Szkoda cyber i co dalej
Polska rzeczywistość ubezpieczeń cyber.
Rynek ubezpieczeń cyber w Polsce zdaje się coraz bardziej nabierać rozpędu, także w kontekście sytuacji, w której znaleźliśmy się na skutek Covid-19. Wprowadzenie pracy zdalnej dla wielu organizacji stało się wyzwaniem dotykającym nie tylko opracowania i wdrożenia nowych procedur, zakupu niezbędnego sprzętu, ale również wprowadzenia stosownych zabezpieczeń. Przy tej okazji w firmach miały miejsce intensywniejsze niż zwykle rozmowy na temat cyber bezpieczeństwa, a ku satysfakcji ubezpieczycieli, także o ubezpieczeniach od ryzyk cybernetycznych.
Bez wątpienia, jeszcze większa konieczność automatyzacji procesów, dalsze ograniczenie stosowania dokumentacji „papierowej”, czy wykorzystanie pracy zdalnej (w każdym przypadku zwiększane jest ryzyko cybernetyczne), dużo bardziej skłaniają zarządy i właścicieli firm do rozważenia zakupu polisy ubezpieczeniowej, która co najmniej ograniczy koszty ich materializacji.
Istniejące alternatywy.
W Polsce ubezpieczenia cyber oferują rodzimi ubezpieczyciele, ale także gracze międzynarodowi. Doświadczenia z rynków międzynarodowych zaadoptowane do lokalnego rynku, również dzięki działającym w Polsce tzw. coverholderom Lloyd’s, pozytywnie wpływają na wciąż wzrastającą jakość oferty. Rozwiązania funkcjonujące na rynku polskim różnią się od siebie przede wszystkim zakresem cyber ochrony; sposobem podejścia do oceny ryzyka i jej rzetelnością; łatwością jego uzyskania; tzw. podlimitami odpowiedzialności; doświadczeniem ubezpieczyciela, który za nim stoi; a wreszcie procesem likwidacji szkód, której chciałbym poświęcić uwagę w tym krótkim artykule.
Pełna ochrona wraz z assisstance, a może tylko refundacja.
O wartości ubezpieczenia cyber, na które finalnie zdecyduje się zarząd czy właściciele firmy, świadczy to co realnie te pomioty otrzymają w obliczu incydentu.
Abstrahując od innych istotnych dla wyboru ubezpieczenia parametrów, kluczowym elementem, na który szczególną uwagę powinni zwrócić przedstawiciele sektora MŚP, jest możliwość skorzystania z profesjonalnego assisstance. Za tym wsparciem kryje się całodobowa, skoordynowana pomoc ekspertów ze wszystkich obszarów, które pozwolą sprawnie przywrócić funkcjonowanie firmy, która padła ofiarą mniej lub bardziej złożonego zdarzenia cyber (ataku hakerskiego, ale również błędu lub świadomego działania pracownika lub dostawcy). Warto podkreślić, że w skrajnym wypadku sytuacje, o których mówimy mogą doprowadzić do wstrzymania funkcjonowania przedsiębiorstwa. Wsparcie dedykowanego managera ds. incydentów (breach response manager), za którym stoją wyspecjalizowane podmioty, wydaje się priorytetem dla każdej niedużej czy średniej organizacji, polegającej głównie na wsparciu zewnętrznych podmiotów IT/security, o których wartości właściciele przekonują się dopiero w obliczu kryzysu.
Na drugim biegunie ubezpieczeni mają możliwość skorzystania z „własnych zasobów” (siły wewnętrzne lub zewnętrzni dostawcy), którzy po zgłoszeniu szkody ubezpieczycielowi, uruchamiają działania skrzętnie rozpisując koszty, które po zatwierdzeniu przez ubezpieczyciela, o ile uzasadnione, zostaną zwrócone. To oczywiście teoria, która w mojej opinii może sprawdzić się w dużych i naprawdę dobrze zarządzanych organizacjach (obok zasobów kompetencyjnych, dysponują także dużo większą płynnością). W większości przypadków małe, średnie, a nawet duże podmioty, nie mają opracowanych planów przywrócenia po awarii (Disaster Recovery Plan), czy chociaż stanowiących ich element, planów reakcji na incydent (Incident Response Plan). Jeszcze gorzej wygląda sytuacja, jeśli chodzi o bardziej całościowe rozwiązania tj. plany ciągłości działania (Business Continuity Plan), które w Polsce posiada zdecydowanie zbyt mała liczba organizacji. To pokazuje, że w kryzysowej sytuacji jaką może być np. postępujący proces szyfrowania danych na serwerach firmy połączony z wymuszeniem okupu, firmy po raz pierwszy będą uczyć się jak na takie zdarzenie reagować. Zatrudnienie na etacie informatyka śledczego jest rzadkością, a poszukiwanie tego typu ekspertów w sytuacji, kiedy każda godzina ma swoją istotną wartość wyrażoną w pieniądzu, jest niezwykle trudne i jak się potem okaże bardzo kosztowne. Wydaje się więc, że ubezpieczenia refundacyjne są dobrym wyborem dla stosunkowo wąskiej grupy organizacji.
Jak wygląda idealny proces likwidacji szkód?
Nie ma jednoznacznej odpowiedzi. Zdecydowanie warto postawić na ubezpieczenia, które zapewniają pełne wsparcie w reakcji na incydent oraz w kolejnych krokach służących przywróceniu funkcjonowania firmy po incydencie. Najlepsze ubezpieczenia zwalniają ubezpieczonych z tzw. udziału własnego, w kontekście kosztów reakcji na incydenty cyber (np. koszty prawne, notyfikacja PUDO oraz osób, których danych wyciekły; weryfikacja czy zaszyfrowane pliki mają szansę zostać odszyfrowane, etc.). Istotnym elementem jest wreszcie, czy oferowany assistance pozwoli rzeczywiście na sprawne wsparcie. Jednym z ważnych czynników, który to ułatwi będzie wsparcie realizowane wyłącznie przez lokalne, specjalistyczne, w tym wypadku polskie podmioty, specjalizujące się w informatyce śledczej, odzyskiwaniu danych, zarządzaniu kryzysowym (PR), aspektach prawnych, etc. Warto także upewnić się, czy pracownicy call center, którzy będą przyjmować od nas zgłoszenie, mają odpowiednie kompetencje i co może prozaiczne, ale czy mówią w języku polskim – w sytuacjach kryzysowych to również duża zaleta.
Przykład procesu likwidacji szkód można znaleźć TUTAJ
Autor: Paweł Siatkowski
Zespół Findia
