MENU
ANDIW UBEZPIECZENIA
ANDIW UBEZPIECZENIA
ANDIW

Ubezpieczenie cyber a inne polisy

Ubezpieczenie cyber – spis treści

  1. Ryzyka Cybernetyczne czyli cyber risk
  2. Ubezpieczenie Cybernetyczne
  3. Dla kogo cyber polisa ?
  4. Ile kosztuje tzw. ubezpieczenie RODO ?
  5. Obiekcje dotyczące ubezpieczenia cybernetycznego
  6. OC firmy OC zawodowe
  7. Ubezpieczenie cyber a utrata zysku
  8. Ubezpieczenia Sprzętu Elektronicznego
  9. Ubezpieczenie Środowiskowe
  10. Polisa Crime
  11. Broker Ubezpieczeniowy – ubezpieczenie cybernetyczne

Ubezpieczenie cyber

Zmiany prawne związane z RODO oraz implementacją dyrektywy NIS pobudziły zainteresowanie ubezpieczeniami cybernetycznymi. Istnieją one od ćwierć wieku, ale w naszym kraju dopiero w 2018 roku przestały być rzadkością. Zainteresowanie cyberpolisami wzmogło dodatkowo przechodzenie na pracę zdalną z związku z epidemią koronawiurusa oraz ujawnienie przez włamywaczy korespondencji e-mail wymienianej między najważniejszymi urzędnikami. Mimo wzrastającej lawinowo liczby polis, ubezpieczenie ryzyk cybernetycznych nadal jest mylone z innymi produktami. W rzeczywistości tego typu ochrona nie ma żadnych bliskich substytutów. Zakres ubezpieczenia Cyberisk może się pokrywać z innymi polisami, ale dotyczy to tylko niewielkich wycinków. Jeśli polisa OC działalności gospodarczej, ubezpieczenie mienia rozciąga się na jakiś fragment cyberisk, to dzieje się tak najczęściej przez przypadek, gdyż zasadniczo zostały one stworzone z myślą o innych obszarach (K.Malinowska  (w:) D.Fuchs, K.Malinowska, D. Maśniak (red.) Kontrakty na rynku ubezpieczeń Komentarz do przepisów i warunków ubezpieczenia str. 1089). Na ogół ubezpieczeni przeceniają zasięg posiadanych rozwiązań. Coraz częściej spotkać się można także z generalnym wyłączeniem odpowiedzialności za ryzyka cybernetyczne w ubezpieczeniach mienia czy OC władz spółki, OC działalności gospodarczej, a nawet w polisie CARGO. Charakterystyczne jest, że takie ograniczania odpowiedzialności nie są zamieszczane w OWU, a w postanowieniach dodatkowych do umowy.

Ubezpieczenia ryzyk cybernetycznych – od czego chronią ?

W dużym uproszczeniu ubezpieczenie cyber zapewnia ochronę w razie utraty, uszkodzenia, ujawnienia, zniekształcenia danych, w tym danych osobowych oraz zewnętrznych ingerencji w systemy informatyczne. Należy podkreślić, ubezpieczenie cyber w większości konfiguracji dotyczy nie tylko danych elektronicznych, ale także tych które zostały utrwalone w formie papierowej. Chociaż oczywiście egzemplifikacje wyjątków można by mnożyć bardzo długo. Np. jeden wiodących oferentów polis od ryzyk cybernetycznych określa zakres przez definicje ataku komputowego przez który rozumie :   nielegalne działania związane z uzyskaniem nieautoryzowanego dostępu do danych
elektronicznych. 

W dosyć specyficznych przypadkach z ubezpieczenia cyberrisk może zostać wypłacone świadczenie za także zdarzenie nie wynikające bezpośrednio z ujawnienia, utratą, zniekształceniem danych. 

Natura umowy ubezpieczenia ryzyk cybernetycznych jest złożona. Ochrona obejmuje zarówno odpowiedzialność cywilną jak i koszty własne poniesione przez ubezpieczonego w związku z incydentem (np. odzyskiwanie danych, notyfikacja, zawiadomienie poszkodowanych zgodnie z RODO, kara nałożona przez Prezesa UODO, koszty obrony w postępowaniach cywilnych i karnych, administracyjnych, okup). Przy czym ochronie nie podlega sama wartość ekonomiczna danych, a jedynie koszt ich odtworzenia. Zasadniczo polisa cyber pozostawia poza zakresem pokrycia szkody w sprzęcie sprzęcie komputerowym. Tylko jeden z ubezpieczycieli proponuje w standardzie klauzulę rozszerzającą dobrostan ochrony na ten obszar, ale u większości takie modyfikacje można uzyskać w drodze indywidualnych negocjacji.

Doświadczenia pokazują, że dużo mniej uwagi poświęca się odpowiedzialności wobec osób trzecich, mimo że wypłaty z tego tytułu przekraczają koszty własne. Można przypuszczać nawet, iż ta prawidłowość będzie się utrzymywać, ponieważ rozporządzenie RODO przewidujące odpowiedzialność za szkodę majątkową i niemajątkową opiera się na konstrukcji winy domniemanej. (punkt 146 preambuły i art. 83 ustęp 3 RODO).

Oprócz wypłaty ubezpieczyciele zapewniają także świadczenia w naturze ukierunkowane na zapewnienie prawidłowej reakcji na incydent. Przy czym warto zwrócić Najczęściej jest to zaangażowanie specjalistycznych podmiotów zajmujących się informatyką śledczą czy odtwarzaniem danych, jak również kancelarii prawnych, które notyfikują incydent Prezesowi UODO, proponują ugody poszkodowanym, prowadzą postępowanie odwoławcze odnośnie nałożonej kary, bronią w sprawie o odszkodowanie przeciwko osobom, które nie zgodziły się na ugodę. Przydatna jest także pomoc agencji oraz managera cyberincydentu koordynującego działania wyżej wymienionych. Zaangażowanie takich firm w trybie nagłym może kosztować fortunę, a szybka i adekwatna reakcja stwarza szanse na zniwelowanie finansowych następstw cyberincydentu. Prezes UODO przy wymiarze kary bierze pod uwagę 11 czynników, w tym sposób w jaki Urząd Ochrony Danych Osobowych dowiedział się o naruszeniu, działania podjęte w celu zminimalizowania szkód, stopień współpracy z UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków. Na dodatek RODO rygorystycznie określa terminy na powiadomienie Prezesa Urząd Ochrony Danych Osobowych o incydencie. Jeśli naruszenie niesie za sobą istotne prawdopodobieństwo naruszenia praw lub wolności osób, których dane są przetwarzane, obowiązek notyfikacji należy wypełnić w ciągu 72 godzin od stwierdzeniu naruszenia (art.33 ustęp 1 RODO) 

czy ryzyko cyber można ubezpieczyć 

Ponadto jeden z zakładów ubezpieczeń w ramach prewencji zapewnia swoim klientom dostęp do bezpłatnych webinarów dotyczących ochrony danych osobowych prowadzonych przez kancelarię Maruta Wachta.

Cyberpolisa – konfiguracja

Oczywiście na rynku ubezpieczeń cybernetycznych wykształciły się już ogólnoświatowe standardy ochrony, ale istnieje też wiele możliwości konfiguracji. Do typowych należą klauzule :

  1. business interruption w skrócie BI, nazywa także ubezpieczeń od przerw w działalności czy ubezpieczeniem zysku
  2. przelewu bankowego
  3. utraty danych na zewnętrznych przenośnych nośnikach
  4.  działalności multimedialnej
  5. wymuszenia /okupu
  6. zabiegów socjotechnicznych (cyber-kradzieży)
  7. kart płatniczych

Oprócz tego cyberpolisa może być zapatrzona w szereg specjalistycznych dodatków np. koszty ochrony reputacji, które należy odróżnić klauzuli wyrównania strat reputacjach. Do tego dochodzą jeszcze postanowienia konstruowane przez brokerów na potrzeby danego kontraktu. W sumie szczegóły tzw. RODO polisy, tworzą hermetyczny makrokosmos,wiec przy aranżowaniu ochrony ubezpieczeniowej od zagrożeń cybernetycznych ogromne znacznie może mieć profesjonalny pełnomocnika czyli broker specjalizujący w tej materii. 

Niestety wewnętrzna różnorodność cyber ubezpieczeń nie jest powszechnie dostrzegana. Nad wyraz często z zapytanie ofertowym występują firmy czy organizacje, które zostały zobowiązane przez kontrahenta, inwestora do przedłożenia polisy od cyberzagrożeń bez jakiekolwiek precyzowania czego ma dotyczyć pokrycie. W świetle powyższych uwag, taki brak dbałości o szczegóły może być przyczyną niezwykle przykrych rozczarowań. 

Jak wybrać ubezpieczenie od ataku hakerskiego i podobnych zdarzeń ? Pod uwagę należy wsiąść wiele czynników, a zawłaszcza branżę (profil działalności) ubezpieczonego, stan zabezpieczeń informatycznych, ilość oraz sposób przechowania danych, skalę działalności. 

RODO polisa czy ubezpieczenie danych 

Zakres ochrony jest tak szeroki i różnorodny, że trudno zamknąć istotę tego produktu w jednozdaniowej definicji. Ubezpieczenie cyber nazywane bywa ubezpieczeniem danych, co nie jest do końca precyzyjne, gdyż ochrona (w odpowiednio skonfigurowanym pakiecie) może zadziałać niezależnie od utraty danych .Przykładowo ubezpieczonemu zarzuca się plagiat, naruszenie prywatności, zniesławienie dokonane za pomocą środków elektronicznych (strona www, w mediach społecznościowe) w grę wchodzi finansowanie z polisy cyber kosztów obrony i odszkodowania w ramach klauzuli działalności multimedialnej. Przy czym ten zakres przeważnie oferowany jest jako opcja dodatkowa. 

Tak samo zaistnienie nieautoryzowanego dostępu do danych wcale nie musi być oczywiste gdy haker przejmie kontrolę nad urządzeniami należącymi do ofiary, a na takie zdarzenie objęte jest znaczną częścią proponowanych na rynku ubezpieczeń CYBER. Artykuł o szkodzie cyber 380 MLN PLN, która polegała za zatrzymaniu produkcji wskutek cyber ataku.

Polisy cyberrisk reklamowane bywają jako panaceum na ataki hackerskie, ale w praktyce spora część szkód nie ma z nimi za wiele wspólnego. Podawane są bardzo różne statystyki, ale przynajmniej 20% incydentów cybernetycznych wynika z błędów, niedopatrzeń pracowników albo ich złośliwych działań. Wystarczy pomyłka w adresie przy wysyłaniu wiadomości e-mail, czy wysłanie kopii jawnej do adresatów, do których wiadomość e-mail miała trafić jako kopia ukryta. Takie zdarzenie miało miejsce w listopadzie 2019 w PZU.

Impulsem do rozwoju rynku ubezpieczeń Cyber stało się zaostrzenie rygorów prawnych dotyczących danych osobowych związanych z RODO czyli Ogólnym Rozporządzeniu o Ochronie Danych. W żargonie funkcjonuje nawet określenie ubezpieczenie RODO. Ze zdecydowanej większości polis cyber mogą być sfinansowane koszty wymaganej przez to rozporządzenie notyfikacji incydentu, zawiadomienia poszkodowanych, czy nawet kara pieniężna nałożona na podstawie RODO.

Na co zwrócić przy wyborze ubezpieczenia cybernetycznego ?

Przy czym w danym OWU warto sprawdzić czy pokrywane są wyłącznie kary pieniężne wynikające z wycieku danych czy także z innych uchybień. Kara dla przedsiębiorstwa może wynosić nawet do 20 000 000 EUR, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W Polsce rekordzistą jest serwis morele net. który został obciążony karą z tego tytułu na poziomie 2,8 MLN PLN. Więcej o przypadku morele.net na stronie niebezpiecznik. Istnieje nawet wersja ubezpieczenia cyber, która okrojona jest do kwestii związanych z RODO. Zresztą zakres ubezpieczenia wygląda nieco inaczej w OWU poszczególnych zakładów ubezpieczeń.

Godny weryfikacji w ofercie ubezpieczenia cybernetycznego jest także zakres odpowiedzialności ubezpieczyciela za skutki wyłudzenia danych uwierzytelniających np. haseł bankowości elektronicznej,poczty e-mail, czy systemów transakcyjnych. Często odbywa się to przez wiadomość e-mail wzywającą do wpisania danych logowania na stronie imitującej witrynę banku, operatora poczty itp. Phishing, bo tak po angielsku nazywa się to działanie stanowi jedno z najpowszechniejszych ryzyk cybernetycznych. R.Kaczorek na stronie internetowej Kancelarii Grand Thornton 25.09.2020 podał, że Phishing stanowi 54,2% wszystkich incydentów cybernetycznych w Polsce. Podobnie w badaniu na potrzeby raportu KPMG Barometr cyberbezpieczeństwa. Detekcja i reakcja na zagrożenia w czasie podwyższonego alert ankietowani wskazali wyłudzenia danych uwierzytelniających jako największe cyberzagrożenie. Niestety na polskim rynku zwykle ochrona przez następstwami phishingu czy innych form podszywania się nie jest oferowana w podstawowej konfiguracji ubezpieczenia ryzyk cybernetycznych, ale większość ubezpieczycieli umożliwia nabycie dedykowana rozszerzenia. Przy czym treść klauzul dodatkowych bywa zróżnicowana, a diabeł tkwi w szczegółach. Np. jeden z większych graczy poza pokryciem pozostawia elektroniczne przesłanie środków finansowych, gotówki lub towarów należących do Ubezpieczonego lub za które zgodnie z prawem Ubezpieczony ponosi odpowiedzialność.

Nie powinno ujść uwadze kwestia czy RODO polisa obejmuje ryzyko cyber wymuszenia. Według raportu NETDILIGENCE Cyber Claims Study 2021 w sektorze MSP najbardziej kosztowym dla ubezpieczycieli rodzajem incydentu komputerowego były ataki ransomware czyli polegającego na użyciu złośliwego oprogramowania w uzyskania okupu za przywrócenie funkcjonalności systemu lub odzyskania danych. Taka statystyka może dziwić z kilku względów. Znaczna część ubezpieczeń cybernetycznych nie przewiduje uiszczenia przez asekuratora okupu. W kilku jurysdykcjach dyskutuje się nawet nad prawną i moralną dopuszczalnością oferowania polis cyberisk z takim rozszerzeniem. Na dodatek w treść klauzuli wymuszenia przeważnie pozostawia do decyzji zakładu ubezpieczeń spełnienie żądań przestępców. W tym kontekście nierzadko może znaleźć zastosowanie, zrozumiałe bądź co bądź, wyłączenie,wypłat na rzecz podmiotów objętych sankcjami międzynarodowymi. Z drugiej strony sami hakerzy świadomi tego uwarunkowania usiłują przeciwdziałać identyfikowaniu ich z osobami czy organizacjami podanymi takim obostrzeniom. W każdym razie klauzula okupu w cyberpolisie ma znaczenie znacznie większe niż może się wydawać. 

Pewne zaskoczenie stanowi, że w omawianym produkcie część ubezpieczycieli stosuje bezwzględne obostrzenia terytorialnego zakresu pokrycia, co w niektórych przypadkach neguje sens zawiera ubezpieczenia cyber. Zdarza się np. pokrycie rozciąga się tylko na dane przechowywane na terytorium państw należących do UE. Praktyce znane jest także wyłączenie szkód powstałych na terytorium USA i Kanady. 

polisa od ryzyk komputerowych

Dla kogo cyber polisa ?

Uzależnienie od różnorakich danych czy systemów informatycznych sprawia, że trudno wskazać podmiot, który byłby wolny od cyber zagrożeń. Tego rodzaju ryzyka występują zarówno w spółkach, jednoosobowych działalnościach gospodarczych, fundacjach, stowarzyszeniach, spółdzielniach i w wielu innych organizacjach nie wyłączając podmiotów publicznoprawnych.Według danych Sopockiego Towarzystwo Ubezpieczeń ERGO Hestia w 2021 ofiarą 10,6 % cyber ataków padły jednoosobowe działalności gospodarcze. Mitem jest zarówno to, że małe i średnie firmy nie są narażone na incydenty w zakresie bezpieczeństwa informatycznego, jak i to, że cena ubezpieczeń cybernetycznych jest dla nich za wysoka. Wiele ataków hakerskich ma charakter masowy, zautomatyzowany. Nie zawsze przestępcy, wiedzą, kto jest ich ofiarą. Zdarza się na przykład, że hakerzy wyszukają cele ataków cyber za pomocą robota wykrywającego luki w zabezpieczeniach.

Nie ma też branży, w której tzw.ubezpieczenie RODO było by zbędne. Ochroną ubezpieczeniową powinny zainteresować się przede wszystkich organizacje najbardziej narażone na ryzyka cybernetyczne. Ubezpieczenie cyber może się przydać w szczególności podmiotom przechowujących duże ilości danych lub informacje wrażliwe, np. gabinety medyczne, szpitale, biura rachunkowe, hotele. Agencja Moody’s w 10.2022 wskazała, że najbardziej zagrożenia atakami cybernetycznymi są szpitale i usługi komunalne. Z kolei z danych prezentowanych przez Ergo Hestia wynika, że 11,9% incydentów cyber dotyczy firm z sektora medycznego.

Mimo tego większość tego podmiotów leczniczych czy samorządowych jest w stanie uzyskać polisę cyberrisk. Oczywiście specyfika ryzyka przekłada się wycenę ochrony oraz podwyższone wymogi w zakresie zabezpieczeń. Wielu ubezpieczyciele wyklucza sp ale na ogół nie są to przeszkody do zaaranżowania ubezpieczenia ryzyk cybernetycznych. 

Trudno też przecenić ubezpieczenia cyber w firmach o wysokim stopniu automatyzacji procesów biznesowych, zwłaszcza z branży produkcyjnej. Istotny czynnik ryzyka stanowi posiadanie pracowników, ponieważ jak już stwierdzono statystyki pokazują, że człowiek jest najsłabszym ogniwem w systemie zabezpieczeń. Ponadto dokumentacja pracownicza, też zawiera mnóstwo informacji wymagających ochrony, takich jak na przykład: wysokość zarobków, godziny pracy, wzmianki o postępowaniach egzekucyjnych. Według danych prezentowanych przez Ergo Hestia 82% pracodawców przyznaje, że nie ma wiedzy na temat cyberzagrożeń (M. Kleina T.Dolata Polisy cyber – realna ochrona przed cyfrowym zagrożeniem Miesięcznik Ubezpieczeniowy 9/2021 dodatek).

Cena Ubezpieczenia Cyber

Roczny koszt polisy z sumą ubezpieczenia 250 tys PLN dla przedsiębiorstwa o obrocie do 1,5 MLN PLN może wynosi mniej niż 900 PLN. Co więcej, wielu ubezpieczycieli stworzyło produkty dedykowane firmom, których przychody nie przekraczają 50 MLN PLN. Na ogół są to pełnowartościowe rozwiązania, cechujące się uproszczonym procesem underwritingu. Cenę determinuje od kilku do kilkunastu czynników.

Tabela prezentuje przykładowe składki za ubezpieczenie cyber dla podmiotów różnej wielkości z z kilku branż

ubezpieczenie cybernetyczne

Do 2021 składki za ubezpieczenie od ataków hakerskich stale malały w skutek nasilającej się konkurencji między zakładami ubezpieczeń. Jednakże pogarszające się przebiegi szkodowe polis od wycieku danych oraz nieustany wzrost zagrożeń cybernetycznych sprawiły, że ceny zaczęły wzrastać, choć nadal pozostają bardzo przystępne. Trudno nie spostrzec jak na wzrost aktywności w internecie wpłynęły obostrzenia pandemiczne.  Warto przy zwrócić uwagę, że wspominane czynniki wpływające na koszt ubezpieczenia od ryzyk cybernetycznych wskazują jak bardzo jest ono potrzebne. Oprócz tego ubezpieczenia cyber drożeją przez ogólnoświatowy wzrost popytu na ubezpieczenie tego ryzyka. W ostatnich szczególnie widoczne jest w południowo-wschodniej części globu, gdzie dopiero teraz zaczęto wdrażać regulacje prawne zbliżone do europejskiego RODO. Np.Tajlandia, Singapur. Kolejną falę zakupów ubezpieczeń cyber sprowokowała także agresja Federacji Rosyjskiej przeciwko Ukrainie. Taka motywacja ma racjonalne podstawy, albowiem wielu ekspertów wskazuje, że Rosja jako kraj, nie mający za wiele do stracenia w sferze reputacyjnej przynajmniej nie będzie się angażował się w walkę z przestępczością cybernetyczną ukierunkowaną na zewnątrz. W Polsce jednym z wielu impulsów był informacje medialne o incydencie związanym z wymianą korespondencji między członkami rządu i innymi ważnymi politykami (tzw.case Dworczyka). 

Oprócz tego, coraz bogatsze doświadczenia szkodowe, skłaniają także do rozbudowany zakresu cyberpolis, co przekłada się także na cenę. 

 

ubezpieczenie od ataków hakrskich

Przyczyną poważnych perturbacji bywa także uzyskanie nieautoryzowanego dostępu do nagrań z monitoringu. Nieco zaskakujące jest, że dość powszechnie problemy z bezpieczeństwem cybernetycznym zdarzają się jednostkom samorządu terytorialnego. Pod koniec roku 2018 media obiegła informacja o ataku na stronę gminy Kościerzyna oraz ewentualnej odpowiedzialności jej włodarzy i pracowników. Z kolei w maju 2019 roku hakerzy zablokowali na 3 tygodnie około 10 000 komputerów administracji Baltimore.

Ubezpieczenie cybernetyczne nie jest natomiast dedykowane zasadniczo firmom informatycznym. Powinny one się zabezpieczyć przez zawarcie umowy ubezpieczenia OC zawodowego firmy informatycznej (tzw.OC IT, Tech OC). Poza apetytem na ryzyko większości towarzystw ubezpieczeń znajduje się także firmy zarządzające transportem kolejowym czy powietrznym, a także instytucje finansowe (np.banki).

Z dobrodziejstw ubezpieczenia cyber mogą skorzystać wyłącznie organizacje posiadające określone zabezpieczanie techniczne oraz stosujące procedury bezpieczeństwa. Standardy wymagane przez poszczególnych ubezpieczycieli nie są identyczne, ale na ogół nietrudno je spełnić. Towarzystwa Ubezpieczeń na ogół oczekują regularnego tworzenia kopii bezpieczeństwa, używania aktualizowanego oprogramowania antywirusowego i zapory firewall, wdrożenia procedur zgodnych z Ogólnym Rozporządzeniem o Ochronie Danych. Rzadziej formułowane są wymogi odnośnie systemów operacyjnych. Zawsze grupę docelową ubezpieczycieli stanowią podmioty, które w ubezpieczanym zakresie nie doznały szkód. Natomiast szkodowość w polisie cyber, częściej niż w jakimkolwiek innym produkcie ubezpieczeniowym stanowi czynnik uniemożliwiający uzyskanie ochrony ubezpieczeniowej w zakresie tzw. ubezpieczenia od ataków hakerskich. Warunkiem umożliwiającym objęcie ochroną danych na mobilnych nośnikach jest ich szyfrowanie. Niektórzy potencjalni ubezpieczeni postrzegają wdrożenie wymogów ubezpieczycieli czy wręcz zbyteczne, jednakże oczekiwania dotyczące zabezpieczeń przy cyberpolisach nie wynikają z najnowszych badań amerykańskich naukowców, tylko ze statystyk szkodowych. Warto też wiedzieć, że wdrożenie określonych procedur bezpieczeństwa, prócz znaczenia czysto technicznego ma także doniosłe skutki prawne. Np. Jedną z przesłanek zaistnienia (a wiec i ochrony) tajemnicy przedsiębiorstwa jest przedsięwzięcie NIEZBĘDNYCH i ROZSĄDNYCH środków w celu zabezpieczenia przed ujawnieniem informacji. Przy czym nie ma uniwersalnego katalogu odpowiednich środków dla każdej organizacji z wyjątkami pewnych wycinków np. akta pracownicze, ale w uproszczeniu czym więcej instrumentów prewencyjnych, tym większe możliwości stosowania środków prawnych. 

Za wielkie nie porozumienie uznać trzeba traktowania polis cybernetycznych jako alternatywy względem wdrożenia odpowiednik zabezpieczeń technicznych czy środków prawnych. Jak już stwierdzono pokrycie z ubezpieczenia ryzyk komputerowych udzielane jest wyłącznie pod warunkiem utrzymywania sprecyzowanych wymogów. Posiadanie adekwatnej tzw rodopolisy można porównać koła ratunkowego, którego istnienie w żaden sposób nie ogranicza zasadności posiadania środków prewencyjnych.

Reasumując ubezpieczenia od ryzyk cybernetycznych potrzebuje prawie każdy i prawie każdy jest w stanie je zawrzeć. 

Obiekcje dotyczące ubezpieczenia cyber wynikają głównie z.. niewiedzy

Zarządzający czy właściciele niekiedy są przekonani, że ich organizacja nie posiada żadnych wrażliwych czy poufnych informacji. Jednakże trudno znaleźć firmę, która nie administrowała by danymi osobowymi, choćby imionami, nazwiskami czy adresami zamieszkania. Samo narażenie tych danych wystarczy do nałożenie kary czy odpowiedzialności odszkodowawczej, oraz powstania obowiązku notyfikacji do UODO. Według wyliczeń Colonnade same koszty notyfikacji ponoszone przez firmę średniej wielkości mogą sięgać 500 ooo PLN.

Błędne jest także przeświadczenie, że podmioty gromadzące wszelkie dane na papierowych nośnikach nie potrzebują ubezpieczenia. Jak już stwierdzono ochrona nie ogranicza się tylko do danych w formie elektronicznej.

Zainteresowania polisą cyber nie można traktować jako votum nieufności wobec informatyków czy inspektorów ochrony danych osobowych, gdyż żadna wiedza czy umiejętności nie eliminują wszystkich zagrożeń. Z tych samych względów nawet mistrzowie rajdowi jeżdżą w kasku i z zapiętymi pasami. Prawidłowe wdrożenie RODO, NIS, certyfikacja ISO czy zabezpieczenia techniczne nie stanowią surogatu ubezpieczenia. Co więcej spełnienie określonych standardów umożliwia objęcie firmy ochroną ubezpieczeniową.

W świetle badań D. Kahnemana nagminnie popełniany błąd poznawczy stanowi przypisywanie małego prawdopodobieństwa zdarzeniom, których się nie doświadczyło w przeszłości. Wiele osób myśli : skoro u mnie dotychczas nic podobnego się nie wydarzyło, wiec nie będzie mieć miejsca kiedykolwiek. Jest to rozumowanie bardzo zawodne. Gdyby tak było w rzeczywistości każdy mógłby stwierdzić, że jest nieśmiertelny, skoro nigdy nie umarł. Ryzyka cybernetyczne bywają bagatelizowane, ponieważ w zbiorowej świadomości nie zdążyły się zapisać jeszcze spektakularne incydenty, mimo, że ich nie brakowało. Co więcej, liczba szkód pokrywanych z ubezpieczenia cyber stale rośnie, i wszystko wskazuje, że ta tendencja będzie się utrzymywać.

Ubezpieczenie OC firmy i OC zawodowe a cyber risk

Zasadniczo zakresy OC z tytułu prowadzonej działalności gospodarczej i polisy cyber są rozłączne. Szkody związane z danymi czy wynikające z ataków hakerskich, działania wirusów nie są z reguły pokrywane z ubezpieczenia OC, a w polisie cybernetycznej typowe wyłącznie stanowią następstwa działalności profesjonalnej. Zasadniczo ubezpieczenie ryzyk cybernetycznych w sekcji odpowiedzialności cywilnej zogniskowane jest na czystych stratach finansowych, a typowe polisa oc firmy obejmuje przede wszystkim szkody na rzeczy i osobie. Wprawdzie wzbogacenie ubezpieczenia oc ogólnej o klauzulę czystych strat majątkowych nie stanowi żadnego  ewenementu, ale to rozszerzenie na ogół nie dotyczy  szkód wynikających z naruszenia przepisów dotyczących ochrony danych osobowych (np. OWU PZU DORADCA ustalone uchwałą nr UZ/333/2020 Zarządu Powszechnego Zakładu Ubezpieczeń Spółki Akcyjnej z 01.12.2020 ze zmianami ustalonymi uchwałą nr UZ/296/2023 z dnia 24.10.2023 Klauzula 27 Rozszerzenie zakresu odpowiedzialności o szkody polegające na powstaniu czystej straty finansowe ustęp 2 pkt.3 str.61). W kilku wzorcach umownych ubezpieczenia OC firmy można się spotkać także z przyjęciem wycinkowej odpowiedzialności na następstwa nieprawidłowości w ochronie danych osobowych. Np. sporadycznie zdarza się , że klauzula OC pracodawcy przewiduje naprawienie szkody wynikłej z naruszenia prywatności zatrudnionych. Nie będzie przesadą, stwierdzenie, że w ostatnich latach zapanowała moda  na rozbudowywanie klasycznych polis odpowiedzialności cywilnej o moduły przewidujące szczątkowe następstw incydentów cybernetycznych (tzw. mini Cyber). Jednakże przeważnie takie dodatki tworzą tylko nieubezpieczenie złudzenie. Przekładowo Generali w ramach pakcie MSP oferuje klauzulę rozciągająca się tylko na  szkody powstałe wskutek utraty danych osobowych do których doszło tylko wskutek niewłaściwego działania pracownika poza siedzibą przedsiębiorcy (OWU dla małych i średnich przedsiębiorstw „Generali, z myślą o firmie” obowiązujące od 22.06.2023.klauzula 20 str.62).  Co więcej, świadczenia z tego tytułu nie może przekroczyć 10 000 PLN, co w zestawieniu z potencjalnym rozmiarem odszkodowań uznać należy za wielkość symboliczną. 

W wielu kwestiach zakres ubezpieczenia Cyber może się pokrywać z polisą OC Inspektora Ochrony Danych Osobowych (IOD). Jednakże polisa OC, ze swej istoty może chronić tylko przed odpowiedzialnością cywilną. Podczas, gdy z ubezpieczenia cybernetycznego pokrywa dodatkowo kary administracyjne i koszty obrony w postępowaniach karnych związanych z przedmiotowym uchybieniem. O wycinkowym nakładaniu można mówić także w odniesieniu do wielu innych ubezpieczeń OC zawodowej. Przykładem jest ujawnienie tajemnicy zawodowej. Niedawno jeden z zakładów ubezpieczeń wprowadził do oferty klauzulę cyber do polis do ubezpieczeń OC pośrednika nieruchomości , OC zarządcy nieruchomości, OC zawodowej biur rachunkowych, OC doradcy podatkowego. Spotkać się można także z klauzulą odzyskania danych przy ubezpieczeniu odpowiedzialności cywilnej zawodowej managerów. Wprawdzie polisa oc zawodowego prócz odpowiedzialności cywilnej obejmuje ona także postępowania administracyjne, ale i nie można ją traktować na równi z ubezpieczeniem ryzyk cybernetycznych. Obejmuje ona tylko odpowiedzialność wobec osób trzecich, bez strat własnych ubezpieczonego. Wiele do życzenia pozostawia także limit odpowiedzialności w polisie IOD jak pozostałych ubezpieczeniach odpowiedzialności cywilnej zawodowej.

Polisa cyber a BI

Niekiedy większe szkody, niż sama utrata własnych dóbr czy odpowiedzialność osób trzecich, powoduje przerwa w działalności przedsiębiorstwa. Finansowe skutki takiego stanu może złagodzić odszkodowanie wypłacone z ubezpieczenia zysku nazywanego także polisą od przestoju lub jako ubezpieczenie od przerw w działalnościi (ang. business interruption insurance). Niestety na ogół taka polisa zadziała wyłącznie gdy powstanie odpowiedzialność ubezpieczyciela z produktu bazowego czyli np.ubezpieczenia mienia, maszyn, procesu inwestycyjnego. Jak już nadmieniono OWU tych produktów na ogół pozostawiają poza zakresem odpowiedzialności następstwa działań wirusów komputerowych czy ataków hakerskich, wiec dołączone do nich ubezpieczenie zysku nie zadziała w odniesie do cyber zagrożeń. Jednakże wtedy zysk może zostać zrekompensowany z ubezpieczenia cybernetycznego o ile jest ono zaopatrzone w specjalne rozszerzenie występujące najczęściej pod nazwą zakłócenie działalności (sieci). Dotychczasowe doświadczania pokazują, że z incydenty cyber stanowią jedną z najczęstszych przyczyn przerw w działalności. Warto zwrócić uwagę, że ubezpieczenia zysku rozszerzające cyber polisy z reguły przewidują znacznie krótsze okresy odszkodowawcze w porównaniu z analogicznymi produktami dołączanymi do ubezpieczeń mienia czy maszyn. Sam mechanizm wylicza ubezpieczeniowego zysku jest podobny w cyber insurance jak polisie mienia. Istotne jest także, że oprócz klasycznej klauzuli BI dołączanej ubezpieczenia cybernetycznego można spotkać się także z modułem zapewniającym rekompensatę zysków utraconych wskutek nadwyrężenia reputacji ubezpieczonego przez publikacje medialne o zasinieniu incydentu cybernetycznego. 

Ubezpieczenie Mienia a ubezpieczanie Cyber od ataku hakerskiego

Coraz powszechniejsza jest świadomość potrzeby uzupełniania ubezpieczenia mienia o klauzulę przepięć. Jednakże mało kto zdaje sobie sprawę, że nie zabezpiecza ona przed finansowymi następstwami utraty danych, w przeciwieństwie do ubezpieczenia od ryzyk cybernetycznych. Nierzadko wartość danych przewyższa cenę mienia w, którym są przechowywane. Warto też wiedzieć, że odszkodowanie z polisy od ryzyk cybernetycznych przeważnie ogranicza się się do czystych strat finansowych, majątkowych ( ang.pure economic loss) czyli w uproszczeniu szkód innych niż na rzeczy czy na osobie. Oprócz tego w omawianym produkcie wyłączone są następstwa zagrożeń naturalnych np.pożaru. Jako ciekawostkę można dodać, że kilku ubezpieczycieli umożliwia rozciągnięcie pokrycia polisy cyber zawieranej na rzecz podmiotów posiadających tzw.infrastrukturę krytyczną na skutki rzeczowe incydentów cyber. np. wybuch.  

ubezpieczenie RODO

ubezpieczenie od ataków hakerskich

D&O / OC zarządu a ryzyka cyber

Nieporozumieniem jest także twierdzenie, że alternatywą dla Cyber jest ubezpieczenie D&O (ang. Directors and officers insurance nazywane często niepoprawnie ubezpieczeniem OC zarządu). To ostatnie dedykowane jest przede wszystkim członkom organów osób prawnych i innym zarządzającym. Polisa Cyber zabezpiecza przede wszystkim interes samego przedsiębiorstwa. Zatem, jeśli na przykład okazało by się, że spółka dochodzić będzie odszkodowania za wyciek danych od swojego byłego menagera to pozwany może co do zasady liczyć na wsparcie z polisy D&O. Chociaż spotyka się oferty oc kierownictwa z wyłączeniem roszczeń wynikających z szeroko rozumianych incydentów komputerowych czy cybernetycznych. Jednakże zwykle te obostrzenia można znieść po złożeniu przez ubezpieczonego oświadczeń o wdrożeniu zgodnych z prawem procedur przetwarzania danych w tym danych osobowych i zapoznaniu pracowników z regulacjami prawnymi. Znacznie powszechniejsze są postanowienia potwierdzające, że pokrycie rozciąga się między na roszczenia wobec zarządzających wynikające ze zniszczenia,uszkodzenia, utraty kontroli, ujawnieniem lub nieuprawnionego dostępu do danych (informacji), naruszenia prawa do ochrony wizerunku czy zachowania prywatności. Zdarzają się nawet oferty, które przewidują limit dodatkowy (ponad sumę ubezpieczenia) na następstwa incydentów polegających na naruszeniu poufności danych lub zakłóceniu prywatności. Niemniej sam incydent cybernetyczny zasadniczo nie mieści w zakresie ubezpieczenia odpowiedzialności zarządzających.

Chociaż z drugiej strony najnowocześniejsze polisy D&O w ramach kosztów zarządzania kryzysowego, wzorem ubezpieczenia Cyber, umożliwiają spółce skorzystanie z pomocy wyspecjalizowanej firmy informatycznej po ataku cybernetycznym. Zwrócić trzeba jednak uwagę na 3 istotne ograniczenia wystąpienia takiej ewentualności, które nie występują przy ubezpieczeniu cybernetycznym. Przesłankę takiego świadczenia stanowi prognozowany spadek przychodów spółki przynajmniej o 25%. Po drugie ubezpieczyciele finansują wsparcie konsultanta tylko przez 45 dni. Trzecią różnicę stanowi brak finansowania kosztów obsługi prawnej incydentu, które bywają równie duże jak wydatki na informatykę. Zatem w razie ujawnienia danych osobowych podmiot nie posiadający ubezpieczenia ryzyk cybernetycznych będzie musiał na własny koszt dokonać notyfikacji zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformować poszkodowanych.

Tylko jeden ubezpieczyciel proponuje w ramach ubezpiecza władz organizacji klauzulę refundacji kosztów poniesionych przez osobę prawną w celu zastąpienie lub odtworzenie danych i dokumentów, których utrata nastąpiła w pomieszczeniach podmiotu. Przy czym wypłata z tego tytułu limitowana jest kwotą 100 000 PLN, a rozległość pokrycia nie dorównuje typowemu ubezpieczeniu od ataków cybernetycznych. Wyłączone są np. konsekwencje nieautoryzowanego dostępem do komputerów czy danych. Na dodatek odpowiedzialność za dane komputerowe warunkuje codzienny back-up. 

Ubezpieczenie RODO a polisa skarbowa

Każdy z trzech oferentów ubezpieczeń karnoskarbowych odmiennie reguluje odpowiedzialność za ryzyko cybernetyczne.   Można się spotkać z OWU całkowitym wyłączeniem pokrycia, jak i ubezpieczeniem obejmującym roszczenia odszkodowawcze za uszkodzenie, zniszczenie, utratę lub nieuprawnionym ujawnieniem danych lub dokumentów. Przy czym pokreślić trzeba, że jest to ochrona przed odpowiedzialnością odszkodowawczą (niekiedy wyłącznie wobec zatrudniającego) , a nie pokrycie kosztów własnych. 

ubezpieczenie ryzyk cybernetycznych

Ubezpieczenie Sprzętu Elektronicznego EEI

W uproszczeniu ubezpieczenie sprzętu elektronicznego tym różni się od klasycznego ubezpieczenia mienia (Property Damege) tym, że oprócz ryzyk elementarnych (pożar, powódź, grad, huragan) obejmuje także czynniki wewnętrzne czyli awarie. Jego przedmiotem jest zasadniczo sprzęt elektroniczny czyli komputery, telefony komórkowe, instalacje i urządzenia monitoringu oraz alarmowe, serwery, sprzęt radiowy, telewizyjny oraz do zastosowań medycznych, podczas gdy w ubezpieczeniu cybernetycznym szkody w sprzęcie na ogół pozostają poza zakresem ochrony. Można jednak spotkać się z klauzulami rozszerzającymi pokrycie na ten obszar. Wbrew nazwie w ubezpieczeniu sprzętu elektronicznego od wszystkich ryzyk wyłączone są następstwa działania wirusów, robaków, hakerów przed skutkami których przynajmniej w części chroni cyber polisa.

Do ubezpieczeń dotyczących sprzętu elektronicznego dodawany bywa moduł nazywany ubezpieczeniem danych, choć bardziej adekwatnym określeniem jest ubezpieczenie od kosztów odtworzenia danych i ich nośników. Ta klauzula jest bardzo podobna do jednego z aspektów ubezpieczenia cyber. Z tym, że w przeciwieństwie do polisy cybernetycznej ogranicza się wyłącznie do danych zapisanych na zewnętrznych nośnikach (np.płytach CD). Wprawdzie z większość OWU nie definiuje (precyzyjnie) co jest nośnikiem zewnętrznym ,ale nie ulega wątpliwości, że chodzi o o fizyczne nośniki danych elektronicznych, które powoli stają się anachronizmem. Standardem staje się archiwizacja plików w chmurze. Przeważnie informacje przechowane w ramach rozwiązań  typu cloud, objęte są są polisą od ryzyk cybernetycznych, ale niektórzy oferenci wymagają wykupienia specjalistycznej klauzuli rozszerzającej.  Niezmierne istotne jest także, że ubezpieczenie sprzętu elektronicznego w przeciwieństwie do cyber nie obejmuje następstw działania wirusów komputerowych czy ataków hakerskich.   Natomiast charakterystyczny dla obu produktów jest obowiązek regularnego wykonywania kopii bezpieczeństwa. Tak samo w cyberpolisie  jak i EEI istotne znaczenie ma rozróżnienie na sprzęt przenośny i stacjonarny .In paucis ubezpieczenie cybernetyczne będzie obejmować dane na niezabezpieczeniach mobilnych, jeśli te będą szyfrowane a cyberpolisa zawierać będzie specjalistyczną klauzulę.  W przy ubezpieczaniu sprzętu elektronicznego należy określić, które urządzenia mają charter przenośny, co ma wpływ na cenę, wysokość franszyz oraz terytorialną rozległość pokrycia.   

Znaczna część ubezpieczycieli umożliwia rozszerzenie ubezpieczenia  EEI o zwrot zwiększonych koszty działalności z powodu szkody w sprzęcie elektronicznym objętym ochroną. Analogiczny zakres zazwyczaj objęty jest cyber insurance i na dodatek świadczenie ubezpieczeniowe z takiej polisy należne jest niezależne od szkody w sprzęcie.       

Polisa środowiskowa a ubezpieczenie od cyberprzestępstw

Ubezpieczenie środowiskowe pod względem konstrukcyjnym jest bardzo podobne do ubezpieczenia cyber. Oba produkty obejmują odpowiedzialność wobec osób trzecich jak i pokrycie kosztów własnych. Tyle, że przedmiot ochrony jest zupełnie inny. W ubezpieczeniu cybernetycznym dość często występują szersze lub węższe wyłączania odpowiedzialności dotyczące zanieczyszczeń lub szkód w środowisku naturalnym, które mogą być pokryte z przynajmniej niektórych polis środowiskowych. Na rynku można bowiem znaleźć oferty ubezpieczeń środowiskowych bez ograniczeń odnoszących do się incydentów cyber.

Ubezpieczenie ryzyka sprzeniewierzenia (polisa crime / fidelity)

Zakres tego produktu krzyżuje się niekiedy także z ubezpieczeniem od ryzyk sprzeniewierzenia. W największym uproszczeniu to ostatnie obejmuje skutki nieuczciwości pracowników, kradzież środków pieniężnych, papierów wartościowych , fałszerstwo, przestępstwa komputerowe (wymuszenie wyłudzenie, podszycie) dokonane przez osoby trzecie. Natomiast ubezpieczenie Cyber chroni przed stratami finansowymi związanymi z utratą danych, które mogą ulec zniszczeniu, modyfikacji, bezprawnemu wykorzystaniu z różnych powodów, w tym nie związanych z żadnymi przestępstwami. Do typowych wyłączeń w ubezpieczeniu ryzyk cybernetycznych, których nie ma w polisach fidelity należą szkody w papierach wartościowych lub z nimi związane. Oczywiście zastrzec należy, że jak zwykle wiele zależy od konfiguracji obu polis. Na przykład jedno i drugie ubezpieczenie jest w stanie zapewnić pokrycie strat spowodowanym wyłudzeniem środków pieniężnych przy użyciu zabiegów socjotechnicznych, jeśli zapatrzone jest w odpowiednią klauzulę. Przeważnie występuje ona pod nazwą SEF (Social Engineering Fraud) albo podszywania się  (passing off), czy phishingu. Oczywiście wskazane terminy nie są synonimami, ale  niektórych sytuacjach mogą się pokrywać.   Warto też zwrócić uwagę, na różnice w wysokości udziału własnego. Zwykle w ubezpieczaniu cyber jest on kilka razy niższy.

Ubezpieczenie od porwania i okupu a Cyber Risk

Ubezpieczenie cybernetyczne, może obejmować zapłatę okupu w związku z cyber incydentem. Mimo dość restrykcyjnych przesłanek  udział takich wypłat w ogólnej kwocie świadczeń jest istotny. Według danych prezentowanych przez Gazetę Ubezpieczeniową  w 2020 ataki ransomware odpowiadały za około 3/4 kwoty roszczeń z ubezpieczeń cyber  (Gazeta Ubezpieczeniowa Cyberubezpieczyciele kontra cyberwymuszenia 28.07.2022).  Koszty okupu  mogą być pokryte także z polisy od porwania i okupu (kidnap and ransom insurance K&R). W zależności konfiguracji danej umowy ubezpieczenie K&R może ona przydać nawet przy próbie wymuszenia bez uprowadzenia. Jednakże pokrywanie się zakresów obu produktów jest w praktyce bardzo mało prawdopodobne, gdyż polisa od porwania i okupu na polskim rynku stanowi wyjątkową rzadkość, a na dodatek nie można wykluczyć, że w OWU znajdzie się wyłączenie szkód wynikających z ataków hakerskich czy szczerzej szkód cyber  cyber.

Cyber Assitance
Niektóre elementy ubezpieczenia od ryzyk cybernetycznych zawiera Assistance Cyber dołączany niekiedy do ubezpieczenia firm, a nawet domów. Z reguły jest to pomoc informatyka oraz ubezpieczenie kosztów odtworzenia danych z limitem do kilku tysięcy złotych , co w żaden sposób nie koresponduje z wielkością potencjalnych szkód. Ponadto nierzadko ochrona rozciąga się tylko na zdarzenia związane ze sprzętem spełniającym określane limity wieku.Sporadycznie assitance ogranicza się do roli ubezpieczenia od ataków hakerskich. 

Zapamiętaj

  • Znaczenie ryzyk cybernetycznych jest ogromne i ciągle wzrasta
  • Ubezpieczenie cyber risk w żargonie branżowym nazywane bywa rozmaicie (np.polisa od ataków hakerskich, ubezpieczenie od wycieku danych, RODO polisa, cyberpolisa)
  • Polisa Cyber powinna stanowi jeden z kluczowych elementów systemu zabezpieczeń komplementarny wobec innych rozwiązań technicznych, czy ubezpieczeniowych
  • Ubezpieczenie cybernetyczne zapewnia zapewnia kompleksową ochronę w odniesieniu do szkód związanych z z wszelkiego rodzaju danymi dlatego nazwa ubezpieczenie RODO  czy polisa od ataku hakerów to duże uproszczenia
  • Ochrona obejmuje nie tylko dane utrwalone w formie cyfrowej 
  • Różnorodne produkty ubezpieczeniowe (np. OC IOD) pokrywają się z polisą od ryzyk cybernetycznych tylko wycinkowo
  • Ubezpieczenia cyber powinny stać się powszechne niemal w każdej branży, cena nie stanowi ku temu przeszkody
  • Oferta rynkowa jest bardzo zróżnicowana, przy wyborze polisy cybernetyczne warto skorzystać z pomocy doświadczonego doradcy

Broker ubezpieczeniowy

Na ogół kompleksowy program ubezpieczenia powinien zawierać ubezpieczenie  od ryzyk cybernetycznych. Warto zatem, by takie rozwiązanie zbudowała kancelaria brokerska.Skontaktuj się brokerem broker@andiw.pl 696487675

Przeczytaj także :

Ubezpieczenie cyber

ubezpieczenie cyber