MENU
ANDIW UBEZPIECZENIA
ANDIW UBEZPIECZENIA
ANDIW

Cyber Ubezpieczenia a inne polisy

Ubezpieczenie cyber

Zmiany prawne związane z RODO oraz implementacją dyrektywy NIS pobudziły zainteresowanie ubezpieczeniami cybernetycznymi. Istnieją one od 1997 roku, ale w naszym kraju dopiero w 2018 roku przestały być rzadkością. Mimo wzrastającej lawinowo liczby polis, ubezpieczenie ryzyk cybernetycznych nadal jest mylone z innymi produktami. W rzeczywistości tego typu ochrona nie ma żadnych bliskich substytutów. Zakres ubezpieczenia Cyberisk może się pokrywać z innymi polisami, ale dotyczy to tylko niewielkich wycinków. Na ogół ubezpieczeni przeceniają zasięg posiadanych rozwiązań. Coraz częściej spotkać się można także z generalnym wyłączeniem odpowiedzialności za ryzyka cybernetyczne w ubezpieczeniach mienia czy OC władz spółki, OC działalności gospodarczej, a nawet w polisie CARGO. Charakterystyczne jest, że takie ograniczania odpowiedzialności nie są zamieszczane w OWU, a w postanowieniach dodatkowych do umowy.

Ubezpieczenia ryzyk cybernetycznych – od czego chronią ?

W dużym uproszczeniu ubezpieczenie cyber zapewnia ochronę w razie utraty, uszkodzenia, ujawnienia, zniekształcenia danych, w tym danych osobowych oraz w przypadku zewnętrznych ingerencji w systemy informatyczne. Należy podkreślić, ubezpieczenie cyber dotyczy nie tylko danych elektronicznych, ale także tych które zostały utrwalone w formie papierowej. Natura umowy jest złożona. Ochrona obejmuje zarówno odpowiedzialność cywilną jak i koszty własne poniesione   przez ubezpieczonego w związku z incydentem (np. odzyskiwanie danych, notyfikacja, zawiadomienie poszkodowanych zgodnie z RODO, kara nałożona przez Prezesa UODO, koszty obrony w postępowaniach cywilnych i karnych, administracyjnych, okup). Zasadniczo polisa cyber nie pokrywa szkód w samym sprzęcie. Jeden z ubezpieczycieli ma w standardzie klauzulę rozszerzającą pokrycie ubezpieczeniowe na ten zakres, ale u większości takie modyfikacje można uzyskać w drodze indywidualnych negocjacji.

Doświadczenia pokazują, że dużo mniej uwagi poświęca się odpowiedzialności wobec osób trzecich, mimo że wypłaty z tego przekraczają koszty własne. Można przypuszczać nawet, iż ta prawidłowość będzie się utrzymywać, ponieważ rozporządzenie RODO przewidujące odpowiedzialność za szkodę majątkową i niemajątkową opiera się na konstrukcji winy domniemanej. (punkt 146 preambuły i art. 83 ustęp 3  RODO).

Oprócz wypłaty ubezpieczyciele zapewniają także  świadczenia w naturze ukierunkowane na zapewnienie prawidłowej reakcji na incydent. Najczęściej jest to zaangażowanie specjalistycznych podmiotów zajmujących się informatyką śledczą czy odtwarzaniem danych , jak również kancelarii prawnych, które notyfikują incydent Prezesowi UODO, proponują ugody poszkodowanym, prowadzą postępowanie odwoławcze odnośnie nałożonej kary, bronią w sprawie o odszkodowanie przeciwko osobom, które nie zgodziły się na ugodę.  Przydatna jest także pomoc agencji oraz managera cyberincydentu koordynującego działania wyżej wymienionych. Zaangażowanie takich firm w trybie nagłym może kosztować fortunę, a szybka i adekwatna reakcja stwarza szanse na zniwelowanie finansowych następstw cyberincydentu. Prezes UODO przy wymiarze kary bierze pod uwagę 11 czynników, w tym sposób w jaki Urząd Ochrony Danych Osobowych dowiedział się o naruszeniu, działania podjęte w celu zminimalizowania szkód, stopień współpracy z UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków.

Ponadto jeden z zakładów ubezpieczeń w ramach prewencji zapewnia swoim klientom dostęp do  bezpłatnych webinarów dotyczących ochrony danych osobowych prowadzonych przez kancelarię Maruta Wachta.

RODO polisa, ubezpieczenie cybernetyczne i inne określenia

Zakres ochrony jest tak szeroki i różnorodny, że trudno zamknąć istotę tego produktu w jednozdaniowej definicji. Ubezpieczenie cyber nazywane bywa ubezpieczeniem danych, co nie jest do końca precyzyjne, gdyż ochrona (w odpowiednio skonfigurowanym pakiecie) może zadziałać niezależnie od utraty danych np. w razie publikacji na stronie internetowej naruszającej prawa autorskie albo gdy haker przejmie kontrolę nad urządzeniami należącymi do ofiary. Link do artykułu informującego o szkodzie w kwocie 380 MLN PLN, która polegała za zatrzymaniu produkcji  wskutek cyber ataku.

Polisy cyberrisk reklamowane bywają jako panaceum na ataki hackerskie, ale w praktyce spora część szkód nie  ma z nimi za wiele wspólnego. Podawane są bardzo różne statystyki, ale przynajmniej 20% incydentów cybernetycznych wynika z błędów, niedopatrzeń pracowników albo ich złośliwych działań.  Wystarczy pomyłka w adresie przy wysyłaniu wiadomości e-mail, czy wysłanie kopii jawnej do adresatów, do których wiadomość e-mail miała trafić jako kopia ukryta. Takie zdarzenie miało miejsce w listopadzie 2019 w PZU.

Impulsem do rozwoju rynku ubezpieczeń Cyber stało się zaostrzenie rygorów prawnych dotyczących danych osobowych związanych z RODO. Ze zdecydowanej większości polis cyber mogą być sfinansowane koszty wymaganej przez to rozporządzenie notyfikacji incydentu, zawiadomienia poszkodowanych, czy nawet kara pieniężna nałożona na podstawie RODO.  Kara dla przedsiębiorstwa może wynosić nawet  do 20 000 000 EUR, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W Polsce rekordzistą jest serwis morele net. który został obciążony karą z tego tytułu na poziomie 2,8 MLN PLN. Więcej o przypadku morele.net na stronie niebezpiecznik  .Istnieje nawet wersja ubezpieczenia cyber, która okrojona jest do kwestii związanych z RODO. Zresztą zakres ubezpieczenia wygląda nieco inaczej w OWU poszczególnych zakładów ubezpieczeń.

Dla kogo cyber polisa ?

Uzależnienie od różnorakich danych czy systemów informatycznych sprawia, że trudno wskazać podmiot, który byłby wolny od cyber zagrożeń. Tego rodzaju ryzyka występują zarówno w spółkach, jednoosobowych działalnościach gospodarczych, fundacjach, stowarzyszeniach, spółdzielniach i w wielu innych organizacjach nie wyłączając podmiotów publicznoprawnych. Mitem jest zarówno to, że małe i średnie firmy nie są narażone na incydenty w zakresie bezpieczeństwa informatycznego, jak i to, że cena ubezpieczeń cybernetycznych jest dla nich za wysoka. Roczny koszt polisy z sumą ubezpieczenia 250 tys PLN dla przedsiębiorstwa o obrocie do 1,5 MLN PLN  może wynosi mniej niż 900 PLN. Co więcej, wielu ubezpieczycieli stworzyło produkty dedykowane firmom, których przychody nie przekraczają 50 MLN PLN. Na ogół są to pełnowartościowe rozwiązania, cechujące się uproszczonym procesem underwritingu.
Ochroną ubezpieczeniową powinny zainteresować się przede wszystkich organizacje najbardziej narażone na ryzyka cybernetyczne. Ubezpieczenie cyber może się przydać w szczególności podmiotom przechowujących duże ilości danych lub informacje wrażliwe, np. gabinety medyczne, szpitale, biura rachunkowe, hotele. Trudno też przecenić ubezpieczenia cyber w firmach o wysokim stopniu automatyzacji procesów biznesowych, zwłaszcza z branży produkcyjnej. Istotny czynnik ryzyka stanowi posiadanie pracowników, ponieważ jak już stwierdzono statystyki pokazują, że człowiek jest najsłabszym ogniwem w systemie zabezpieczeń. Ponadto dokumentacja pracownicza, też zawiera mnóstwo informacji wymagających ochrony, takich jak na przykład: wysokość zarobków, godziny pracy, wzmianki o postępowania egzekucyjnych. Przyczyną poważnych perturbacji bywa także uzyskanie nieautoryzowanego dostępu do nagrań z monitoringu. Nieco zaskakujące jest, że dość powszechnie problemy z bezpieczeństwem cybernetycznym  zdarzają się jednostkom samorządu terytorialnego. Pod koniec roku 2018 media obiegła informacja o ataku na stronę  gminy Kościerzyna oraz  ewentualnej odpowiedzialności jej włodarzy i pracowników. Z kolei w maju 2019 roku hakerzy zablokowali na 3 tygodnie około 10 000 komputerów administracji Baltimore.

Ubezpieczenie cybernetyczne nie jest natomiast dedykowane zasadniczo firmom informatycznym. Powinny one się zabezpieczyć przez zawarcie umowy ubezpieczenia OC zawodowego firmy informatycznej (tzw.OC IT).

Z dobrodziejstw ubezpieczenia cyber mogą skorzystać wyłącznie organizacje posiadające określone zabezpieczanie techniczne oraz stosujące procedury bezpieczeństwa. Standardy wymagane przez poszczególnych ubezpieczycieli nie są identyczne, ale na ogół  nietrudno je spełnić.  Towarzystwa Ubezpieczeń  na ogół oczekują regularnego tworzenia kopii bezpieczeństwa, używania aktualizowanego oprogramowania antywirusowego i zapory firewall, wdrożenia procedur zgodnych z Ogólnym Rozporządzeniem o  Ochronie Danych.

Obiekcje dotyczące ubezpieczenia cyber wynikają głównie z.. niewiedzy

Zarządzający czy właściciele niekiedy są przekonani, że ich organizacja nie posiada żadnych wrażliwych czy poufnych informacji. Jednakże trudno znaleźć firmę, która nie administrowała by danymi osobowymi, choćby imionami, nazwiskami czy adresami zamieszkania. Samo narażenie tych danych wystarczy do nałożenie kary czy odpowiedzialności odszkodowawczej, oraz powstania obowiązku notyfikacji do UODO. Według wyliczeń Colonnade same koszty notyfikacji ponoszone przez firmę średniej wielkości mogą sięgać 500 ooo PLN.

Błędne jest także przeświadczenie, że podmioty gromadzące wszelkie dane na papierowych nośnikach nie potrzebują ubezpieczenia. Jak już stwierdzono ochrona nie ogranicza się tylko do danych w formie elektronicznej.

Zainteresowania polisą cyber nie można traktować jako votum nieufności wobec informatyków czy inspektorów ochrony danych osobowych, gdyż żadna wiedza czy umiejętności nie eliminują wszystkich zagrożeń. Z tych samych względów nawet mistrzowie rajdowi jeżdżą w kasku i z zapiętymi pasami. Prawidłowe wdrożenie RODO, NIS, certyfikacja ISO czy zabezpieczenia techniczne nie stanowią surogatu ubezpieczenia. Co więcej spełnienie określonych standardów umożliwia objęcie firmy ochroną ubezpieczeniową.

W świetle badań D. Kahneman nagminnie popełniany błąd poznawczy stanowi przypisywanie małego prawdopodobieństwa zdarzeniom, których się nie doświadczyło w przeszłości. Wiele osób myśli : skoro u mnie dotychczas nic podobnego się nie wydarzyło, wiec nie będzie mieć miejsca kiedykolwiek. Jest to rozumowanie bardzo zawodne. Gdyby tak było w rzeczywistości każdy mógłby stwierdzić, że jest nieśmiertelny, skoro nigdy nie umarł. Ryzyka cybernetyczne bywają bagatelizowane, ponieważ w zbiorowej świadomości nie zdążyły się zapisać jeszcze spektakularne incydenty, mimo, że ich nie brakowało. Co więcej, liczba szkód pokrywanych z ubezpieczenia cyber stale rośnie, i wszystko wskazuje, że ta tendencja będzie się utrzymywać.

Ubezpieczenie OC firmy i OC zawodowe

Zasadniczo zakresy OC z tytułu prowadzonej działalności gospodarczej i polisy cyber są rozłączne. Szkody związane z danymi czy wynikające z ataków hakerskich, działania wirusów nie są z reguły pokrywane z ubezpieczenia OC. W wielu kwestiach zakres ubezpieczenia Cyber może się pokrywać  z polisą OC Inspektora Ochrony Danych Osobowych. Jednakże polisa OC, ze swej istoty może chronić tylko przed odpowiedzialnością cywilną. Podczas, gdy z ubezpieczenia cybernetycznego pokrywa dodatkowo kary administracyjne i koszty obrony w postępowaniach karnych związanych z przedmiotowym uchybieniem.  O wycinkowym nakładaniu można mówić także w odniesieniu do wielu innych ubezpieczeń OC zawodowej. Przykładem jest  ujawnienie tajemnicy zawodowej. Niedawno jeden z zakładów ubezpieczeń wprowadził do oferty klauzulę cyber do polis  do ubezpieczeń OC pośrednika nieruchomości , OC zarządcy nieruchomości, OC zawodowej biur rachunkowych,  CO doradcy podatkowego. Wprawdzie  prócz odpowiedzialności cywilnej obejmuje ona także postępowania administracyjne, ale i nie można ją traktować na równi z ubezpieczeniem ryzyk cybernetycznych.  Obejmuje ona tylko odpowiedzialność wobec osób trzecich, bez strat własnych ubezpieczonego. Wiele do życzenia pozostawia także limit odpowiedzialności.

Polisa cyber a BI

Niekiedy większe szkody, niż sama utrata własnych dóbr czy odpowiedzialność osób trzecich, powoduje przerwa w działalności przedsiębiorstwa. Finansowe skutki takiego stanu może złagodzić odszkodowanie wypłacone z ubezpieczenia zysku nazywanego także polisą od przestoju lub  ubezpieczeniem przerw w działalności gospodarczej (ang. business interruption insurance). Niestety nie zawsze ochronie z tej polisy podlegają zdarzania wynikające z działania wirusów komputerowych czy ataków hakerskich. Pokrycie ubezpieczeniowe wymienionych zdarzeń może zapewnić specjalne rozszerzenie do ubezpieczenia cybernetycznego.

Coraz powszechniejsza jest świadomość potrzeby uzupełniania ubezpieczenia mienia o klauzulę przepięć. Jednakże mało kto zdaje sobie sprawę, że nie zabezpiecza ona przed finansowymi następstwami utraty danych, w przeciwieństwie do ubezpieczenia od ryzyk cybernetycznych.

D&O / OC zarządu

Nieporozumieniem jest także twierdzenie, że alternatywą dla Cyber jest ubezpieczenie D&O (ang. Directors and officers insurance nazywane często niepoprawnie ubezpieczeniem OC zarządu). To ostatnie dedykowane jest przede wszystkim członkom organów osób prawnych i innym zarządzającym. Polisa Cyber zabezpiecza przede wszystkim interes samego przedsiębiorstwa. Zatem, jeśli na przykład okazało by się, że spółka dochodzić będzie odszkodowania za wyciek danych od swojego byłego menagera to pozwany może co do zasady liczyć na wsparcie z polisy D&O. Jednakże sam incydent cybernetyczny nie mieści w zakresie ubezpieczenia odpowiedzialności zarządzających.

Chociaż z drugiej strony najnowocześniejsze polisy D&O w ramach kosztów zarządzania kryzysowego, wzorem ubezpieczenia Cyber, umożliwiają spółce skorzystanie z pomocy wyspecjalizowanej firmy informatycznej po ataku cybernetycznym. Zwrócić trzeba jednak uwagę na 3 istotne ograniczenia  wystąpienia takiej ewentualności, które nie występują przy ubezpieczeniu cybernetycznym. Przesłankę takiego świadczenia stanowi prognozowany spadek przychodów spółki przynajmniej o 25%. Po drugie  ubezpieczyciele finansują wsparcie konsultanta tylko przez 45 dni. Trzecią różnicę stanowi brak finansowania kosztów obsługi prawnej incydentu, które bywają równie duże jak wydatki na informatykę. Zatem w razie ujawnienia danych osobowych podmiot nie posiadający ubezpieczenia ryzyk cybernetycznych będzie musiał na własny koszt dokonać notyfikacji zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformować poszkodowanych.

Ubezpieczenie Sprzętu Elektronicznego EEI

W uproszczeniu ubezpieczenie sprzętu elektronicznego tym różni się od klasycznego ubezpieczenia mienia (Property Damege)  tym,  że oprócz ryzyk elementarnych (pożar, powódź, grad, huragan) obejmuje także czynniki wewnętrzne czyli awarie. Jego przedmiotem jest zasadniczo sprzęt elektroniczny czyli komputery, telefony komórkowe, instalacje i urządzenia monitoringu oraz alarmowe, serwery, sprzęt radiowy, telewizyjny oraz do zastosowań  medycznych, podczas gdy w ubezpieczeniu cybernetycznym szkody w sprzęcie na ogół pozostają poza zakresem ochrony. Można jednak spotkać się z klauzulami rozszerzającymi pokrycie na ten obszar.  Wbrew nazwie w ubezpieczeniu sprzętu elektronicznego od wszystkich ryzyk wyłączone są następstwa działania wirusów, robaków, hakerów przed którymi chroni zasadniczo cyber polisa. Do polis dotyczących sprzętu dodawany bywa moduł nazywany ubezpieczeniem danych, choć bardziej adekwatnym określeniem jest ubezpieczenie od kosztów ubezpieczenia danych. Ta klauzula jest bardzo podobna do jednego z aspektów ubezpieczenia cyber. Z tym, że w przeciwieństwie do polisy cybernetycznej ogranicza się wyłącznie do danych zapisach na zewnętrznych nośnikach (dyskach, serwerach).

Polisa środowiskowa Environment impairment insurance

Ubezpieczenie środowiskowe pod względem konstrukcyjnym jest bardzo podobne do ubezpieczenia cyber. Oba produkty obejmują odpowiedzialność wobec osób trzecich jak  i pokrycie kosztów własnych. Tyle, że przedmiot ochrony jest zupełnie inny. W ubezpieczeniu cybernetycznym dość często występują szersze lub węższe wyłączania odpowiedzialności dotyczące zanieczyszczeń lub szkód  w środowisku naturalnym, które mogą być pokryte  z przynajmniej niektórych polis środowiskowych. Na rynku można bowiem znaleźć oferty ubezpieczeń środowiskowych bez ograniczeń odnoszących do się incydentów cyber.

Ubezpieczenie ryzyka sprzeniewierzenia (polisa crime / fidelity).

Zakres tego produktu krzyżuje się niekiedy także z ubezpieczeniem od ryzyk sprzeniewierzenia. W największym uproszczeniu to ostatnie obejmuje skutki nieuczciwości pracowników, kradzież  środków pieniężnych, papierów wartościowych , fałszerstwo, przestępstwa komputerowe (wymuszenie wyłudzenie, podszycie) dokonane przez osoby trzecie. Natomiast  ubezpieczenie Cyber chroni przed stratami finansowymi  związanymi z utratą danych, które mogą ulec zniszczeniu, modyfikacji, bezprawnemu wykorzystaniu z różnych powodów, w tym nie związanych z żadnymi przestępstwami.  Do typowych wyłączeń w ubezpieczeniu ryzyk cybernetycznych, których nie ma w polisach fidelity należą szkody w papierach wartościowych lub z nimi związane.Warto też zwrócić uwagę, na różnice w  wysokości udziału własnego . Zwykle w ubezpieczaniu cyber  jest on kilka razy niższy.

Cyber Assitance
Niektóre elementy ubezpieczenia od ryzyk cybernetycznych zawiera Assistance Cyber dołączany niekiedy do ubezpieczenia firm, a nawet domów. Z reguły jest to pomoc informatyka oraz ubezpieczenie  kosztów odtworzenia danych z  limitem do kilku tysięcy złotych , co  w żaden sposób nie koresponduje z wielkością potencjalnych szkód.

Broker ubezpieczeniowy

Reasumując polisa Cyberrisk, stanowi jeden z kluczowych elementów systemu zabezpieczeń komplementarny wobec innych rozwiązań. Warto zatem, by audyt wszystkich rozwiązań przeprowadziła kancelaria brokerska.Skontaktuj się brokerem  broker@andiw.pl tel. 696487675

Przeczytaj także

Ubezpieczenie członków zarządu– kogo chroni naprawdę ?

Od czego chroni polisa D&O ?

OC zarządu a kary pieniężne i grzywny

Ile kosztuje ubezpieczenie D&O ?

Ubezpieczenie cyber

ubezpieczenie cyber