Cyberubezpieczenia stały się nieodzownym elementem strategii zarządzania ryzykiem w przedsiębiorstwach. Firmy traktują je jako zabezpieczenie przed finansowymi konsekwencjami ataków hakerskich, wycieków danych czy zagrożeń ransomware.
Mimo rosnącej popularności produktów cyberubezpieczeniowych wiele organizacji odkrywa – często dopiero przy zgłaszaniu szkody – że nie wszystkie ryzyka cybernetyczne są objęte ochroną.
Jednym z zagrożeń, które mimo swojego cybernetycznego charakteru rzadko znajdują pokrycie w dostępnych na rynku polisach, jest Business Email Compromise (BEC). W artykule wyjaśniamy, czym są ataki BEC oraz dlaczego najczęściej nie są one objęte ochroną w ramach cyberubezpieczeń.
BEC w praktyce
BEC to oszustwo, w którym sprawcy podszywają się pod znane odbiorcy osoby lub firmy, wysyłając wiadomości e-mail mające skłonić ofiary do przelewu środków finansowych lub przekazania wrażliwych danych. Choć niektóre ataki BEC są ukierunkowane na wyłudzenie informacji, w zdecydowanej większości przypadków przestępcy dążą do kradzieży pieniędzy.
Specyfika BEC, odróżniająca tę formę ataku od phishingu, polega na precyzyjnym budowaniu wiarygodności przekazu. Sprawcy celowo wykorzystują relacje służbowe, hierarchię organizacyjną czy długotrwałe kontakty biznesowe, aby wzbudzić u adresata poczucie bezpieczeństwa i zaufania. W odróżnieniu od masowego phishingu, ataki BEC charakteryzują się indywidualnym podejściem – oszuści podszywają się pod konkretne osoby lub firmy znane odbiorcy.
Uwaga na adres nadawcy
Wiadomości są często personalizowane – przestępcy naśladują styl komunikacji określonych osób lub odwołują się do rzeczywistych zdarzeń biznesowych, co jest możliwe dzięki informacjom pozyskanym z wcześniej przechwyconych wiadomości. Co istotne, oszuści zazwyczaj nie piszą z autentycznych kont, lecz używają adresów łudząco podobnych do prawdziwych – z zamienioną literą lub dodanym znakiem.
Oszuści mogą na przykład:
- udając pracownika organizacji, poinformować kontrahentów o zmianie numeru konta bankowego do płatności lub przesyłać im fałszywe faktury,
- udając członka zarządu lub przełożonego, wysłać do pracownika pilną wiadomość z poleceniem wykonania przelewu na podane konto,
- udając pracownika, wysłać do działu HR wiadomość o zmianie numeru konta do wypłaty wynagrodzenia.
A to tylko najczęściej spotykane schematy działania. Oszuści nieustannie opracowują nowe scenariusze, które pozwalają im skuteczniej wykorzystywać zaufanie ofiar.
Socjotechnika, nie technologia
Dlaczego cyberpolisy najczęściej nie obejmują ataków BEC polegających na wyłudzeniu środków finansowych? Ponieważ zazwyczaj projektowane są z myślą o technicznych incydentach bezpieczeństwa, które wymagają od przestępców uzyskania bezpośredniego dostępu do systemów komputerowych firmy. Standardowy zakres ochrony obejmuje więc przede wszystkim przypadki, w których doszło do przełamania technicznych zabezpieczeń – ataki ransomware czy włamania do sieci.
Kradzieże oparte na BEC działają jednak inaczej. Zazwyczaj nie wiążą się one z przełamaniem zabezpieczeń technologicznych ani nieautoryzowanym dostępem do infrastruktury IT firmy. Zamiast tego sprawcy wykorzystują czynnik ludzki – manipulację psychologiczną, zaufanie, hierarchię służbową i relacje biznesowe. To właśnie socjotechnika, a nie technologia stanowi fundament ataków BEC, co diametralnie odróżnia je od klasycznych cyberataków. Ostatecznie ubezpieczyciele mogą argumentować, że straty wynikające z BEC są konsekwencją błędu ludzkiego i braku procedur weryfikacji dyspozycji przelewów, a nie cyberataku.
Ponadto, nawet jeśli dana polisa chroni przed kradzieżami z kont bankowych, warunkiem pokrycia jest często to, aby nieautoryzowanego przelewu dokonała osoba trzecia – a nie pracownik. Co więcej, niektóre OWU wprost zawierają postanowienia wyłączające odpowiedzialność za przesyłanie środków drogą elektroniczną przez ubezpieczonego lub jego pracowników.
Podsumowanie
Zatem bez odpowiednich zapisów w OWU – klauzul (bądź tzw. endorsement w przypadku zagranicznych cyberpolis) dotyczących kradzieży z wykorzystaniem socjotechniki czy „fałszywych instrukcji” – co do zasady standardowe cyberubezpieczenia nie obejmą środków utraconych wskutek wprowadzenia pracownika w błąd.
Należy jednak podkreślić, że nawet ubezpieczenie oferujące taki zakres ochrony często zawiera liczne wyłączenia i wymaga spełnienia rygorystycznych warunków proceduralnych, aby firma mogła liczyć na wypłatę odszkodowania. Jednym z wymagań może być na przykład obowiązek potwierdzenia instrukcji i numeru konta innym kanałem komunikacji przed przelewem – co w praktyce niemal zawsze zapobiegłoby szkodzie.
Mateusz Kosiorowski
counsel, adwokat
Anna Szczęsna
aplikantka adwokacka, praktyka ubezpieczeń, Wardyński i Wspólnicy
