Ubezpieczenie ryzyk cybernetycznych – czym jest i kiedy nie zadziała?

Jednym z najpopularniejszych dziś ataków hakerskich są tzw. ataki ransomware, które stanowią ok. 18% wszystkich zagrożeń cyberatakami, zaraz za phishingiem i atakami na sieć Wi-Fi.

Na czym polega atak ransomware? Hakerzy włamują się do wybranych sieci a następnie kradną i szyfrują umieszczone w niej dane, blokując do nich dostęp. Za odzyskanie dostępu do danych hakerzy żądają opłaty. Głównymi celami tych ataków są firmy i instytucje publiczne. Hakerzy przeszukują Internet w celu znalezienia najsłabszych systemów posiadających luki w zabezpieczeniach, a zarazem takich, gdzie prawdopodobieństwo otrzymania okupu jest wysokie

W II półroczu ubiegłego roku najwięcej ataków ransomware miało miejsce na terenie Stanów Zjednoczonych (9,2% wszystkich ataków). Polska znajduje się w czołówce tego niechlubnego rankingu, na 7. miejscu z 4% udziału we wszystkich atakach na świecie, zaraz obok takich krajów jak Chiny, Rosja czy Ukraina. W tym kontekście widać jak ważne jest dbanie o cyberbezpieczeństwo.

Warto wspomnieć o najgłośniejszych atakach ransomware na polskie firmy i instytucje w ostatnich latach. W grudniu 2024 roku miało miejsce przejęcie i zaszyfrowanie danych osobowych posiadanych przez spółki z grupy Scania (lider branży transportowej), co uniemożliwiło lub ograniczyło do nich dostęp przez osoby uprawnione. 2023 rok to jeden z bardziej spektakularnych typowych ataków ransomware na firmę ALAB Laboratoria w 2023 roku z wykorzystaniem złośliwego oprogramowania i żądania okupu. Firma odmówiła zapłaty, co spowodowało upublicznienie danych osobowych kilkudziesięciu tysięcy pacjentów, w tym danych medycznych oraz numerów Pesel. W kwietniu 2023 roku zaatakowano także systemy PZU, jednak w tym przypadku, jak wynika z komunikatów, systemy bezpieczeństwa zadziałały w 100%, dzięki czemu nie doszło do przejęcia danych.

Wbrew pozorom nie tylko duże firmy są celem ataków. Z danych CERT Polska wynika, że małe i średnie przedsiębiorstwa stanowią ok. 60% ofiar wszystkich ataków hakerskich. Związek Banków Polskich podaje z kolei, że aż 72% ataków phishingowych w 2023 roku była wymierzona w sektor MŚP.

Firma, która padła ofiarą cyberataku musi zmierzyć się z szeregiem negatywnych konsekwencji nie tylko finansowych, ale również wizerunkowych i prawnych. Jak wynika z przeprowadzonych badań przez PwC Polska, średni koszt cyberataku dla małej i średniej firmy w Polsce waha się od 50 tys. do 500 tys. zł, a w przypadku niektórych ataków straty mogą przekroczyć nawet 1 mln zł.

Pomijając koszty ewentualnego okupu w przypadku ataków ransomware, na koszty te składają się:

• wydatki na odtworzenie systemu po ataku i ochronę przed kolejnymi atakami;
• koszty związane z roszczeniami osób trzecich za naruszenia ochrony danych oraz koszty procedury związanej z naruszeniem danych,
• straty wynikające z przerwy w działaniu systemów lub dostępu do danych,
• koszty prawne związane z udziałem w postępowaniach sądowych i administracyjnych, w tym koszty kar administracyjnych.

Oprócz wymiernych strat finansowych nie mniej poważne są straty wizerunkowe i reputacyjne, których konsekwencje mogą się ciągnąć jeszcze długo po cyberataku.

Oprócz strat na zaatakowanej firmie ciążą także pewne obowiązki związane z atakiem, między innymi te związane z RODO.

Administrator powinien niezwłocznie przystąpić do oceny ryzyka związanego z naruszeniem. Jeśli ocena ryzyka na to wskazuje, incydent wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych (UODO) w ciągu 3 dób od jego zaistnienia z podaniem opisu incydentu, jego potencjalnych skutkach oraz podjętych środkach zaradczych. Oprócz samego poinformowania UODO, administrator powinien także zabezpieczyć  dowody oraz poinformować osoby, których dane dotyczą o incydencie.

 Za niedopełnienie obowiązków związanych z ochroną danych osobowych, przedsiębiorcy mogą zostać obciążeni karami administracyjnymi przez UODO nawet do 20 mln euro lub 4% rocznego obrotu i nakazem usunięcia danych. Ponadto mogą ponosić odpowiedzialność cywilną wobec osób których dane zostały naruszone.

Jeśli firma zdecyduje się na zapłatę okupu musi natomiast pamiętać, że może się to wiązać w przypadku spółek z odpowiedzialnością za wyrządzenie spółce szkody majątkowej. Ponadto samo zapłacenie okupu nie gwarantuje nigdy pomyślnego zakończenia sprawy i nie zwalnia z obowiązków opisanych wyżej.

W odpowiedzi na te i inne zagrożenia ze strony cyberprzestępców, firmy ubezpieczeniowe do swojej oferty wprowadziły cyber polisy – ubezpieczenia od ryzyk cybernetycznych oraz naruszeń RODO. Zasadnicza idea takich ubezpieczeń polega na kompensowaniu strat poniesionych na skutek incydentów w sferze cyfrowej, takich jak np. opisane wyżej incydenty naruszenia danych. Zakres ochrony nie jest jednak tak jednoznaczny i różni się w zależności od oferowanych wariantów.

Cyber ubezpieczenie może składać się z kilku elementów, które budują atrakcyjność oferty i dają ochronę przed skutkami ataku, o których pisałem wyżej. Głównymi składowymi  ubezpieczeń cybernetycznych są:

Jak więc zdecydować, którą ofertę wybrać i jak dostosować zakres ochrony? Przede wszystkim firmy muszą przeanalizować i dopasować zakres ochrony do swoich indywidualnych potrzeb. Inny zakres ochrony będzie przydatny dla niewielkiej firmy z branży e-commerce, a inny dla dużych koncernów medycznych. Przy wyborze ubezpieczenia warto zwrócić uwagę na następujące kwestie:

• Odpowiednie przygotowanie i ocena ryzyka – ogólne warunki ubezpieczenia zawierają szczegółowe wymagania, jak klient powinien być przygotowany na atak i jakie jest ryzyko ataku. Warto więc przeanalizować, czy nasza firma jest w stanie zapewnić standardy bezpieczeństwa cybernetycznego. Brak spełnienia standardów bezpieczeństwa może spowodować odmowę wypłaty odszkodowania. Od oceny ryzyka, a więc od stopnia zabezpieczeń czy historii incydentów zależy także sam koszt ubezpieczenia.
• Zakres ochrony – jak zostało opisane wyżej zakres ochrony może być bardzo szeroki. Od indywidualnych potrzeb zależy finalna polisa.
• Limity odpowiedzialności i franszyza redukcyjna – przy wyborze polisy zwróć uwagę na ograniczenia kwotowe odpowiedzialności ubezpieczyciela. Wspominałem na wstępie, że finansowe skutki ataków mogą wynosić nawet kilkaset tysięcy złotych. W wielu przypadkach polisy wymagają udziału własnego w pokryciu szkody. W przypadku dużych strat finansowych nawet niewielka franszyza oznacza duży wydatek.
• Tryb zgłaszania szkód – przeanalizuj wymogi dotyczące zgłaszania szkody oraz dane, których wymagać będzie ubezpieczyciel. Często wymogi te są wyśrubowane, a ich niespełnienie skutkuje decyzją odmowną wypłaty odszkodowania.
• Klauzule wyłączające odpowiedzialność– firma powinna przeanalizować wskazane w polisie sytuacje, które wyłączają odpowiedzialność ubezpieczyciela. Mogą to być np. brak aktualizacji oprogramowania antywirusowego, rażące niedbalstwo przy obchodzeniu się z danym, czy brak stosownych polityk wewnętrznych. Warto także zwrócić uwagę na klauzulę wojenną, której definicja jest problematyczna zwłaszcza w czasach ciągłej „wojny hybrydowej”, gdzie za atakami cybernetycznymi częstokroć stoją państwa.

 Małe i średnie przedsiębiorstwa muszą mieć świadomość, że cyberubezpieczenie nie jest jedynym, a jednym z wielu środków bezpieczeństwa przed cyberatakami. Ubezpieczenie pomaga zmniejszyć skutki incydentu. A co zrobić, by nie dopuścić do skutecznego ataku?

Podstawowymi instrumentami jest prewencja i edukacja. Przedsiębiorcy powinni dbać o solidne i legalne, regularnie aktualizowane i testowane zabezpieczenia IT.  Ważną rolę ogrywają także backupy (kopie zapasowe), których regularne wykonywanie może uchronić przed utratą danych. Istotnym elementem polityki bezpieczeństwa jest także posiadanie dostosowanych do branży i specyfiki przedsiębiorstwa wewnętrznych procedur dostępu i posługiwania się danymi, polityk cyfrowej higieny pracy czy procedur reagowania na naruszenia. Ich efektywność natomiast wiąże się z drugim aspektem, a więc edukacją.

Zwiększanie świadomości cybernetycznej wśród personelu poprzez regularne szkolenia i testowanie (np. testy phishingowe) jest kluczem do prewencji. Pracownicy powinni być nauczeni, jak rozpoznawać i reagować na cyber zagrożenia. Istotna jest także świadomość pracowników na temat roli silnych haseł i dwuskładnikowego uwierzytelniania (2FA).

Wybór odpowiedniej polisy cybernetycznej to nie tylko kwestia finansowania ryzyka, ale też element strategii cyberbezpieczeństwa firmy. Warto więc uzyskać wsparcie prawnika przy wyborze polisy. Specjalista przeanalizuje i wytłumaczy Ci warunki ubezpieczenia i omówi najważniejsze kwestie. Może uczestniczyć także w samych negocjacjach warunków ubezpieczenia.

Jednak całego systemu zarządzania bezpieczeństwem nie warto opierać tylko na cyberpolisie, zwłaszcza że ubezpieczyciel może odmówić wypłaty odszkodowania. Wówczas nieoceniona może okazać się pomoc prawna w sporach z ubezpieczycielem.

Jednak możemy towarzyszyć Ci przez cały proces budowania bezpieczeństwa, a w razie potrzeby także pomóc reagować na incydenty. W tym zakresie oferujemy:

• Audyt i ocenę ryzyka prawnego w zakresie cyberbezpieczeństwa i ochrony danych – sprawdzenie zgodności z przepisami procedur i zabezpieczeń, weryfikacja dokumentacji i wskazanie luk;
• Przygotowanie dokumentacji – stworzenie lub uzupełnienie niezbędnej dokumentacji, w tym regulacji wewnętrznych tj. polityki bezpieczeństwa, regulaminy korzystania ze sprzętu i systemów;
• Zarządzanie kryzysowe – współdziałanie z zespołem IT w przypadku incydentów, ocena skutków naruszenia pod kątem prawnym, zgłoszenia do UODO, CERT i innych organów, pomoc i doradztwo w zabezpieczeniu dowodów;
• Zgłoszenie szkody do ubezpieczyciela i udział w postępowaniu likwidacyjnym – poprawne przygotowane zgłoszenia, korespondencja z ubezpieczycielem, wykazanie wysokości szkody;
• Postępowania sądowe i administracyjne – reprezentacja przed UODO i innymi organami oraz w sporach cywilnych przed sądami.

W dobie rosnącej liczby ataków ransomware i innych cyberprzestępstw, małe i średnie firmy stają się głównym celem hakerów. Konsekwencje takich incydentów mogą być katastrofalne – od strat finansowych, przez utratę danych i reputacji, aż po postępowania przed UODO i sądami.

Nawet najlepsza polisa cyber nie wystarczy, jeśli nie spełnisz warunków ubezpieczenia lub nie zgłosisz szkody zgodnie z procedurami. Dlatego rola prawnika jest kluczowa – nie tylko w chwili kryzysu, ale przede wszystkim w prewencji i budowaniu odporności firmy na incydenty. Nasza kancelaria może zagwarantować Ci fachową pomoc na każdym etapie tego procesu od audytu, przez reagowanie na incydent, po reprezentację w postępowaniach po cyberataku.

 Co możemy dla Ciebie zrobić?

• Przeprowadzimy audyt ryzyka i dokumentacji.
• Przygotujemy polityki i procedury bezpieczeństwa.
• Wspomożemy w wyborze i negocjacjach warunków polisy.
• Zgłosimy szkodę i poprowadzimy spór z ubezpieczycielem.
• Zajmiemy się komunikacją z UODO i poszkodowanymi.

Zabezpiecz swój biznes – skontaktuj się z nami, zanim haker skontakuje się z Tobą. Wspólnie przygotujemy Twoją firmę na cyber-rzeczywistość.