Niedawno media obiegła historia rzekomego wycieku 25 mln rekordów danych klientów Empiku.  To ciekawy przykład nowoczesnego zagrożenia w cyberprzestrzeni. Choć ostatecznie okazało się, że wyciek był mistyfikacją, która miała na celu wyłudzenie pieniędzy, przypadek ten pokazuje istotną wartość cyberubezpieczeń również w sytuacjach fałszywych alarmów.

Ubezpieczenie także w takim przypadku zadziała, choć w ograniczonym zakresie i wsparcie może być też różne w zależności od ubezpieczyciela. Dlatego zachęcam do uważnego zapoznania się z zapisami ogólnych warunków ubezpieczenia poszczególnych cyberpolis dostępnych na rynku i skonsultowanie ich z ekspertami.
 
Fałszywy atak a realne koszty
 
Jedno nie pozostawia pola do wątpliwości – kiedy firma otrzymuje informacje o potencjalnym incydencie, musi działać natychmiast. W sytuacji, kiedy otrzymuje informację z zewnątrz, jak miało to miejsce we wspomnianym na początku wypadku, pierwszym krokiem jest sprawdzenie, czy do wycieku czy naruszenia bezpieczeństwa rzeczywiście doszło.

Już te działania generują określone koszty, jak zaangażowanie ekspertów IT, przygotowanie analizy bezpieczeństwa, uruchomienie komunikacji kryzysowej. W przypadku Empiku konieczne było przeprowadzenie dogłębnego dochodzenia, aby ustalić, że informacje o wycieku były fałszywe.

W związku z tym większość ubezpieczycieli oferuje ochronę aktywowaną już na etapie „uzasadnionego podejrzenia” wystąpienia cyberincydentu. Publikacja informacji o rzekomym wycieku danych z pewnością spełnia to kryterium. W takiej sytuacji firmy mogą liczyć na pokrycie kosztów zespołu reagowania kryzysowego, który przeprowadzi weryfikację autentyczności zagrożenia.
 

Różnice w podejściu poszczególnych ubezpieczycieli pojawiają się jednak na dalszym etapie. Jak wspomniałem, standardem jest pokrycie, rekompensata wydatków poniesionych w związku z pracą specjalistów ds. informatyki śledczej. Inaczej może jednak wyglądać sprawa w przypadku komunikacji kryzysowej, czyli dodatkowych kosztów działań PR-owych. Drugim elementem, do którego poszczególni ubezpieczyciele podchodzą w zróżnicowany sposób, są koszty doradztwa i obrony prawnej. Może dojść do sytuacji, że klienci firmy, mimo jej wyjaśnień, zechcą wystąpić z roszczeniami.

Standardowo w cyberpolisach koszty obrony są uwzględnione. Teoretycznie bez znaczenia powinien być fakt, czy są one zasadne czy nie i sam fakt uruchomienia procedur prawnych powinien determinować uruchomienie środków z polisy. W praktyce może być jednak różnie. Co więcej, część towarzystw wprowadza również specjalne limity odpowiedzialności dla takich „fałszywych alarmów” w kontekście pokrycia niektórych kosztów.

Chciałbym jeszcze podkreślić, że cyberubezpieczenie obejmuje znacznie więcej niż tylko reakcję na podejrzenie wycieku danych. Standardowa cyberpolisa działa wielopoziomowo. Obejmuje koszty usunięcia złośliwego oprogramowania, zabezpieczenia luk w systemie i przywrócenia normalnej działalności. W kontekście danych osobowych ważne jest pokrycie kosztów związanych z wypełnieniem wymogów RODO, w tym przeprowadzenia obowiązkowej akcji informacyjnej dla osób, których dane zostały narażone.
 

Czy każdy może kupić cyberpolisę?
 
Ubezpieczyciele nie oferują ochrony bez wymagań wobec firm. Przed udzieleniem ochrony przeprowadzają dokładną ocenę ryzyka, wymagają konkretnych zabezpieczeń technicznych, takich jak systemy EDR czy podwójne uwierzytelnianie. Dodatkowo oczekują rozwiązań organizacyjnych – regularne szkolenia personelu, procedury reagowania na incydenty czy właściwe zarządzanie dostępami do systemów informatycznych. Rosnące wymagania są reakcją na wzrost liczby cyberataków w Polsce i na całym świecie.

Pamiętajmy, że cyberubezpieczenie stanowi ostatnią linię obrony. Gdy zawodzą techniczne zabezpieczenia i procedury bezpieczeństwa, polisa pozwala zminimalizować finansowe konsekwencje incydentu – niezależnie od tego, czy był on rzeczywisty, czy fałszywy. Dlatego powinna być nieodłącznym elementem strategii bezpieczeństwa każdej firmy, bez względu na jej wielkość czy branżę, w której działa.
 
Autor: specjalista ds. cyberubezpieczeń, broker ubezpieczeniowy w EIB SA