Ubezpieczenia od ryzyk cybernetycznych to dynamicznie rozwijający się trend. Poprzez wprowadzenie ubezpieczeń cyber, przedsiębiorstwa mają możliwość przenieść część ryzyka związanego z szeroko rozumianymi ryzykami cybernetycznymi na ubezpieczyciela. Mimo rosnącego zainteresowania polisami cybernetycznymi, poziom świadomości, jak i potrzeba posiadania takiego ubezpieczenia nie jest i długo jeszcze nie będzie na zadowalającym poziomie.

Realia na polskim rynku

Biorąc pod uwagę nasze dotychczasowe doświadczenia, które opieramy na wielu rozmowach z przedstawicielami firm z większości branż, a także pośrednikami, którzy są odpowiedzialni za ich obsługę, dochodzimy do wniosku, że klienci w większości przypadków są zainteresowani posiadaniem polisy cyber w momencie, gdy mają taki wymóg od swojego kontrahenta.

Niestety niewielka część klientów, z którymi zawarliśmy umowę ubezpieczenia to tacy, którzy świadomie decydują się na zakup takiej polisy.

Na naszym „podwórku” ubezpieczenia cyber oferowane są zarówno przez polskich, jak i zagranicznych ubezpieczycieli. Rozwiązania, które są przez nich oferowane różnią się wieloma aspektami.

Co powinno zawierać w swoim zakresie dobre ubezpieczenie cyber, tak żeby realnie chroniło daną jednostkę gospodarczą?

Na co zwrócić uwagę podczas wyboru ubezpieczenia cyber?

Wybierając polisę cyber, należy zwrócić uwagę na szereg czynników, które gwarantują ubezpieczonemu, że zadziała ona w momencie wystąpienia realnego zdarzenia. Kluczowymi elementami z pewnością są:

– sposób oceny ryzyka;

– proces likwidacji szkód;

– wsparcie, którego można się spodziewać na każdym etapie współpracy;

– zakres terytorialny ubezpieczenia;

– rating ubezpieczyciela,

– udziały własne,

– cena,

– zakres ochrony.

Elementem, któremu chciałbym się przyjrzeć w tym artykule jest przede wszystkim zakres ochrony, który w przypadku największych graczy jest naprawdę szeroki.

Przykładowy godny polecenia zakres ubezpieczenia cyber

Jednym z kluczowych elementów ubezpieczenia cyber jest pokrycie strat własnych. W tym aspekcie ubezpieczenie powinno obejmować:

• utratę i uszkodzenie danych – w ramach tego ubezpieczenia, ubezpieczyciel powinien zapewnić pokrycie wydatków poniesionych przez ubezpieczonego w celu przywrócenia działania jego systemów oraz informacji, które przechowywał w swojej sieci. Ubezpieczenie pokrywa również utratę i uszkodzenie dokumentów w postaci fizycznej.
• pokrycie strat spowodowanych przerwą w działalności oraz kosztów związanych z przywróceniem bądź odtworzeniem działalności biznesowej – kiedy z powodu awarii działanie firmy jest utrudnione bądź niemożliwe;
• pokrycie strat spowodowanych cyber zdarzeniami – wśród cyber zdarzeń, które ochrona powinna pokrywać, powinny znaleźć się cyber kradzieże, cyber wymuszenia, a także ataki hakerskie dokonane nie tylko na sieć informatyczną, ale także telefoniczną;
• oszustwa związane z podszywaniem się pod inną osobę – polegających na utracie danych; środków pieniężnych lub towarów w efekcie podszywania się pod inne osoby;
• koszty notyfikacji, gdy istnieje podejrzenie o ujawnieniu wycieku danych osobowych;
• Ubezpieczenie kosztów ochrony reputacji – pokryje kosztów i wydatków poniesionych w odpowiedzi na niekorzystny lub niesprzyjający rozgłos medialny/ publikacje w mediach lub uwagę mediów.

Roszczenia osób trzecich również wiążą się z ryzykiem ponoszenia istotnych kosztów, dlatego pod tym względem także należy dokładnie zapoznać się z warunkami ubezpieczenia. Polisa powinna obejmować pokrycie kosztów:

• niewłaściwego użycia własności intelektualnej;
• zniesławienia lub spowodowania uszczerbku na wizerunku;
• utraty danych oraz naruszenia prywatności;
• uszkodzenia sprzętu lub sieci kontrahenta, uniemożliwiającego dostęp do danych lub awarii systemu;
• obowiązku zapłaty opłat sądowych, administracyjnych lub grzywien, które są dopuszczone przez prawo;
• przywrócenia dobrej reputacji i odzyskania pozytywnego wizerunku;
• przywrócenia bezpieczeństwa płatności elektronicznych.

Reakcja na incydent jest równie ważna jak samo ubezpieczenie

Oprócz wypłaty ubezpieczyciele zapewniają także świadczenia ukierunkowane na zapewnienie prawidłowej reakcji na incydent. Najczęściej jest to zaangażowanie specjalistycznych podmiotów zajmujących się informatyką śledczą czy odtwarzaniem danych, jak również kancelarii prawnych, które notyfikują incydent Prezesowi UODO, proponują ugody poszkodowanym, prowadzą postępowanie odwoławcze odnośnie nałożonej kary, bronią w sprawie o odszkodowanie przeciwko osobom, które nie zgodziły się na ugodę. Przydatna jest także pomoc agencji oraz managera cyberincydentu koordynującego działania wyżej wymienionych. Zaangażowanie takich firm w trybie nagłym może kosztować fortunę, a szybka i adekwatna reakcja stwarza szanse na zniwelowanie finansowych następstw cyberincydentu.