biznesowych dla firmy. Klienci zdają sobie sprawę, że ewentualny wyciek dużej liczby wrażliwych danych może spowodować efekt domina i bardzo poważne konsekwencje. Oczekują, że polisa ochroni ich przed ewentualnymi stratami finansowymi, konsekwencjami kar regulatora czy spraw sądowych związanych z ujawnieniem tajemnicy handlowej, a także zapewni środki związane z odbudową reputacji. W branżach, które opierają się na zaufaniu klientów, niewymierne straty związane z cyberprzestępstwem, mogą być dla spółki bardzo dotkliwe” – zauważa Adam Gmurczyk.
Katalog sytuacji, w efekcie których następuje wyciek lub utrata danych osobowych lub handlowych, jest dużo szerszy niż potencjalny atak hackera lub włamanie na serwery firmowe. Należą do nich również zagrożenia wewnętrzne, które mogą się wiązać także z działaniami nieuczciwych pracowników lub błędami po stronie partnerów biznesowych.
We wszystkich tego typu sytuacjach ubezpieczenie CyberEdge zapewnia m.in.: pokrycie kosztów roszczeń osób trzecich, odzyskania danych elektronicznych, kosztów postępowań administracyjnych, a także wynagrodzenia specjalistycznych zewnętrznych konsultantów. Zakres ochrony może zostać dodatkowo poszerzony o próby szantażu, zakłócenia w działaniu sieci lub systemów firmy, a także – działalność multimedialną. W tym przypadku polisa pokrywa także szkody i koszty związane z ewentualnymi roszczeniami, które dotyczą naruszenia praw własności intelektualnej w związku z treściami przekazywanymi za pośrednictwem mediów cyfrowych.
Źródło: American International Group, Inc. (AIG)
(1) PwC, „Zarządzanie ryzykiem w cyberprzestrzeni. Kluczowe obserwacje z wyników ankiety Globalny stan bezpieczeństwa informacji 2015”, Grudzień 2014 r.
(2) PwC, „18. coroczne globalne badanie opinii prezesów i dyrektorów generalnych (Global CEO Survey)”, 2015 r.