Produkt znany w Polsce jako ubezpieczenie cyber albo ubezpieczenie ryzyk cybernetycznych już na wstępie generuje dylemat dotyczący określenia swojej postaci, gdyż nie jest zwykłym ubezpieczeniem dla firm, jak wiele innych. Wielu klientów nie będzie chciało zainteresować się produktem przez sam fakt, iż jest to kolejna umowa ubezpieczenia, a te są dalej postrzegane jako zbędne, niczym etui ochronne na stary, rzekomo niezniszczalny telefon marki Nokia.
Przykładowa spółka z o.o. zawiera umowy ubezpieczenia, kierując się zasadą niezbędnego minimum, często nie wierząc w samą ideę ubezpieczeń. Zainteresowanie jej tematem ubezpieczeń cyber, który jest stosunkowo nowy i niepopularny, nie jest proste, szczególnie wtedy, gdy przedsiębiorcy zmagają się ze skutkami pandemii i licznych lockdownów.
Jak więc zachęcić do produktu nowego, nieznanego i jednocześnie najbardziej istotnego w perspektywie kolejnych dekad? Jak zmienić kąt widzenia na ubezpieczenia cyber?
Cyber jako usługa
Warto na wstępie zaznaczyć, że temat umowy ubezpieczenia cyber, niekoniecznie zawsze będącej umową ubezpieczenia w czystej postaci przedstawionej w art. 805 k.c., to materiał na zupełnie inny artykuł, w którym podzielę się swoimi przemyśleniami.
Na potrzeby dzisiejszych rozważań spójrzmy na cyber z perspektywy ubezpieczeniowej, marketingowej i sprzedażowej – innymi słowy spróbujmy pokazać cyber tak, by nie wpadło do worka ubezpieczeń, których kupować nie musimy, bo nikt ich od nas nie wymaga.
Żeby spojrzeć na cyber jako produkt, a nie samą umowę ubezpieczenia, musimy znaleźć jego wartość dodaną dla przedsiębiorstwa. Wartością taką jest struktura wokół incident response albo event management (odpowiedzi na incydent lub zarządzania zdarzeniem).
Stworzenie przez ubezpieczyciela struktury podmiotów profesjonalnie zajmujących się incydentami, takimi jak wyciek danych, przestój systemu czy odpowiedź na wezwania organów administracji, zmienia perspektywę postrzegania ubezpieczenia. Dzięki odpowiednim strukturom partnerskim ubezpieczyciela klient w jednym miejscu może uzyskać pomoc odpowiednich profesjonalistów od razu w momencie wykrycia zdarzenia. Ubezpieczyciel jedynie zapłaci za te usługi. Leży to w końcu w jego interesie, bo większość tego typu działań ogranicza wysokość potencjalnej szkody i – co za tym idzie – kosztów finalnie poniesionych przez TU.
Potrzeba zbudowania odpowiedniej infrastruktury wynika z faktu, iż pozostawiony sam sobie incydent cybernetyczny, tak samo jak pozostawiony sam sobie pożar, będzie znacznie bardziej brzemienny w skutki niż ten ugaszony od razu. Różnica polega na tym, że przy pożarze możemy zadzwonić na numer alarmowy, a przy zdarzeniu cybernetycznym niekoniecznie.
Gros przedsiębiorstw nie będzie wiedziało, co tak naprawdę im się „pali” i jakiego rodzaju „strażak” jest im potrzebny. Stąd potrzeba, by klasyczny model likwidacji w znacznej mierze zastąpić modelem typu assistance i wspomóc klienta odpowiednimi specjalistami.
Cyber abonamentem medycznym dla firmy
Oczywiście sama pomoc w reakcji na zdarzenie, odpowiednie nim zarządzanie, komunikacja z organami administracji i podmiotami, których dotyczą dane, to nie wszystko. Sekcja ubezpieczenia BI w ramach cyber lub ta dotycząca odbudowania systemów i danych po zdarzeniu mają nieraz olbrzymie znaczenie dla dalszej działalności firmy, gdy wstępny kryzys jest już opanowany.
Niezależnie od tego, bardzo pomocne w przekonaniu polskiego rynku do ubezpieczeń cyber będzie reklamowanie ich jako odpowiednika abonamentu medycznego, ale dla firmy, nie dla pracownika. Tak samo jak w przypadku konkretnej dolegliwości szukamy odpowiedniego lekarza specjalisty, tak samo przy zdarzeniach niezbędna jest pomoc incident managera, który zdiagnozuje problem i zaangażuje odpowiednich specjalistów.
Podobnie jak przy zdrowiu ludzkim, przy zdrowiu naszych systemów i przy bezpieczeństwie danych możemy podejmować pewne działania sami. Nie zawsze będzie to jednak wystarczające. W pewnym momencie niezbędna jest pomoc wysoko wykwalifikowanego specjalisty. Dodatkowo warto mieć na uwadze fakt, że państwo nie wesprze nas w walce ze skutkami incydentu cybernetycznego strukturami na kształt wspomnianej straży pożarnej czy służby zdrowia.
Sceptycy mogą powiedzieć, że w abonamencie medycznym mamy wizyty kontrolne i nie musi z nami być źle, żeby z usługi skorzystać. W ramach ubezpieczenia cyber coraz częstszym elementem jest możliwość skorzystania z usług specjalistów także przed szkodą (ale po zawarciu umowy ubezpieczenia).
Jako kontrargument wskazałbym, że aby skorzystać ze wstępnej oceny specjalisty, dzięki temu, jak skonstruowany jest trigger w ubezpieczeniach cyber (mowa o stosunkowo nowym discovery based trigger, nie mylić z triggerem loss manifestation), w wielu wypadkach wystarczy jedynie przypuszczenie zajścia incydentu. Wiedząc, jak istotna jest wczesna reakcja, ubezpieczycielowi najczęściej opłaca się zweryfikować przypuszczenie wystąpienia zdarzenia samemu lub korzystając z usług profesjonalisty z branży technologicznej. Nawet wtedy, gdy przypuszczenie było błędne, ubezpieczony uzyska korzyść w postaci takiej usługi weryfikacyjnej.
Dobrze zbudowane infrastruktury incident response ubezpieczycieli będą dawały ubezpieczonym możliwość darmowego lub tańszego skorzystania z licznego rodzaju szkoleń dla pracowników (np. w zakresie RODO i postępowania z danymi wrażliwymi), audytów cyberbezpieczeństwa czy nawet testów penetracyjnych i pomocy w tworzeniu planów ciągłości działania czy polityki bezpieczeństwa danych.
Zmienione podejście do prezentacji ubezpieczenia poprzez budowanie analogii do abonamentu medycznego dla firmy czy uświadamianie, że najważniejszy w przypadku incydentu jest szybki dostęp do odpowiednich specjalistów, a nie ma co w tym zakresie liczyć na pomoc państwa, powinno branży ubezpieczeniowej znacznie pomóc w sprzedaży.
Co z tym RODO?
Ostatnie lata i zmiana przepisów związanych z bezpieczeństwem danych do pewnego stopnia pomogły we wstępnym rozpropagowaniu idei ubezpieczalnego ryzyka cyber. W mojej ocenie z perspektywy można jednak powiedzieć, że czas kształtowania sprzedaży cyber opartej na widmie roszczeń cywilnych za naruszenie bezpieczeństwa danych oraz kar administracyjnych, które i tak nie wszystkie są objęte ochroną, bo muszą mieć związek ze zdarzeniem cybernetycznym (jak np. wyciek danych), już minął.
Bynajmniej nie uważam tych zakresów ochrony za zbędne. Wręcz przeciwnie. Ubezpieczenie cyber zapewnia jednak dużo bardziej kompleksowe ujęcie problemu, a dopełnienie obowiązków w zakresie notyfikacji i koszty z tym związane to często tylko jeden z licznych problemów, jakie napotyka potencjalny ubezpieczony podczas zdarzenia cybernetycznego.
Firmom będzie również dużo łatwiej zrozumieć zagrożenie dla kontynuacji ich działalności, a także koszty i straty z tego wynikające, niż ryzyko nałożenia na nie kary.
Dlaczego pandemia może długofalowo pomóc?
Na koniec warto optymistycznie spojrzeć na przyszłość ubezpieczeń cyber. Biznes jest pod ciągłym wpływem cyfryzacji w zakresie produkcji, dystrybucji, sprzedaży i marketingu. Pandemia wiele firm zmusiła do pracy zdalnej i wysoce prawdopodobne jest, że część z nich na stałe na nią przejdzie.
Taki kierunek tylko potwierdza i umacnia przekonanie o nieuchronnej informatyzacji biznesu. To z kolei oznacza, że prędzej czy później ubezpieczenia cyber będą na czele ubezpieczeń majątkowych. Biznes ubezpieczamy przecież po to, by chronić jego składniki i zabezpieczyć ciągłość na wypadek szkody.
Kierując się tą zasadą, obserwując obecne trendy i biorąc pod uwagę fakt, iż wartość dóbr niematerialnych już dawno przekroczyła na świecie wartość dóbr materialnych, w przyszłości miejsce dla ubezpieczeń cyber jest tylko na podium. Bardzo możliwe, że na pierwszym miejscu.
Bartłomiej Lewandowski
prawnik, underwriter, broker – specjalista w zakresie ubezpieczeń cyber/tech/PI
współzałożyciel Great Dane Brokers