Cyber 6.0

0
1201

Leadenhall Insurance jako coverholder rynku Lloyd’s rozpoczął oferowanie cyberubezpieczeń w Polsce w 2015 r. Do dzisiaj zebraliśmy wiele doświadczeń i obserwacji dotyczących postrzegania ryzyka cyber przez ubezpieczonych i pośredników ubezpieczeniowych, poziomu zabezpieczeń i gotowości do inwestowania w ten obszar, identyfikowania potrzeby ubezpieczenia tego ryzyka i zakresu oczekiwanej ochrony.

Zebraliśmy już pierwsze doświadczenia szkodowe z powodu ransomware szyfrującego zasoby cyfrowe ubezpieczonych, wycieków danych osobowych czy przypadków tzw. cyber crime. Co warte podkreślenia, każde z tych zagadnień w ciągu ostatnich zaledwie kilku lat ulega dynamicznej zmianie w kierunku lepszego rozumienia zagrożeń, chęci dobrego zabezpieczenia swoich systemów informatycznych i danych, a także upowszechniania cyberubezpieczeń.

Początkowo, chcąc popularyzować cyberubezpieczenia, kierowaliśmy się zasadą, aby przy minimalnym nakładzie pracy po stronie pośrednika i potencjalnego ubezpieczonego można było przedstawić wiążące warunki oferty. Często bowiem w przeszłości temat cyberubezpieczenia grzązł na etapie wypełniania długiego i skomplikowanego wniosku wraz z technicznymi pytaniami dotyczącymi oceny ryzyka.

Działy IT także nie były entuzjastycznie nastawione do idei cyberubezpieczeń, gdyż musiały odpowiadać na pytania o stosowane mechanizmy kontrolne, wykorzystywane oprogramowanie, architekturę zarządzanych przez siebie systemów.

Z tego powodu rozpoczęliśmy sprzedaż na podstawie relatywnie krótkiego i łatwego w formie zadawanych pytań formularza zbierania danych o ryzyku, który jest dostępny online, bezpośrednio udostępniany przez nas pośrednikom w systemie transakcyjnym quote & bind. Początkowo oferta była skierowana głównie do sektora małych i średnich przedsiębiorstw oraz jednostek samorządu terytorialnego.

Pod wpływem zbieranych doświadczeń nasze podejście do ubezpieczeń cyber uległo pewnym zmianom. Wpłynęła na to przede wszystkim ocena ryzyka i poznawanie poziomu stosowanych przez ubezpieczonych zabezpieczeń ich systemów, a także postępujące upowszechnianie świadczenia usług online.

Pandemia Covid-19 ma wiele różnych skutków społeczno-gospodarczych. Spowodowała jeszcze większe przyspieszenie cyfryzacji gospodarki i życia społecznego, w tym dopuszczenie na ogromną skalę pracy zdalnej.

Rewizja naszej polityki underwritingu wiązała się tak z doświadczeniem lokalnym, jak i globalnymi trendami w tym zakresie, forsowanymi m.in. przez rynek Lloyd’s.

Nowe podejście Leadenhall Insurance oznacza z jednej strony oferowanie szerszego zakresu ochrony, z drugiej strony podwyższone oczekiwania co do minimalnego poziomu zabezpieczeń i świadomość ryzyka po stronie ubezpieczonego.

Opracowaliśmy i wprowadziliśmy nową wersję warunków ubezpieczenia Leadenhall Cyber oznaczonych wersją 6.0. Zmieniając warunki, staraliśmy się zaoferować polskim ubezpieczonym jak najszerszy zakres ochrony, oparty na najlepszych standardach wypracowanych przez rynek Lloyd’s.

Co Leadenhall Cyber 6.0. obejmuje w kolejnych sekcjach

Sekcja Aodpowiedzialność cywilna i koszty obrony w postępowaniach cywilnoprawnych z tytułu naruszenia przepisów o ochronie danych osobowych
Sekcja Bkary administracyjne i koszty obrony w postępowaniach regulacyjnych z tytułu naruszenia przepisów o ochronię danych osobowych oraz ustawy o krajowym systemie cyberbezpieczeństwa
Sekcja Ckoszty reakcji i zarządzania incydentem informatycznym w postaci naruszenia bezpieczeństwa informacji
Sekcja DOC i koszty obrony w postępowaniach cywilnoprawnych z tytułu spowodowania naruszenia bezpieczeństwa informacji u osoby trzeciej
Sekcja EOC i koszty obrony w postępowaniach cywilnoprawnych z tytułu odpowiedzialności multimedialnej
Sekcja Fpokrycie kosztów i wymuszonych płatności z tytułu cyberwymuszeń (np. spowodowanych działaniem ransomware)
Sekcja G cz.1.koszty odtworzenia zasobów cyfrowych zniszczonych lub utraconych wskutek zakłócenia sieci wywołanej nieuprawnionym naruszeniem dostępu do systemu
Sekcja G cz.2.utracony zysk w okresie zakłócenia sieci (do 180 dni przestoju)
Klauzula
PCI DSS
koszty spowodowane naruszeniem standardów obsługi płatności
Klauzula
cyber crime
szkody spowodowane wyłudzeniami z użyciem zabiegów socjotechnicznych

Warto zwrócić uwagę, że Leadenhall Cyber 6.0. m.in. obejmuje ochroną:

  1. koszty reakcji i odtworzenia danych oraz utraty zysku powstałe także wskutek awarii u zewnętrznego usługodawcy (np. w przypadku korzystania z usług w chmurze obliczeniowej, gdzie dochodzi do incydentu),
  2. koszty awaryjne,
  3. koszty zakupu nowych licencji (jeżeli jest to potrzebne do odtworzenia systemu),
  4. koszty odtworzenia zasobów papierowych,
  5. dodatkowe koszty pracownicze związane z odtworzeniem systemu lub zasobów cyfrowych,
  6. tzw. betterment, czyli koszty odtworzenia systemu informatycznego do nowszej wersji, jeśli koszt takiego odtworzenia nie przewyższa kosztów poniesionych na przywrócenie systemu informatycznego do stanu lub poziomu, który istniał przed zakłóceniem sieci informatycznej,
  7. koszty ochrony reputacji ubezpieczonego, w tym także objętych ochroną osób fizycznych (np. menedżerów),
  8. przypadki cyberterroryzmu,
  9. odpowiedzialność regulacyjną z tytułu naruszenia ustawy o krajowym systemie cyberbezpieczeństwa,
  10. szeroko zdefiniowaną odpowiedzialność multimedialną.

Minimalny standard zabezpieczeń oczekiwany przez Lloyd’s w przypadku oferty ubezpieczenia Leadenhall Cyber 6.0. obejmuje następujące warunki:

  • kopie zapasowe danych tworzone są przynajmniej raz w tygodniu. Kopie te są przechowywane na osobnym, zabezpieczonym urządzeniu, w innej lokalizacji niż dane źródłowe,
  • zdalny dostęp do systemu informatycznego ubezpieczonego wymaga wieloetapowego uwierzytelnienia,
  • jeżeli ubezpieczony korzysta z oprogramowania Microsoft Office 365, to dostęp wymaga wieloetapowego uwierzytelniania,
  • ubezpieczony korzysta z oprogramowania antywirusowego i firewall. Oprogramowanie to jest aktualizowane regularnie, zgodnie z zaleceniami producenta i nie rzadziej niż co 30 dni,
  • wdrożone są procedury aktualizacji oprogramowania wykorzystywanego przez ubezpieczonego oraz procedury kontroli dostępu do systemu i jego wykorzystania,
  • ubezpieczony może potwierdzić, że on sam lub jego dostawca usług informatycznych zapewnia instalację aktualizacji wykorzystywanego oprogramowania nie rzadziej niż co 30 dni, a w przypadku aktualizacji o krytycznym znaczeniu dla bezpieczeństwa natychmiast lub najpóźniej 14 dni od momentu wydania aktualizacji,
  • pracownicy ubezpieczonego są regularnie, przynajmniej raz do roku, szkoleni z zakresu zagrożeń teleinformatycznych (w tym tzw. phishingu),
  • brak pisemnej procedury szyfrowania danych osobowych i poufnych przechowywanych na urządzeniach mobilnych lub innych nośnikach i wynoszonych poza siedzibę ubezpieczonego powoduje ograniczenie ochrony o wyłączenie odpowiedzialności i szkód spowodowanych nieszyfrowaniem danych,
  • w przypadku korzystania z niewspieranego już przez producenta oprogramowania ubezpieczony zapewnia, że w ramach architektury swojego systemu te jego elementy, które wykorzystują to oprogramowanie, są odseparowane od reszty systemu, dodatkowo ochrona jest ograniczona przez dodanie wyłączenia skutków korzystania z niewspieranego oprogramowania,
  • brak pisemnego planu przywrócenia lub zapewnienia ciągłości działania w wypadku nieprzewidzianych zdarzeń, w tym zakłóceń pracy sieci informatycznej lub cyberataku, powoduje, że nie jest oferowana ochrona w zakresie utraty zysku i kosztów odtworzenia zasobów cyfrowych.

Wskazany powyżej katalog minimalnych zabezpieczeń i mechanizmów kontrolnych został rozszerzony w stosunku do naszej dotychczasowej praktyki ofertowania cyberubezpieczeń. Zdajemy sobie sprawę, że nie każdy potencjalnie ubezpieczony spełnia obecnie te warunki. Wierzymy jednak, że jest to absolutne minimum dla podmiotu, który odpowiedzialnie podchodzi do swojego ryzyka cyber.

Nawet jeżeli spełnienie tych warunków wymagałoby dodatkowych nakładów pracy lub kosztów, to bez wątpienia leży to w najlepiej pojętym interesie ubezpieczonego. Szkoda cyber, nawet objęta ochroną ubezpieczeniową, może przynieść nieodwracalne konsekwencje, w szczególności zrujnować zaufanie klientów do danej instytucji, marki, usługi lub produktu.

Liczymy na to, że rynek, a w szczególności brokerzy, przychylnie spojrzą na zakres oferty Leadenhall Cyber 6.0 oraz ze zrozumieniem podejdą do oczekiwanych minimalnych zabezpieczeń systemów informatycznych ubezpieczonych.

Michał Molęda
wiceprezes zarządu Leadenhall Insurance