MENU
ANDIW UBEZPIECZENIA
ANDIW UBEZPIECZENIA
ANDIW

Cyber Ubezpieczenia a inne polisy

Ubezpieczenie cyber – spis treści

  1. Ryzyka Cybernetyczne czyli cyber risk
  2. Ubezpieczenie Cybernetyczne
  3. Dla kogo cyber polisa ?
  4. Ile kosztuje tzw. ubezpieczenie RODO ?
  5. Obiekcje dotyczące ubezpieczenia cybernetycznego
  6. OC firmy OC zawodowe
  7. Ubezpieczenie cyber a utrata zysku
  8. Ubezpieczenia Sprzętu Elektronicznego
  9. Ubezpieczenie Środowiskowe
  10. Polisa Crime
  11. Broker Ubezpieczeniowy – ubezpieczenie cybernetyczne

Ubezpieczenie cyber

Zmiany prawne związane z RODO oraz implementacją dyrektywy NIS pobudziły zainteresowanie ubezpieczeniami cybernetycznymi. Istnieją one od ćwierć wieku, ale w naszym kraju dopiero w 2018 roku przestały być rzadkością. Zainteresowanie  cyberpolisami wzmogło dodatkowo przechodzenie na pracę zdalną z związku z epidemią koronawiurusa oraz ujawnienie przez włamywaczy korespondencji e-mail wymienianej między najważniejszymi urzędnikami.  Mimo wzrastającej lawinowo liczby polis, ubezpieczenie ryzyk cybernetycznych nadal jest mylone z innymi produktami. W rzeczywistości tego typu ochrona nie ma żadnych bliskich substytutów. Zakres ubezpieczenia Cyberisk może się pokrywać z innymi polisami, ale dotyczy to tylko niewielkich wycinków. Jeśli polisa OC działalności gospodarczej, ubezpieczenie mienia rozciąga się na jakiś fragment cyberisk, to dzieje się tak najczęściej przez przypadek, gdyż zasadniczo zostały one stworzone z myślą o innych obszarach (K.Malinowska  (w:) D.Fuchs,  K.Malinowska, D. Maśniak (red.) Kontrakty na rynku ubezpieczeń Komentarz do przepisów i warunków ubezpieczenia str. 1089). Na ogół ubezpieczeni przeceniają zasięg posiadanych rozwiązań. Coraz częściej spotkać się można także z generalnym wyłączeniem odpowiedzialności za ryzyka cybernetyczne w ubezpieczeniach mienia czy OC władz spółki, OC działalności gospodarczej, a nawet w polisie CARGO. Charakterystyczne jest, że takie ograniczania odpowiedzialności nie są zamieszczane w OWU, a w postanowieniach dodatkowych do umowy.

Ubezpieczenia ryzyk cybernetycznych – od czego chronią ?

W dużym uproszczeniu ubezpieczenie cyber zapewnia ochronę w razie utraty, uszkodzenia, ujawnienia, zniekształcenia danych, w tym danych osobowych oraz w przypadku zewnętrznych ingerencji w systemy informatyczne. Należy podkreślić, ubezpieczenie cyber dotyczy nie tylko danych elektronicznych, ale także tych które zostały utrwalone w formie papierowej. Natura umowy jest złożona. Ochrona obejmuje zarówno odpowiedzialność cywilną jak i koszty własne poniesione przez ubezpieczonego w związku z incydentem (np. odzyskiwanie danych, notyfikacja, zawiadomienie poszkodowanych zgodnie z RODO, kara nałożona przez Prezesa UODO, koszty obrony w postępowaniach cywilnych i karnych, administracyjnych, okup). Przy czym ochronie nie podlega sama wartość ekonomiczna danych, a jedynie koszt ich odtworzenia.  Zasadniczo polisa cyber pozostawia poza zakresem pokrycia szkody w sprzęcie sprzęcie komputerowym. Tylko jeden z ubezpieczycieli proponuje w standardzie klauzulę rozszerzającą dobrostan ochrony na ten obszar, ale u większości takie modyfikacje można uzyskać w drodze indywidualnych negocjacji.

Doświadczenia pokazują, że dużo mniej uwagi poświęca się odpowiedzialności wobec osób trzecich, mimo że wypłaty z tego tytułu przekraczają koszty własne. Można przypuszczać nawet, iż ta prawidłowość będzie się utrzymywać, ponieważ rozporządzenie RODO przewidujące odpowiedzialność za szkodę majątkową i niemajątkową opiera się na konstrukcji winy domniemanej. (punkt 146 preambuły i art. 83 ustęp 3 RODO).

Oprócz wypłaty ubezpieczyciele zapewniają także świadczenia w naturze ukierunkowane na zapewnienie prawidłowej reakcji na incydent. Przy czym warto zwrócić Najczęściej jest to zaangażowanie specjalistycznych podmiotów zajmujących się informatyką śledczą czy odtwarzaniem danych, jak również kancelarii prawnych, które notyfikują incydent Prezesowi UODO, proponują ugody poszkodowanym, prowadzą postępowanie odwoławcze odnośnie nałożonej kary, bronią w sprawie o odszkodowanie przeciwko osobom, które nie zgodziły się na ugodę. Przydatna jest także pomoc agencji oraz managera cyberincydentu koordynującego działania wyżej wymienionych. Zaangażowanie takich firm w trybie nagłym może kosztować fortunę, a szybka i adekwatna reakcja stwarza szanse na zniwelowanie finansowych następstw cyberincydentu. Prezes UODO przy wymiarze kary bierze pod uwagę 11 czynników, w tym sposób w jaki Urząd Ochrony Danych Osobowych dowiedział się o naruszeniu, działania podjęte w celu zminimalizowania szkód, stopień współpracy z UODO w celu usunięcia naruszenia oraz złagodzenia jego skutków.

Ponadto jeden z zakładów ubezpieczeń w ramach prewencji zapewnia swoim klientom dostęp do bezpłatnych webinarów dotyczących ochrony danych osobowych prowadzonych przez kancelarię Maruta Wachta.

Cyberpolisa – konfiguracja

Oczywiście na rynku ubezpieczeń cybernetycznych wykształciły się już ogólnoświatowe standardy ochrony, ale istnieje też wiele możliwości konfiguracji. Do typowych należą klauzule :

  1.  business interruption w skrócie BI, nazywa także ubezpieczeń od przerw w działalności czy ubezpieczeniem zysku
  2. przelewu bankowego
  3. utraty danych na zewnętrznych przenośnych nośnikach
  4.  działalności multimedialnej
  5. wymuszenia /okupu
  6. zabiegów socjotechnicznych
  7. kart płatniczych

Oprócz tego cyberpolisa może być zapatrzona w szereg specjalistycznych dodatków np. koszty ochrony reputacji, które należy odróżnić klauzuli wyrównania strat reputacjach. 

RODO polisa, ubezpieczenie cybernetyczne 

Zakres ochrony jest tak szeroki i różnorodny, że trudno zamknąć istotę tego produktu w jednozdaniowej definicji. Ubezpieczenie cyber nazywane bywa ubezpieczeniem danych, co nie jest do końca precyzyjne, gdyż ochrona (w odpowiednio skonfigurowanym pakiecie) może zadziałać niezależnie od utraty danych np. w razie publikacji na stronie internetowej naruszającej prawa autorskie albo gdy haker przejmie kontrolę nad urządzeniami należącymi do ofiary. Artykuł o szkodzie cyber 380 MLN PLN, która polegała za zatrzymaniu produkcji wskutek cyber ataku.

Polisy cyberrisk reklamowane bywają jako panaceum na ataki hackerskie, ale w praktyce spora część szkód nie ma z nimi za wiele wspólnego. Podawane są bardzo różne statystyki, ale przynajmniej 20% incydentów cybernetycznych wynika z błędów, niedopatrzeń pracowników albo ich złośliwych działań. Wystarczy pomyłka w adresie przy wysyłaniu wiadomości e-mail, czy wysłanie kopii jawnej do adresatów, do których wiadomość e-mail miała trafić jako kopia ukryta. Takie zdarzenie miało miejsce w listopadzie 2019 w PZU.

Impulsem do rozwoju rynku ubezpieczeń Cyber stało się zaostrzenie rygorów prawnych dotyczących danych osobowych związanych z RODO czyli Ogólnym Rozporządzeniu o Ochronie Danych. W żargonie funkcjonuje nawet określenie ubezpieczenie RODO. Ze zdecydowanej większości polis cyber mogą być sfinansowane koszty wymaganej przez to rozporządzenie notyfikacji incydentu, zawiadomienia poszkodowanych, czy nawet kara pieniężna nałożona na podstawie RODO. Przy czym w danym OWU warto sprawdzić czy pokrywane są wyłącznie kary pieniężne wynikające z wycieku danych czy także z innych uchybień.  sprawdzić Kara dla przedsiębiorstwa może wynosić nawet do 20 000 000 EUR, do 4% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. W Polsce rekordzistą jest serwis morele net. który został obciążony karą z tego tytułu na poziomie 2,8 MLN PLN. Więcej o przypadku morele.net na stronie niebezpiecznik. Istnieje nawet wersja ubezpieczenia cyber, która okrojona jest do kwestii związanych z RODO. Zresztą zakres ubezpieczenia wygląda nieco inaczej w OWU poszczególnych zakładów ubezpieczeń.

Dla kogo cyber polisa ?

Uzależnienie od różnorakich danych czy systemów informatycznych sprawia, że trudno wskazać podmiot, który byłby wolny od cyber zagrożeń. Tego rodzaju ryzyka występują zarówno w spółkach, jednoosobowych działalnościach gospodarczych, fundacjach, stowarzyszeniach, spółdzielniach i w wielu innych organizacjach nie wyłączając podmiotów publicznoprawnych. Mitem jest zarówno to, że małe i średnie firmy nie są narażone na incydenty w zakresie bezpieczeństwa informatycznego, jak i to, że cena ubezpieczeń cybernetycznych jest dla nich za wysoka. Wiele ataków hakerskich ma charakter masowy, zautomatyzowany. Nie zawsze przestępcy, wiedzą, kto jest ich ofiarą. Zdarza się na przykład, że hakerzy wyszukają cele ataków cyber za pomocą robota wykrywającego luki w zabezpieczeniach.

Roczny koszt polisy z sumą ubezpieczenia 250 tys PLN dla przedsiębiorstwa o obrocie do 1,5 MLN PLN może wynosi mniej niż 900 PLN. Co więcej, wielu ubezpieczycieli stworzyło produkty dedykowane firmom, których przychody nie przekraczają 50 MLN PLN. Na ogół są to pełnowartościowe rozwiązania, cechujące się uproszczonym procesem underwritingu. Cenę determinuje od kilku do kilkunastu czynników.

Tabela prezentuje przykładowe składki za ubezpieczenie cyber dla podmiotów różnej wielkości z z kilku branż

ubezpieczenie cybernetyczne

Do 2021 składki za ubezpieczenie od ataków hakerskich stale malały w skutek nasilającej się konkurencji między zakładami ubezpieczeń. Jednakże pogarszające się przebiegi szkodowe polis od wycieku danych oraz nieustany wzrost zagrożeń cybernetycznych sprawiły, że ceny zaczęły wzrastać, choć nadal pozostają bardzo przystępne. Warto przy zwrócić uwagę, że wspominane czynniki wpływające na koszt ubezpieczenia od ryzyk cybernetycznych wskazują jak bardzo jest ono potrzebne. Oprócz tego ubezpieczenia cyber drożeją przez ogólnoświatowy wzrost popytu na ubezpieczenie tego ryzyka. W Polsce jednym z wielu impulsów był informacje medialne o incydencie związanym z wymianą korespondencji między członkami rządu i innymi ważnymi politykami (tzw.case Dworczyka).   

Ochroną ubezpieczeniową powinny zainteresować się przede wszystkich organizacje najbardziej narażone na ryzyka cybernetyczne. Ubezpieczenie cyber może się przydać w szczególności podmiotom przechowujących duże ilości danych lub informacje wrażliwe, np. gabinety medyczne, szpitale, biura rachunkowe, hotele. Trudno też przecenić ubezpieczenia cyber w firmach o wysokim stopniu automatyzacji procesów biznesowych, zwłaszcza z branży produkcyjnej. Istotny czynnik ryzyka stanowi posiadanie pracowników, ponieważ jak już stwierdzono statystyki pokazują, że człowiek jest najsłabszym ogniwem w systemie zabezpieczeń. Ponadto dokumentacja pracownicza, też zawiera mnóstwo informacji wymagających ochrony, takich jak na przykład: wysokość zarobków, godziny pracy, wzmianki o postępowaniach egzekucyjnych. Według danych prezentowanych przez Ergo Hestia 82% pracodawców przyznaje, że  nie ma wiedzy na temat cyberzagrożeń (M. Kleina T.Dolata Polisy cyber – realna ochrona przed cyfrowym zagrożeniem Miesięcznik Ubezpieczeniowy 9/2021 dodatek).

ubezpieczenie od ataków hakrskich

Przyczyną poważnych perturbacji bywa także uzyskanie nieautoryzowanego dostępu do nagrań z monitoringu. Nieco zaskakujące jest, że dość powszechnie problemy z bezpieczeństwem cybernetycznym zdarzają się jednostkom samorządu terytorialnego. Pod koniec roku 2018 media obiegła informacja o ataku na stronę gminy Kościerzyna oraz ewentualnej odpowiedzialności jej włodarzy i pracowników. Z kolei w maju 2019 roku hakerzy zablokowali na 3 tygodnie około 10 000 komputerów administracji Baltimore.

Ubezpieczenie cybernetyczne nie jest natomiast dedykowane zasadniczo firmom informatycznym. Powinny one się zabezpieczyć przez zawarcie umowy ubezpieczenia OC zawodowego firmy informatycznej (tzw.OC IT, Tech OC). Poza apetytem na ryzyko większości towarzystw ubezpieczeń znajduje się także firmy zarządzające transportem kolejowym czy powietrznym, a także instytucje finansowe (np.banki).

Z dobrodziejstw ubezpieczenia cyber mogą skorzystać wyłącznie organizacje posiadające określone zabezpieczanie techniczne oraz stosujące procedury bezpieczeństwa. Standardy wymagane przez poszczególnych ubezpieczycieli nie są identyczne, ale na ogół nietrudno je spełnić. Towarzystwa Ubezpieczeń na ogół oczekują regularnego tworzenia kopii bezpieczeństwa, używania aktualizowanego oprogramowania antywirusowego i zapory firewall, wdrożenia procedur zgodnych z Ogólnym Rozporządzeniem o Ochronie Danych. Rzadziej formułowane są wymogi odnośnie systemów operacyjnych. Zawsze grupę docelową ubezpieczycieli stanowią  podmioty, które w ubezpieczanym zakresie nie doznały szkód. Natomiast szkodowość w polisie cyber, częściej niż w jakimkolwiek innym produkcie ubezpieczeniowym stanowi czynnik uniemożliwiający uzyskanie ochrony ubezpieczeniowej w zakresie tzw. ubezpieczenia od ataków hakerskich. Warunkiem umożliwiającym objęcie ochroną danych na mobilnych nośnikach jest ich szyfrowanie.

Pewne zaskoczenie stanowi, że w omawianym produkcie część ubezpieczycieli stosuje bezwzględne obostrzenia terytorialnego zakresu pokrycia, co w niektórych przypadkach neguje sens zawiera ubezpieczenia cyber. Zdarza się np. pokrycie rozciąga się tylko na dane przechowywane na terytorium państw należących do UE. Praktyce znane jest także wyłączenie szkód powstałych na terytorium USA i Kanady. 

Reasumując ubezpieczenia od ryzyk cybernetycznych potrzebuje prawie każdy i prawie każdy jest w stanie je zawrzeć. 

Obiekcje dotyczące ubezpieczenia cyber wynikają głównie z.. niewiedzy

Zarządzający czy właściciele niekiedy są przekonani, że ich organizacja nie posiada żadnych wrażliwych czy poufnych informacji. Jednakże trudno znaleźć firmę, która nie administrowała by danymi osobowymi, choćby imionami, nazwiskami czy adresami zamieszkania. Samo narażenie tych danych wystarczy do nałożenie kary czy odpowiedzialności odszkodowawczej, oraz powstania obowiązku notyfikacji do UODO. Według wyliczeń Colonnade same koszty notyfikacji ponoszone przez firmę średniej wielkości mogą sięgać 500 ooo PLN.

Błędne jest także przeświadczenie, że podmioty gromadzące wszelkie dane na papierowych nośnikach nie potrzebują ubezpieczenia. Jak już stwierdzono ochrona nie ogranicza się tylko do danych w formie elektronicznej.

Zainteresowania polisą cyber nie można traktować jako votum nieufności wobec informatyków czy inspektorów ochrony danych osobowych, gdyż żadna wiedza czy umiejętności nie eliminują wszystkich zagrożeń. Z tych samych względów nawet mistrzowie rajdowi jeżdżą w kasku i z zapiętymi pasami. Prawidłowe wdrożenie RODO, NIS, certyfikacja ISO czy zabezpieczenia techniczne nie stanowią surogatu ubezpieczenia. Co więcej spełnienie określonych standardów umożliwia objęcie firmy ochroną ubezpieczeniową.

W świetle badań D. Kahnemana nagminnie popełniany błąd poznawczy stanowi przypisywanie małego prawdopodobieństwa zdarzeniom, których się nie doświadczyło w przeszłości. Wiele osób myśli : skoro u mnie dotychczas nic podobnego się nie wydarzyło, wiec nie będzie mieć miejsca kiedykolwiek. Jest to rozumowanie bardzo zawodne. Gdyby tak było w rzeczywistości każdy mógłby stwierdzić, że jest nieśmiertelny, skoro nigdy nie umarł. Ryzyka cybernetyczne bywają bagatelizowane, ponieważ w zbiorowej świadomości nie zdążyły się zapisać jeszcze spektakularne incydenty, mimo, że ich nie brakowało. Co więcej, liczba szkód pokrywanych z ubezpieczenia cyber stale rośnie, i wszystko wskazuje, że ta tendencja będzie się utrzymywać.

Ubezpieczenie OC firmy i OC zawodowe a cyber risk

Zasadniczo zakresy OC z tytułu prowadzonej działalności gospodarczej i polisy cyber są rozłączne. Szkody związane z danymi czy wynikające z ataków hakerskich, działania wirusów nie są z reguły pokrywane z ubezpieczenia OC, a w polisie cybernetycznej typowe wyłącznie stanowią następstwa działalności profesjonalnej.  W wielu kwestiach zakres ubezpieczenia Cyber może się pokrywać z polisą OC Inspektora Ochrony Danych Osobowych (IOD). Jednakże polisa OC, ze swej istoty może chronić tylko przed odpowiedzialnością cywilną. Podczas, gdy z ubezpieczenia cybernetycznego pokrywa dodatkowo kary administracyjne i koszty obrony w postępowaniach karnych związanych z przedmiotowym uchybieniem. O wycinkowym nakładaniu można mówić także w odniesieniu do wielu innych ubezpieczeń OC zawodowej. Przykładem jest ujawnienie tajemnicy zawodowej. Niedawno jeden z zakładów ubezpieczeń wprowadził do oferty klauzulę cyber do polis do ubezpieczeń OC pośrednika nieruchomości , OC zarządcy nieruchomości, OC zawodowej biur rachunkowych,  OC doradcy podatkowego. Spotkać się można także z klauzulą odzyskania danych.  Wprawdzie polisa oc zawodowego prócz odpowiedzialności cywilnej obejmuje ona także postępowania administracyjne, ale i nie można ją traktować na równi z ubezpieczeniem ryzyk cybernetycznych. Obejmuje ona tylko odpowiedzialność wobec osób trzecich, bez strat własnych ubezpieczonego. Wiele do życzenia pozostawia także limit odpowiedzialności w polisie IOD jak pozostałych ubezpieczeniach odpowiedzialności cywilnej zawodowej.

Polisa cyber a BI

Niekiedy większe szkody, niż sama utrata własnych dóbr czy odpowiedzialność osób trzecich, powoduje przerwa w działalności przedsiębiorstwa. Finansowe skutki takiego stanu może złagodzić odszkodowanie wypłacone z ubezpieczenia zysku nazywanego także polisą od przestoju lub jako ubezpieczenie od przerw w działalnościi (ang. business interruption insurance). Niestety na ogół taka polisa zadziała wyłącznie gdy powstanie odpowiedzialność ubezpieczyciela z produktu bazowego czyli np.ubezpieczenia mienia, maszyn, procesu inwestycyjnego. Jak już nadmieniono OWU tych produktów na ogół pozostawiają poza zakresem odpowiedzialności następstwa działań wirusów komputerowych czy ataków hakerskich, wiec dołączone do nich ubezpieczenie zysku nie zadziała w odniesie do cyber zagrożeń. Jednakże wtedy zysk może zostać zrekompensowany z ubezpieczenia cybernetycznego o ile jest ono zaopatrzone w specjalne rozszerzenie występujące najczęściej pod nazwą zakłócenie działalności (sieci). Dotychczasowe  doświadczania pokazują, że z incydenty cyber  stanowią jedną z najczęstszych przyczyn przerw w działalności. Warto zwrócić uwagę, że ubezpieczenia zysku rozszerzające cyber polisy z reguły przewidują znacznie krótsze okresy odszkodowawcze w porównaniu z analogicznymi produktami dołączanymi do ubezpieczeń mienia czy maszyn. Sam mechanizm wylicza ubezpieczeniowego zysku jest podobny w cyber insurance jak polsie mienia. Istotne jest także, że oprócz klasycznej klauzuli BI dołączanej ubezpieczenia cybernetycznego można spotkać się także z modułem zapewniającym rekompensatę zysków utraconych wskutek  nadwyrężenia reputacji ubezpieczonego  przez publikacje medialne o zasinieniu incydentu cybernetycznego. 

Ubezpieczenie Mienia a ubezpieczanie Cyber od ataku hakerskiego

Coraz powszechniejsza jest świadomość potrzeby uzupełniania ubezpieczenia mienia o klauzulę przepięć. Jednakże mało kto zdaje sobie sprawę, że nie zabezpiecza ona przed finansowymi następstwami utraty danych, w przeciwieństwie do ubezpieczenia od ryzyk cybernetycznych. Nierzadko wartość danych przewyższa cenę mienia w, którym są przechowywane. Warto też wiedzieć, że odszkodowanie z polisy od ryzyk cybernetycznych przeważnie ogranicza się się do czystych strat finansowych czyli w uproszczeniu szkód innych niż na rzeczy czy na osobie. Oprócz tego w omawianym produkcie wyłączone są następstwa zagrożeń naturalnych np.pożaru. 

ubezpieczenie RODO

ubezpieczenie od ataków hakerskich

D&O / OC zarządu a ryzyka cyber

Nieporozumieniem jest także twierdzenie, że alternatywą dla Cyber jest ubezpieczenie D&O (ang. Directors and officers insurance nazywane często niepoprawnie ubezpieczeniem OC zarządu). To ostatnie dedykowane jest przede wszystkim członkom organów osób prawnych i innym zarządzającym. Polisa Cyber zabezpiecza przede wszystkim interes samego przedsiębiorstwa. Zatem, jeśli na przykład okazało by się, że spółka dochodzić będzie odszkodowania za wyciek danych od swojego byłego menagera to pozwany może co do zasady liczyć na wsparcie z polisy D&O. Chociaż spotyka się  oferty oc kierownictwa z wyłączeniem roszczeń wynikających z szeroko rozumianych incydentów komputerowych czy cybernetycznych. Jednakże  zwykle te obostrzenia można znieść po złożeniu przez ubezpieczonego oświadczeń o wdrożeniu zgodnych z prawem procedur przetwarzania danych w tym danych osobowych i zapoznaniu pracowników z regulacjami prawnymi. Znacznie powszechniejsze są postanowienia potwierdzające, że pokrycie rozciąga się między na roszczenia wobec zarządzających wynikające ze zniszczenia,uszkodzenia, utraty kontroli, ujawnieniem lub nieuprawnionego dostępu do danych (informacji), naruszenia prawa do ochrony wizerunku czy zachowania prywatności. Zdarzają się nawet oferty, które przewidują limit dodatkowy (ponad sumę ubezpieczenia) na następstwa incydentów polegających na naruszeniu poufności danych lub zakłóceniu prywatności. Niemniej  sam incydent cybernetyczny  zasadniczo nie mieści w zakresie ubezpieczenia odpowiedzialności zarządzających.

Chociaż z drugiej strony najnowocześniejsze polisy D&O w ramach kosztów zarządzania kryzysowego, wzorem ubezpieczenia Cyber, umożliwiają spółce skorzystanie z pomocy wyspecjalizowanej firmy informatycznej po ataku cybernetycznym. Zwrócić trzeba jednak uwagę na 3 istotne ograniczenia wystąpienia takiej ewentualności, które nie występują przy ubezpieczeniu cybernetycznym. Przesłankę takiego świadczenia stanowi prognozowany spadek przychodów spółki przynajmniej o 25%. Po drugie ubezpieczyciele finansują wsparcie konsultanta tylko przez 45 dni. Trzecią różnicę stanowi brak finansowania kosztów obsługi prawnej incydentu, które bywają równie duże jak wydatki na informatykę. Zatem w razie ujawnienia danych osobowych podmiot nie posiadający ubezpieczenia ryzyk cybernetycznych będzie musiał na własny koszt dokonać notyfikacji zdarzenia do Prezesa Urzędu Ochrony Danych Osobowych oraz poinformować poszkodowanych.

Tylko jeden ubezpieczyciel proponuje w ramach ubezpiecza władz organizacji klauzulę refundacji kosztów poniesionych przez osobę prawną w  celu zastąpienie lub odtworzenie danych i dokumentów, których utrata nastąpiła w pomieszczeniach podmiotu. Przy czym wypłata z tego tytułu limitowana jest kwotą 100 000 PLN, a rozległość pokrycia nie dorównuje typowemu ubezpieczeniu od ataków cybernetycznych. Wyłączone jest np. konsekwencje nieautoryzowanym dostępem do komputerów czy danych.

Ubezpieczenie Sprzętu Elektronicznego EEI

W uproszczeniu ubezpieczenie sprzętu elektronicznego tym różni się od klasycznego ubezpieczenia mienia (Property Damege) tym, że oprócz ryzyk elementarnych (pożar, powódź, grad, huragan) obejmuje także czynniki wewnętrzne czyli awarie. Jego przedmiotem jest zasadniczo sprzęt elektroniczny czyli komputery, telefony komórkowe, instalacje i urządzenia monitoringu oraz alarmowe, serwery, sprzęt radiowy, telewizyjny oraz do zastosowań medycznych, podczas gdy w ubezpieczeniu cybernetycznym szkody w sprzęcie na ogół pozostają poza zakresem ochrony. Można jednak spotkać się z klauzulami rozszerzającymi pokrycie na ten obszar. Wbrew nazwie w ubezpieczeniu sprzętu elektronicznego od wszystkich ryzyk wyłączone są następstwa działania wirusów, robaków, hakerów przed skutkami których przynajmniej w części chroni cyber polisa.

Do ubezpieczeń dotyczących sprzętu elektronicznego dodawany bywa moduł nazywany ubezpieczeniem danych, choć bardziej adekwatnym określeniem jest ubezpieczenie od kosztów odtworzenia danych i ich nośników. Ta klauzula jest bardzo podobna do jednego z aspektów ubezpieczenia cyber. Z tym, że w przeciwieństwie do polisy cybernetycznej ogranicza się wyłącznie do danych zapisanych na zewnętrznych nośnikach (np.płytach CD). Wprawdzie z większość OWU nie definiuje (precyzyjnie) co jest nośnikiem zewnętrznym ,ale nie ulega wątpliwości, że chodzi o o fizyczne nośniki danych elektronicznych, które powoli stają się anachronizmem. Standardem staje się archiwizacja plików w chmurze. Przeważnie informacje przechowane w ramach rozwiązań  typu cloud, objęte są są polisą od ryzyk cybernetycznych, ale niektórzy oferenci wymagają wykupienia specjalistycznej klauzuli rozszerzającej.  Niezmierne istotne jest także, że ubezpieczenie sprzętu elektronicznego w przeciwieństwie do cyber nie obejmuje następstw działania wirusów komputerowych czy ataków hakerskich.   Natomiast charakterystyczny dla obu produktów jest obowiązek regularnego wykonywania kopii bezpieczeństwa. Tak samo w cyberpolisie  jak i EEI istotne znaczenie ma rozróżnienie na sprzęt przenośny i stacjonarny .In paucis ubezpieczenie cybernetyczne będzie obejmować dane na niezabezpieczeniach mobilnych, jeśli te będą szyfrowane a cyberpolisa zawierać będzie specjalistyczną klauzulę.  W przy ubezpieczaniu sprzętu elektronicznego należy określić, które urządzenia mają charter przenośny, co ma wpływ na cenę, wysokość franszyz oraz terytorialną rozległość pokrycia.   

Znaczna część ubezpieczycieli umożliwia rozszerzenie ubezpieczenia  EEI o zwrot zwiększonych koszty działalności z powodu szkody w sprzęcie elektronicznym objętym ochroną. Analogiczny zakres zazwyczaj objęty jest cyber insurance i na dodatek świadczenie ubezpieczeniowe z takiej polisy należne jest niezależne od szkody w sprzęcie.       

Polisa środowiskowa a ubezpieczenie od cyberprzestępstw

Ubezpieczenie środowiskowe pod względem konstrukcyjnym jest bardzo podobne do ubezpieczenia cyber. Oba produkty obejmują odpowiedzialność wobec osób trzecich jak i pokrycie kosztów własnych. Tyle, że przedmiot ochrony jest zupełnie inny. W ubezpieczeniu cybernetycznym dość często występują szersze lub węższe wyłączania odpowiedzialności dotyczące zanieczyszczeń lub szkód w środowisku naturalnym, które mogą być pokryte z przynajmniej niektórych polis środowiskowych. Na rynku można bowiem znaleźć oferty ubezpieczeń środowiskowych bez ograniczeń odnoszących do się incydentów cyber.

Ubezpieczenie ryzyka sprzeniewierzenia (polisa crime / fidelity)

Zakres tego produktu krzyżuje się niekiedy także z ubezpieczeniem od ryzyk sprzeniewierzenia. W największym uproszczeniu to ostatnie obejmuje skutki nieuczciwości pracowników, kradzież środków pieniężnych, papierów wartościowych , fałszerstwo, przestępstwa komputerowe (wymuszenie wyłudzenie, podszycie) dokonane przez osoby trzecie. Natomiast ubezpieczenie Cyber chroni przed stratami finansowymi związanymi z utratą danych, które mogą ulec zniszczeniu, modyfikacji, bezprawnemu wykorzystaniu z różnych powodów, w tym nie związanych z żadnymi przestępstwami. Do typowych wyłączeń w ubezpieczeniu ryzyk cybernetycznych, których nie ma w polisach fidelity należą szkody w papierach wartościowych lub z nimi związane. Oczywiście zastrzec należy, że jak zwykle wiele zależy od konfiguracji obu polis. Na przykład jedno i drugie ubezpieczenie jest w stanie zapewnić pokrycie strat spowodowanym wyłudzeniem środków pieniężnych przy użyciu zabiegów socjotechnicznych, jeśli zapatrzone jest w odpowiednią klauzulę. Przeważnie występuje ona pod nazwą SEF (Social Engineering Fraud) albo podszywania się  (passing off), czy phishingu. Oczywiście wskazane terminy nie są synonimami, ale  niektórych sytuacjach mogą się pokrywać.   Warto też zwrócić uwagę, na różnice w wysokości udziału własnego. Zwykle w ubezpieczaniu cyber jest on kilka razy niższy.

Ubezpieczenie od porwania i okupu a Cyber Risk

Ubezpieczenie cybernetyczne, może obejmować zapłatę okupu w związku z cyber incydentem. Takie świadczenie możemy być wypłacone także z polisy od porwania i okupu (kidnap and ransom insurance K&R). W zależności konfiguracji danej umowy ubezpieczenie K&R może ona przydać nawet przy próbie wymuszenia bez uprowadzenia. Jednakże pokrywanie się zakresów obu produktów jest w praktyce bardzo mało prawdopodobne, gdyż polisa od porwania i okupu na polskim rynku stanowi wyjątkową rzadkość, a na dodatek nie można wykluczyć, że w OWU znajdzie się wyłączenie szkód wynikających z ataków hakerskich czy szczerzej szkód cyber  cyber.

Cyber Assitance
Niektóre elementy ubezpieczenia od ryzyk cybernetycznych zawiera Assistance Cyber dołączany niekiedy do ubezpieczenia firm, a nawet domów. Z reguły jest to pomoc informatyka oraz ubezpieczenie kosztów odtworzenia danych z limitem do kilku tysięcy złotych , co w żaden sposób nie koresponduje z wielkością potencjalnych szkód. Ponadto nierzadko ochrona rozciąga się tylko na zdarzenia związane ze sprzętem spełniającym określane limity wieku.Sporadycznie assitance ogranicza się do roli ubezpieczenia od ataków hakerskich. 

Zapamiętaj

  • Znaczenie ryzyk cybernetycznych jest ogromne i ciągle wzrasta
  • Ubezpieczenie cyber risk w żargonie branżowym nazywane bywa rozmaicie (np.polisa od ataków hakerskich, ubezpieczenie od wycieku danych, RODO polisa, cyberpolisa)
  • Polisa Cyber powinna stanowi jeden z kluczowych elementów systemu zabezpieczeń komplementarny wobec innych rozwiązań
  • Ubezpieczenie cybernetyczne zapewnia zapewnia kompleksową ochronę w odniesieniu do szkód związanych z z wszelkiego rodzaju danymi dlatego nazwa ubezpieczenie RODO to duże uproszczenie
  • Ochrona obejmuje nie tylko dane utrwalone w formie cyfrowej 
  • Różnorodne produkty ubezpieczeniowe (np. OC IOD) pokrywają się z polisą od ryzyk cybernetycznych tylko wycinkowo
  • Ubezpieczenia cyber powinny stać się powszechne niemal w każdej branży, cena nie stanowi ku temu przeszkody
  • Oferta rynkowa jest zróżnicowana, wiec bardzo skorzystać z pomocy doświadczonego doradcy

Broker ubezpieczeniowy

Na ogół kompleksowy program ubezpieczenia powinien zawierać ubezpieczenie  od ryzyk cybernetycznych. Warto zatem, by takie rozwiązanie zbudowała kancelaria brokerska.Skontaktuj się brokerem broker@andiw.pl 696487675

Przeczytaj także :

Ubezpieczenie cyber

ubezpieczenie cyber