Przedstawiciele branży ochrony zdrowia, farmaceutycznej oraz biotechnologii wskazują cyberataki oraz naruszenie bezpieczeństwa danych jako najistotniejsze ryzyka dla ich działalności – wynika z raportu Aon „Globalne badanie zarządzania ryzykiem 2023”. Eksperci ubezpieczeniowi spodziewają się w 2024 r. wzrostu zainteresowania branży polisami od cyberryzyk.
– Coraz większa skala i koszty cyberataków na infrastrukturę informatyczną firm oraz naruszeń bezpieczeństwa danych sprawiły, że na świecie i w Europie zagrożenie cyber znalazło się na pierwszym miejscu najistotniejszych dla biznesu ryzyk. Ranga ataków cyber wzrosła również w Polsce, gdzie odnotowały skok na 3. pozycję z 18. zaledwie dwa lata wcześniej. Szczególnie wyczulone na tego typu niebezpieczeństwa są firmy z branży medycznej, które wskazują to ryzyko w pierwszej kolejności. W ich przypadku konsekwencje naruszenia bezpieczeństwa mogą być naprawdę dotkliwe – mówi Paweł Krak, Practice Director, Financial & Professional Lines Aon Polska.
Branża medyczna szczególnie zagrożona
Raport przewiduje, że do 2025 r. ponad połowa zdarzeń cybernetycznych będzie spowodowana czynnikiem ludzkim. Na takie błędy narażone są przede wszystkim podmioty szeroko pojętej służby zdrowia. Ma to związek z nagłym charakterem przypadków medycznych, mobilnością pracowników pracujących w wielu jednostkach i potrzebą natychmiastowego dostępu do danych.
– Analiza dostępnych danych pozwala stwierdzić, że najczęstszymi atakami w Polsce są zdarzenia DDoS, polegające na zablokowaniu możliwości korzystania ze strony internetowej, poczty czy sklepu internetowego. Częste są także phishing czy ransomware – głośny ostatnio w związku z atakiem grupy RA World na sieć laboratoriów ALAB. Hakerzy, którzy dokonali tego niestety spektakularnego ataku, mają oczekiwać okupu rzędu kilkuset tysięcy dolarów za odszyfrowanie danych i niepublikowanie większej ich liczby. Kwota okupu, którego ewentualna płatność oczywiście nie gwarantuje spełnienia obietnic hakerów związanych z zakończeniem tego kryzysu, jest jednak kroplą w morzu potencjalnych kosztów, jakie spółka może ponieść w związku z tym atakiem – tłumaczy Piotr Rudzki, Senior Broker, Financial & Professional Lines Aon Polska.
W służbie zdrowia może dojść do wielu przypadków incydentów bezpieczeństwa, w tym intencjonalnych i niezamierzonych naruszeń oraz ataków grup hakerskich.
Ochrona przed konsekwencjami incydentów cyber
Koszty związane z koniecznością zapłaty kary w związku z RODO czy okupu dla hakerów to dopiero początek wydatków firmy, w której doszło do podobnego incydentu. Administrator danych powinien jak najszybciej poinformować o wycieku poszkodowaną osobę. W przypadku gdy naruszenie dotyczy kilkudziesięciu tysięcy klientów, przekłada się to na znaczące koszty obsługi prawnej i przygotowania korespondencji. Gdyby osoby te poniosły z tego tytułu szkodę (np. ktoś weźmie na ich dane „chwilówkę”), należy liczyć się z roszczeniami odszkodowawczymi. Poszkodowani mają także prawo zamówić usługi monitorowania aktywności kredytowej, zwracając się do podmiotu odpowiedzialnego za naruszenie o pokrycie kosztów. Należy także pamiętać o szkodach niemajątkowych oraz o ewentualnym zadośćuczynieniu z tytułu naruszenia dóbr osobistych. Pomocnym narzędziem transferu ryzyka w narażonych przedsiębiorstwach będzie więc polisa ubezpieczenia od cyberryzyk.
– Wszystkie koszty ataku mogą podlegać ochronie ubezpieczeniowej, włącznie z karą administracyjną czy samą kwotą okupu oczekiwanego przez hakerów. Polisa może zapewnić także dostęp do usług kancelarii prawnej, informatyków śledczych czy nawet firmy specjalizującej się w usługach PR, ponieważ utrata reputacji może okazać się równie kosztowna. Dostępność do oferty ubezpieczenia od cyberryzyk jest jednak ograniczona, zwłaszcza gdy mamy do czynienia ze służbą zdrowia. Szczególnie publiczne placówki, których budżety na bezpieczeństwo IT są często nieadekwatne, mogą spotkać się z odmową ubezpieczycieli. Nieco łatwiej powinno być podmiotom, które świadomie zarządzają tym ryzykiem. Niemniej także i one powinny wykazać dbałość o odpowiednie zabezpieczenie swoich systemów – dodaje Piotr Rudzki.
(AM, źródło: Brandscope)
