Ubezpieczenia od ryzyk cybernetycznych to grupa produktowa z kilkunastoletnią historią. W Polsce pierwsze oferty na ubezpieczenia cyber pojawiły się dużo później i pochodziły bezpośrednio z rynku londyńskiego.
Findia, podmiot, którym zarządzam, zaczęła dystrybuować ubezpieczenia cyber w połowie 2018 r. Nasze pierwsze doświadczenia pokazały, że wszyscy chcieli ubezpieczenia cyber sprzedawać, problem polegał na tym, że prawie nikt nie chciał ich kupować.
Sytuacja zaczęła się zmieniać w 2019 r. Wzrost liczby incydentów cyber w USA i Europie Zachodniej spowodował, że podmioty międzynarodowe zaczęły oczekiwać od polskich partnerów przedstawiania polis cyber lub PI i cyber w przypadku firm IT.
Na ubezpieczenia cyber zaczęły otwierać się również podmioty publiczne, głównie za sprawą obawy o odpowiedzialność urzędniczą za dane osobowe.
Bezpieczeństwo, wycena, atak
Popytowi na ubezpieczenia cyber sprzyjały niskie wymogi dotyczące oceny ryzyka ze strony ubezpieczycieli, niski poziom cen oraz rosnąca liczba graczy chcących budować portfele oparte na tej linii produktowej. Dochodziło do sytuacji, w której duży urząd gminy, przy zwykle bardzo niskim poziomie bezpieczeństwa IT, otrzymywał ofertę ubezpieczenia cyber w pełnym zakresie za np. 5 tys. zł.
Underwriterzy „ze świata” kręcili głowami, gdyż u nich takie ryzyka wyceniane były10–15-krotnie więcej. Czy lokalni underwriterzy potrafili rzetelnie ocenić ryzyka cyber w takiej gminie?
Pandemia i przeniesienie wielu aktywności biznesowych online przyniosło niespotykaną dotąd skalę ataków cyber na infrastruktury firm. Cały czas największym zagrożeniem jest ransomware, czyli ataki za pomocą złośliwego oprogramowania połączone z żądaniem okupów za pomoc w przywróceniu działania systemów firm oraz nieujawniania wykradzionych danych. Dodatkowo pojawiły się nowe zagrożenia, jednym z kluczowych są ataki cyber na tzw. łańcuch dostaw.
Przykład amerykańskiej firmy Solarwinds, dystrybuującej oprogramowanie do zarządzania infrastrukturą IT, uzmysłowił skalę zagrożenia. Poprzez wykorzystanie infrastruktury jednej firmy IT hakerzy uzyskali dostęp do tysięcy firm z całego świata, w tym prawdopodobnie do takich jak Microsoft. Przypuszczalnym następstwem tego zdarzenia były globalne ataki z początku 2021 r. na firmy używające oprogramowania Microsoft Exchange. Ta fala ataków przyniosła olbrzymie straty tysiącom głównie dużych firm, co z kolei odczuli bardzo mocno ubezpieczyciele cyber.
Jaki to miało wpływ na polskich klientów? Bezpośrednio niewielki. Ataki na Solarwinds i Microsoft odczuły głównie duże globalne firmy, tylko w niektórych przypadkach ich spółki córki w Polsce.
Decyzje underwriterów
Jak na nową skalę zagrożeń i strat zareagowali ubezpieczyciele europejscy i jak to się przełożyło na polski rynek? Część z nich ograniczyła ofertowanie cyber, część ograniczyła zakres ochrony przy równoczesnym mocnym wzroście cen.
Należy pamiętać, że decyzyjność w zakresie większych ryzyk cyber jest w dużym stopniu poza Polską. Decyzję o akceptacji ryzyk i ich wycenach podejmują underwriterzy z Londynu czy też Paryża, uwzględniając przebiegi szkodowe z rynków USA i Europy. Rynki Europy Środkowej ponoszą niestety konsekwencje globalnej sytuacji w ubezpieczeniach cyber.
Jednocześnie underwriterzy cyber postawili na bardziej szczegółową ocenę ryzyka, podnosząc wymagania, które muszą spełnić firmy, aby uzyskać ofertę ubezpieczenia.
Wymagania te dostosowane są bardziej do standardów bezpieczeństwa IT krajów Europy Zachodniej, dlatego wiele polskich firm stoi teraz przed wyzwaniem spełnienia wymogów ubezpieczycieli.
Co ciekawe, pojawiły się pierwsze przykłady współpracy ubezpieczycieli cyber z firmami technologicznymi. Współpraca ma na celu oszacowanie bezpieczeństwa IT firm przed zawarciem umowy ubezpieczenia. Wszystkie te działania mają na celu poprawę bezpieczeństwa portfeli cyberubezpieczycieli poprzez bardziej precyzyjną selekcję ryzyka.
Niestety, powyższe działania przekładają się również na dłuższy proces decyzyjny oraz znaczącą liczbę odmów ochrony. Praca zdalna w pandemii i dyspozycyjność underwriterów jest dodatkowym czynnikiem nieułatwiającym pracy pośrednikom i klientom.
Podsumowując, pośrednikom specjalizującym się w cyber łatwo nie jest, mimo to ubezpieczenia te wciąż pozostają jedną z najbardziej przyszłościowych i rozwojowych linii biznesowych.
W kolejnym artykule postaram się odpowiedzieć na pytanie, jakich zmian w ubezpieczeniach cyber możemy się spodziewać w najbliższej przyszłości i jak do tych zmian mogą przygotować się pośrednicy.
Tomasz Gaj
prezes zarządu Findia
Findia jest coverholderem Lloyd’s, działającym na rynku od 2018 r., specjalizującym się w ubezpieczeniach technologicznych. Oferuje ubezpieczenia cyber oraz PI i cyber dla podmiotów IT na sześciu rynkach Europy Środkowej.
