Światowa pandemia Covid-19 spowodowała wzrost znaczenia internetu oraz zdalnej komunikacji w funkcjonowaniu przedsiębiorstw, niezależnie od ich rozmiaru, formy prawnej czy branży, zmuszając pracodawców do zorganizowania pracy zdalnej. Niestety do dziś ustawodawca nie dostosował przepisów do aktualnej sytuacji i nie zapewnił rozwiązań i mechanizmów prawnych w tym zakresie.
Wdrożenie pracy zdalnej nie tylko było i jest wyzwaniem logistycznym, ale także znacznie podwyższyło ryzyko utraty danych wrażliwych i wypłynięcia tajemnic przedsiębiorstwa, m.in. na skutek niemożności zapewnienia skutecznej ich ochrony w ramach odpowiednio zabezpieczonych sieci komputerowych. W przypadku zdalnej pracy dane te mogą być również dostępne dla osób niepowołanych.
Naturalna i konieczna ewolucja rynku
O ile przed pandemią można było określić posiadanie polisy od ryzyk cybernetycznych jako zalecane dla pełnego bezpieczeństwa prowadzonej działalności, obecnie uzupełnienie standardowych ubezpieczeń (w tym w szczególności OC przedsiębiorcy) o polisę cyberrisk wydaje się kluczowe. Niestety analiza produktów dostępnych na polskim rynku, w szczególności w porównaniu z zakresem ochrony przyznawanym w innych krajach, prowadzi do wniosku, że nadal ubezpieczyciele nie dostosowują swojej oferty do rzeczywistych potrzeb przedsiębiorców.
Zadaniem produktów ubezpieczeniowych dla działalności gospodarczych jest zabezpieczenie interesów podmiotów na wypadek wystąpienia przeróżnych zdarzeń i ryzyk, a ich spektrum stale się poszerza. Ze swej natury, ale też ze względu na ich przeznaczenie i kluczową rolę w obrocie gospodarczym, ubezpieczenia powinny zawsze ewoluować wraz z rozwojem działalności gospodarczych. A zatem polisy ubezpieczeniowe powinny być opracowywane w taki sposób, aby udzielana ochrona ubezpieczeniowa w każdym momencie odpowiadała ryzykom spotykanym na rynku. Właściwie od początku istnienia rynku ubezpieczeniowego na przestrzeni lat obserwujemy jego naturalną ewolucję wraz ze zmianami zachodzącymi na świecie.
Przykładem może być choćby wzrost znaczenia określonych rodzajów ubezpieczeń w ostatnich latach, np. obejmujących potencjalne straty przedsiębiorców wynikające z coraz gwałtowniejszych zmian klimatycznych, które niosą ze sobą znaczne ryzyka, mimo że wcześniej były to zjawiska występujące sporadycznie. Jednak nowe i gwałtowne zjawiska to nie tylko zjawiska atmosferyczne.
Wraz z postępem technologicznym, popularyzacją internetu, rozwojem nowych technologii, cyfryzacją wszelkich transakcji i operacji przedsiębiorcy, chcąc prowadzić działalność w warunkach jak najbezpieczniejszych, coraz częściej dostrzegają konieczność ubezpieczenia się od skutków tzw. ryzyk cybernetycznych. Odpowiedzią na tę potrzebę jest cały wachlarz ubezpieczeń, popularnie zwanych ubezpieczeniami cyberrisk. W ostatnich dwóch latach zyskały one na znaczeniu w sposób szczególny, a przyczyniła się do tego popularyzacja pracy zdalnej, która, choć wygodna dla większości pracowników, rodzi pewne zagrożenia dla przedsiębiorców.
Ryzyko cybernetyczne, czyli właściwie co?
W ostatnim czasie nie ma tygodnia, abyśmy nie słyszeli o internetowych oszustwach, atakach hakerskich czy wręcz elementach cybernetycznej wojny. Na skutek postępu technologicznego i coraz powszechniejszego wykorzystania jego zdobyczy w biznesie znacznie wzrosły chociażby ryzyka związane z przechowywaniem, zbieraniem, przetwarzaniem i utratą danych. Know-how przedsiębiorstwa, technologie, zastrzeżone dane, prawa autorskie, często stanowiące o istnieniu i konkurowaniu przedsiębiorców na rynku… to wszystko dość łatwo może trafić do osób nieuprawnionych. Paradoksalnie to, co tak bardzo usprawnia prowadzenie działalności, bywa jednocześnie furtką dla przeróżnych przestępców cybernetycznych. Nie dziwi zatem, że popyt na tego typu produkty ubezpieczeniowe rośnie.
Dodatkowo na wzrost znaczenia ubezpieczeń pokrywających obszar cyberrisk wpływają zmiany ustawodawcze w obszarze ochrony danych osobowych i wprowadzanie nowych sankcji dla podmiotów przetwarzających dane na podstawie rozporządzenia RODO.
Bezpieczeństwo w cyberprzestrzeni składa się z wielu elementów, jak np. odpowiednia infrastruktura informatyczna czy przeszkolenie pracowników, ale jednym z nich jest z pewnością właśnie prawidłowe ubezpieczenie od cyberryzyk.
Skutki naruszenia przestrzeni cybernetycznej bywają różne, w zależności od tego, z jakiego rodzaju zdarzeniem mamy do czynienia. Może być to kradzież własności intelektualnej lub wrażliwych komercyjnie danych, stanowiących czynnik przewagi konkurencyjnej przedsiębiorstwa. Z całą pewnością wszelkiego rodzaju bazy danych, czy to zawierające dane osobowe, czy też sprzedażowe lub strategiczne dla przedsiębiorstw, są obecnie celem zarówno ataków hakerów, jak i nieuczciwych konkurentów, którzy za pomocą „podkupywania pracowników” mogą starać się przejąć dane wrażliwe. Może też dojść do sytuacji stopniowego wykradania danych zawartych na firmowym sprzęcie lub magazynowania go przez pracowników i użycia w stosownym momencie.
Poza ryzykami związanymi z utratą danych, ich wyciekiem do konkurencji, ujawnieniem w sieci itp. istnieje też zasadnicze ryzyko utraty reputacji po takich działaniach. Taka szkoda jest trudna do oszacowania ze względu na jej niematerialny charakter, jednak może mieć często zasadnicze znaczenie dla przyszłości danej firmy.
Najważniejsze elementy ochrony cyberrisk
Przy doborze ubezpieczenia od ryzyk cybernetycznych należy bardzo dokładnie określić, co ma być jego przedmiotem i czy definiowane polisą oraz o.w.u. pojęcia zdarzenia ubezpieczeniowego, przedmiotu ubezpieczenia oraz wyłączenia odpowiedzialności ubezpieczyciela odpowiadają na potrzeby danego przedsiębiorstwa.
W celu utrzymania ciągłości prowadzenia działalności przedsiębiorcy zmuszeni są do organizowania pracy w formie zdalnej. Pracę tę pracownicy wykonują z domu, na sprzęcie udostępnionym przez pracodawcę lub też wykorzystując sprzęt własny. Niezależnie od modelu pracy, dane pracodawcy mogą zostać z łatwością utracone.
Co do zasady zakres ubezpieczenia cyber obejmuje trzy podstawowe kategorie zdarzeń, składające się na ryzyka z grupy cyber. Są nimi: odpowiedzialność cywilna przedsiębiorcy, ubezpieczenia kosztów ochrony prawnej i ryzyka finansowe wynikające z przerwy w działalności ubezpieczonego. Oczywiście te trzy podstawowe zakresy ochrony nie muszą być jedynymi, jednak ze względu na dobrowolny charakter ubezpieczenia winny być bardzo szczegółowo ustalane przy zawieraniu umowy.
Bardzo istotnym aspektem przy analizie produktów ubezpieczeniowych jest też stosowany tzw. trigger, czyli czynnik czasowy decydujący o ochronie ubezpieczeniowej. Kwestia ta jest tak istotna właśnie przy ubezpieczeniach z grupy cyber dlatego, że niezwykle trudno jest dokładnie określić moment wyrządzenia szkody. Częściej widoczne są skutki naruszenia niż ich przyczyna, którą niejednokrotnie poznajemy dopiero na skutek długotrwałego dochodzenia za pomocą wyspecjalizowanych służb. Ochrona ubezpieczeniowa nie musi jednak obejmować jedynie zdarzeń, które wystąpiły w czasie jej trwania, odpowiedzialność ubezpieczyciela dotyczyć może zdarzeń zgłoszonych w czasie obowiązywania ubezpieczenia.
Wyłączenia – czy są dostosowane do realnych potrzeb rynku?
Rynek ubezpieczeniowy nie może oferować bezwzględnie obowiązujących ubezpieczeń i dlatego zawiera w swych produktach wiele wyłączeń odpowiedzialności ubezpieczeniowej. Można zadać sobie pytanie, czy takie wyłączenia są dostosowane do potrzeb rynku, i tu z pewnością znajdziemy głosy za i przeciw. Pewne jest jedno – aby skorzystać z ochrony ubezpieczeniowej cyber, przedsiębiorca sam musi mieć świadomość tego ubezpieczenia i chronić dane.
W przypadku utraty danych polisy często nie pokrywają np. kar nakładanych na przedsiębiorcę przez uprawnione organy ani nie zwracają kosztów odtworzenia danych lub oprogramowania. Dodatkowo częstym wyłączeniem jest utracony zysk, straty poniesione w związku z opóźnieniem, brakiem wydajności, utratą rynku.
W kontekście standardów zabezpieczania danych w przypadku pracy zdalnej warto również zwrócić uwagę, że część o.w.u. polis cyberrisk nie obejmuje szkód wynikłych z umyślnego działania lub rażącego niedbalstwa reprezentantów ubezpieczonego. Ochroną mogą również nie zostać objęte zaniechania w zakresie ochrony danych elektronicznych lub świadome naruszenia przepisów w tej kwestii. Jeżeli więc przedsiębiorca świadomie nie dopełnia obowiązków nałożonych ustawami, w tym przepisami RODO, może nie móc skorzystać z zawartego ubezpieczenia.
Rozważając kwestie ubezpieczenia cyber w ramach działalności prowadzonego przedsiębiorstwa, konieczne jest zrozumienie, iż ze względu na specyfikę tych zagrożeń inne produkty ubezpieczeniowe stosowane powszechnie i przyjęte w świadomości przedsiębiorców jako konieczne dla sprawnego i bezpiecznego prowadzenia działalności gospodarczej, takie jak ubezpieczenie odpowiedzialności cywilnej lub ubezpieczenie mienia, nie są wystarczające.
Zakres kształtowanej w przedsiębiorstwie polityki bezpieczeństwa w zakresie zapobiegania ryzykom cybernetycznym będzie więc niejako wypadkową wiedzy i techniki informatycznej, znajomości własnego przedsiębiorstwa, planowania jego działalności w czasach jakże popularnej pracy zdalnej (która nie musi skończyć się wraz z końcem lub zmniejszeniem wpływu pandemii na nasze życie) oraz technik ubezpieczeniowych.
mec. Marta Olczak-Klimek
