Żyjemy w czasach, w których granica między światem fizycznym a cyfrowym uległa zatarciu. Dla sektora ubezpieczeniowego oznacza to konieczność redefinicji pojęcia bezpieczeństwa.
Dzisiejszy cyberatak to nie tylko linijki złośliwego kodu. To realne zagrożenie dla ciągłości procesów biznesowych, stabilności finansowej oraz integralności infrastruktury krytycznej. Polska, ze względu na swoje położenie geopolityczne i tempo cyfryzacji, znalazła się na pierwszej linii frontu globalnej cyberwojny.
Polska na celowniku
Nie jest przesadą twierdzenie, że Polska jest obecnie atakowana z każdej strony. Jako kraj graniczny NATO i kluczowy hub logistyczny, staliśmy się naturalnym celem grup APT (Advanced Persistent Threats) powiązanych z obcymi wywiadami. Statystyki są nieubłagane: polska cyberprzestrzeń mierzy się z tysiącami incydentów dziennie. Choć instytucje państwowe odpierają dużą część tych uderzeń, sektor prywatny pozostaje obszarem o znacznie niższym progu odporności.
W ubezpieczeniach często porównujemy ryzyka do pożarów. Jednak cyberatak to nie pożar. Kiedy płonie fabryka, dym widzą wszyscy w promieniu wielu kilometrów, to działa na wyobraźnię i motywuje do zakupu polisy. Ryzyka cybernetycznego nie widać. Firmy, które padły ofiarą ataku, rzadko chcą się tym chwalić, z obawy o utratę reputacji. To sprawia, że świadomość zagrożenia rośnie znacznie wolniej niż sama skala problemu. Zdecydowana większość szkód nie wychodzi na światło dzienne, przez co rynek ubezpieczeniowy w Polsce wciąż startuje z niskiego pułapu, mimo że dystans dzielący nas od USA czy Europy Zachodniej jest ogromny.
Demokratyzacja cyberzbrodni: Era AI
Największym przełomem ostatnich lat jest rewolucja technologiczna w obszarze sztucznej inteligencji (AI). Jeszcze do niedawna bycie hakerem wymagało specjalistycznej wiedzy, sprawności w poruszaniu się w darknecie i umiejętności programistycznych. Dziś te bariery zniknęły. Dzięki AI hakerzy muszą w zasadzie tylko umieć czytać i pisać.
Sztuczna inteligencja stała się szwajcarskim scyzorykiem w rękach oszustów. Pozwala na:
- Masowy phishing 2.0: Generowanie perfekcyjnych pod względem językowym wiadomości e-mail i SMS, które nie zawierają już błędów zdradzających oszustów.
- Deepfake i klonowanie głosu: Technologia ta pozwala na uwiarygodnienie komunikatu. Gdy pracownik odbiera telefon i słyszy głos swojego szefa, rzadko podaje w wątpliwość autentyczność polecenia przelewu czy udostępnienia danych.
- Automatyzację tworzenia złośliwego oprogramowania: AI potrafi napisać kod łamiący zabezpieczenia infrastruktury teleinformatycznej szybciej i skuteczniej niż człowiek.
Jako ubezpieczyciele musimy mieć świadomość, że mleko się rozlało. Technologia AI jest powszechnie dostępna i nie da się jej cofnąć do laboratorium. Pozostajemy o krok, a nawet dwa za napastnikami, ponieważ ciemna strona mocy zawsze chętniej inwestuje w procesy przynoszące szybki zysk niż w prewencję.
Ransomware: Plaga współczesnego biznesu
Z perspektywy szkodowej najbardziej dewastującym zjawiskiem pozostaje ransomware – oprogramowanie blokujące dostęp do systemów w zamian za okup. To prawdziwa plaga, która w Stanach Zjednoczonych przybrała rozmiary kryzysu systemowego. W Polsce ataki te odpowiadają, wraz z phishingiem, za ponad 70% wszystkich incydentów.
Problem polega na tym, że hakerzy nie atakują tylko gigantów. Mały biznes jest często prostszy do sforsowania i stanowi łatwy łup. Przykładem może być mała klinika stomatologiczna dysponująca wrażliwymi danymi medycznymi pacjentów – dla przestępców to idealny cel do szantażu.
Pięta achillesowa: Człowiek i przestarzała infrastruktura
Analizując ryzyko w polskich przedsiębiorstwach, dostrzegamy dwa główne punkty zapalne. Po pierwsze, najsłabszym ogniwem zawsze jest człowiek. Brak procedur, takich jak uwierzytelnianie dwuskładnikowe (2FA) czy szyfrowanie danych, otwiera drzwi przestępcom.
Po drugie, stan polskiej infrastruktury IT budzi niepokój. Znaczna część przedsiębiorców korzysta z niewspieranych już systemów operacyjnych, co dla hakera jest otwartym zaproszeniem. Żaden haker nie potrzebuje zaawansowanej AI, by włamać się do systemu, który nie otrzymuje poprawek bezpieczeństwa od producenta. W wielu firmach wciąż nie rozróżnia się działu IT zajmującego się drukarkami od specjalistów ds. cyberbezpieczeństwa. To dwa różne światy, a ich utożsamianie jest błędem, który kosztuje miliony.
Więcej niż polisa
W ERGO Hestii podchodzimy do cyberbezpieczeństwa holistycznie. Musimy jasno komunikować rynkowi: polisa nie zabezpieczy infrastruktury tak, jak ubezpieczenie AC nie uchroni auta przed wypadkiem. Naszą rolą jest analiza i mitygacja ryzyka.
Proces ubezpieczeniowy w ERGO Hestii zaczyna się od rygorystycznej oceny zabezpieczeń klienta. Wskazujemy, co wymaga poprawy, edukujemy i wymuszamy stosowanie sprawdzonych procedur. Jednak gdy dojdzie do nieuniknionego, nasza oferta staje się kompleksowym planem ratunkowym.
Co oferujemy w ramach ochrony?
- Pokrycie kosztów finansowych: Od odtwarzania danych po kary administracyjne za wyciek danych osobowych (RODO).
- Wsparcie prawne i PR: Pomagamy wyjść ze szkody obronną ręką, zarządzając kryzysem wizerunkowym.
- Informatyka śledcza:To nasz unikalny atut. W ciągu 24-48 godzin od incydentu nasi specjaliści – eksperci z ponad 20-letnim stażem – są w stanie ustalić przyczynę ataku i określić skalę odpowiedzialności.
W stronę kultury odporności
Czy cyberzagrożenia mogą nas cofnąć do czasów papierowych okienek w bankach? Sądzimy, że nie. Ludzie cenią komfort i cyfryzację. Tak jak wypadki samochodowe nie sprawiły, że przesiedliśmy się na konie, tak cyberataki nie zatrzymają postępu. Musimy jednak oswoić lęki i wypracować schematy działania.
Jako branża ubezpieczeniowa mamy do odegrania kluczową rolę edukacyjną. Musimy głośno mówić o zagrożeniach, zachęcać do inwestycji w zabezpieczenia i budować świadomość, że cyberbezpieczeństwo to nie koszt, a inwestycja w ciągłość istnienia firmy. W ERGO Hestii nie tylko oferujemy ochronę finansową – dostarczamy też wiedzę i narzędzia, które pozwalają polskim firmom przetrwać w tej nowej, cyfrowej rzeczywistości.
Tomasz Dolata i Maciej Kleina
eksperci Grupy ERGO Hestia, specjaliści w zakresie ryzyk cybernetycznych i bezpieczeństwa systemów teleinformatycznych
