Deloitte: Cyberwyzwania i cybermożliwości ubezpieczycieli

0
1068

Znaczny wzrost liczby cyberataków to problem całej światowej gospodarki. Jest to również test dla ubezpieczeń cyber, czyli jednej z najmłodszych linii produktowych oferowanych przez asekuratorów. Przed ubezpieczycielami istotne wyzwanie, ponieważ mając niewiele danych historycznych i ciągle zmieniającą się technologię, starają się dostarczyć przedsiębiorstwom przynoszące wartość rozwiązanie, które równocześnie pozostaje rentowne. Czy to w ogóle jest wykonalne?

Decydenci na całym świecie są coraz bardziej świadomi zagrożeń cybernetycznych. Jak wynika z globalnego badania przeprowadzonego przez Willis Towers Watson oraz Clyde & Co wśród władz spółek z Europy, Stanów Zjednoczonych i Azji, 56% z nich uznaje ryzyko cyberataku za wysokie lub skrajnie wysokie. Podobnie ocenia ryzyko wycieku danych 49% respondentów.

Cyfrowa gospodarka wrażliwa na cyfrowe zagrożenia

Rozwój cyfrowej gospodarki szczególnie narażonej na cyfrowe zagrożenia istotnie przyśpieszył na skutek pandemii. Wprowadzone pod presją czasu i okoliczności rozwiązania informatyczne do pracy zdalnej bardzo często nie były w stanie zapewnić użytkownikom i firmom odpowiedniego poziomu cyberbezpieczeństwa.

Tempo wprowadzanych innowacji i dynamiczny skok technologiczny przedsiębiorstw zwiększają ryzyko występowania błędów i luk, które mogą być wykorzystane przez przestępców do przełamania zabezpieczeń, ale jednym z najsłabszych ogniw są nadal ludzie, którzy mogą zostać wykorzystani podczas kampanii phishingowych, jako wejście do organizacji.

Co istotne, to nie tylko zagrożenie danej organizacji, ale też całego otoczenia ściśle z nią współpracującego: łańcucha dostawców i partnerów biznesowych. Jak się okazuje, firma i jej dane są tak bezpieczne jak jej najsłabszy dostawca – wyjaśnia Tomasz Brożek, kierownik Zespołu Bezpieczeństwa i inspektor danych osobowych w Unum.

Jak wynika z dorocznego raportu CERT, liczba zarejestrowanych incydentów cyberbezpieczeństwa w 2020 r. w Polsce wyniosła 10 420, co oznacza wzrost na poziomie 60,7% w porównaniu z poprzednim rokiem. Dane ze świata są nie mniej alarmujące.

Jak monitorować cyberbezpieczeństwo?

Monitorowanie i ocena cyberbezpieczeństwa klientów zainteresowanych ubezpieczeniem cyber jest koniecznością. Jednym z narzędzi, z którego korzystają zakłady ubezpieczeń, jest tak zwany biały wywiad. To rodzaj wywiadu gospodarczego, w którym zyskuje się wiedzę o sytuacji klienta, posługując się ogólnodostępnymi źródłami.

Wykorzystanie białego wywiadu w ubezpieczeniach gospodarczych jest powszechne. W przypadku cyberbezpieczeństwa stosuje się po prostu specyficzne narzędzia. Czasem konieczne okazuje się też monitorowanie dark netu, gdzie mogą znajdować się istotne informacje o cyberzagrożeniach względem konkretnych klientów lub branży – komentuje Adam Rafajeński, dyrektor Cyber Practice, Deloitte.

Rafał Mańkowski, ekspert Polskiej Izby Ubezpieczeń, uzupełnia:

Z perspektywy ubezpieczyciela najważniejsze jest pozyskanie od przyszłego ubezpieczonego informacji na temat posiadanych zabezpieczeń oraz stosowanych procedur bezpieczeństwa. To daje zakładom odpowiednią wiedzę dotyczącą ekspozycji na ryzyko.

Warto zaznaczyć, że nie chodzi przy tym wyłącznie o ocenę prawdopodobieństwa zajścia incydentu, ale w głównej mierze o czas, jaki będzie potrzebny do przywrócenia pełnej działalności przedsiębiorstwa, gdyby cel atakującego został już osiągnięty.

Rafał Mańkowski

Marcin Amrosz, senior underwriter w Generali, dodaje:

Należy pamiętać, że ubezpieczenie nie ma na celu zastąpienia systemów bezpieczeństwa, ale ma być uzupełnieniem strategii w tym zakresie, na wypadek gdyby zagrożenia nie udało się jednak uniknąć.

Jak czytamy w raporcie The Changing Face of Cyber Claims 2021, opracowanym przez Marsh we współpracy z Microsoftem, kancelarią prawną CMS oraz Kivu – globalną firmą specjalizującą się w cyberbezpieczeństwie, w 2020 r. aż 80% szkód zgłoszonych w Europie kontynentalnej stanowiły ataki z użyciem złośliwego oprogramowania, a co trzecia szkoda cyber dotyczyła ataków typu ransomware.

Z naszej perspektywy najistotniejszym ryzykiem są cyberataki ukierunkowane na kradzież danych osobowych oraz zakłócenie funkcjonowania organizacji poprzez wykorzystanie złośliwego oprogramowania klasy ransomware. Przestępcy są przekonani, co potwierdza też wiele publicznych przypadków, że to skuteczne metody na uzyskanie korzyści finansowych, m.in. z zapłaconego okupu, lub też wzbudzenie strachu u decydentów – uzupełnia Tomasz Brożek z Unum.

Ocena poziomu cyberbezpieczeństwa u konkretnego klienta jest niezwykle ważna dla zakładu ubezpieczeń, ale też niełatwa do przeprowadzenia. Adam Rafajeński z Deloitte komentuje:

Firmom ubezpieczeniowym trudno jest zweryfikować, czy organizacja posiada odpowiednie środki, żeby zareagować na przykład na żądanie okupu. Poza tym trudno jest ocenić, czy firma, która występuje o polisę cyber, rzeczywiście dokłada wszelkich starań, żeby uniknąć tego rodzaju szkód. To są dwa najważniejsze problemy.

Dlatego firmy ubezpieczeniowe potrzebują zewnętrznego partnera, który wykona dla nich taką analizę, a także przydałby się pewnego rodzaju system referencji, które pozwoliłyby miarodajnie ocenić zabezpieczenia cybernetyczne, przydzielając odpowiedni poziom na podstawie zestandaryzowanych wytycznych. Chodzi też o to, żeby zachęcać firmy do inwestycji w cyberbezpieczeństwo, dając im na przykład zniżki. A bez obiektywnego systemu określającego poziom bezpieczeństwa jest to niemożliwe.

Adam Rafajeński

Generali, które niedawno wprowadziło do oferty ubezpieczenie CyberRED, wykorzystuje cyfrową aplikację wykrywającą luki w zabezpieczeniach.

W przypadku Grupy Generali ogromną zaletą jest to, że oprócz standardowej ankiety do oceny ryzyka cyber mamy dostęp do nowoczesnych narzędzi, które w kontrolowanych warunkach są w stanie przeprowadzić w 100% bezpieczny test podatności strony internetowej oraz sieci klienta, dzięki czemu w czasie rzeczywistym otrzymujemy praktyczne i zweryfikowane informacje na temat faktycznego poziomu jego zabezpieczeń – deklaruje Marcin Amrosz.

Audyt nie wystarczy, by czuć się bezpiecznie

Firmom nie wystarczy coroczny audyt cyberbezpieczeństwa, ponieważ nowe zagrożenia pojawiają się z dnia na dzień. Niezbędne jest wypracowanie pewnej kultury działania oraz świadomość tego, że nigdy nie jesteśmy w 100% bezpieczni.

– Problem z cyberbezpieczeństwem jest taki, że nawet zweryfikowanie jakiejś organizacji przez audytora w maju i potwierdzenie, że ona jest bezpieczna, nie gwarantuje, że ta sama organizacja nie zostanie zaatakowana w czerwcu, ponieważ stosowanie zabezpieczeń jest raczej procesem niż jednorazową implementacją.

Potrzebna jest weryfikacja tego, czy proces, który w danej organizacji się odbywa, jest konsekwentny, czy są do niego przydzielone odpowiednie osoby i zasoby oraz czy zachodzi pewna regularność w tych procesach – wyjaśnia Adam Rafajeński.

Wysyp cyberataków spowodował, że stawki ubezpieczeń cybernetycznych w I kw. 2021 r. były średnio o 38,7% wyższe dla wszystkich branż z portfolio klientów firmy brokerskiej Marsh. O twardniejącym rynku ubezpieczeń cyber wspomina też Wilis Towers Watson oraz reasekuratorzy.

Jak podaje Marsh, najczęstszymi ofiarami ataków były instytucje finansowe, produkcja, telekomunikacja, media i technologie oraz usługi profesjonalne. Liczba zdarzeń szkodowych w tych sektorach była jednak dużo wyższa niż w roku poprzednim. Aż trzy z nich odnotowały trzycyfrowy wzrost incydentów cybernetycznych: produkcja (104%), telekomunikacja, media i technologie (153%) i usługi profesjonalne (200%).

Wszystko wskazuje na to, że rola ryzyk cyber będzie coraz większa. Ubezpieczyciele mogą zaoferować firmom nie tylko wypłatę odszkodowania, ale również kompetencje pozwalające zarządzić kryzysem wywołanym cyberatakiem i narzędzia pozwalające możliwie szybko wrócić do zwykłej działalności. Marcin Amrosz z Generali mówi:

W ramach umowy zawartej z jednym z liderów w dziedzinie cyberbezpieczeństwa Generali Polska oferuje dostęp do Security Operations Center (SOC), gdzie specjaliści na infolinii dostępnej 24 godziny na dobę, przez 7 dni w tygodniu zajmują się przyjmowaniem zgłoszeń i analizą incydentów. Dzięki temu klient o każdej porze może zweryfikować, czy jego firma padła ofiarą cyberataku, a także uzyskać rekomendacje dotyczące dalszych działań.

Z kolei ekspercki zespół Cyber Security Incident Response (CSIR) pomaga usunąć skutki incydentu, zajmuje się koordynacją działań, reaguje na incydenty zarówno zdalnie, jak i na miejscu ich wystąpienia, pomaga we wdrożeniu środków zaradczych, a  w razie konieczności zajmuje się również analizą śledczą artefaktów cyfrowych oraz przygotowaniem materiałów dowodowych na potrzeby procesu sądowego.

Ubezpieczyciele muszą się nauczyć ryzyk cyber

Należy podkreślić, że szkoda cyber może stanowić poważne zagrożenie dla ciągłości działania firmy, a w przypadku mniejszych firm doprowadzić do ich upadłości. Rafał Mańkowski z PIU zwraca uwagę:

Wyzwaniem dla ubezpieczycieli jest to, w jaki sposób przedsiębiorstwa podchodzą do procedur ciągłości działania. Ta kwestia pozostawia wiele do życzenia. Wiele firm w ogóle nie planuje działań na wypadek zakłócenia działalności, a już zwłaszcza wynikającego z ataku hakerskiego. Niestety doświadczenie pokazuje, że spontaniczne reakcje na sytuacje kryzysowe są dalece niewystarczające.

Dla ubezpieczycieli jeszcze jednym wyzwaniem jest krótka historia szkodowa, co utrudnia precyzyjną ocenę i wycenę cyberryzyk. Istnieje też duże ryzyko fraudów. Adam Rafajeński podkreśla, że w zakładach ubezpieczeń niezbędne jest stałe zwiększanie kompetencji w zakresie ryzyk cyber oraz potrzeba wypracowania specyficznych ścieżek likwidacji szkód, uwzględniających natychmiastową i wielokierunkową reakcję na incydent.

Pewne jest to, że ubezpieczyciele nie mogą pozwolić sobie na lekceważenie tematu cyberbezpieczeństwa. Cyberryzyka to z jednej strony zagrożenie, ale też ogromny potencjał rozwoju dla branży asekuracyjnej – podsumowuje Marcin Piskorski, partner, lider sektora ubezpieczeń Deloitte.

Marcin Piskorski

Aleksandra E. Wysocka


POBIERZ | SUBSKRYBUJ W iTUNES | SUBSKRYBUJ W SPOTIFY