W końcu września Prezes Urzędu Ochrony Danych Osobowych podał do wiadomości publicznej informację o nałożeniu rekordowo wysokiej kary administracyjnej w wysokości 2,8 miliona złotych na spółkę Morele.net za naruszenie przepisów RODO. Naruszenie miało mieć „znaczącą wagę i poważny charakter” oraz „dotyczyć dużej liczby osób”. W efekcie zarzucanych spółce uchybień wyciekły dane ponad dwóch milionów osób. Jeden z głównych zarzutów dotyczył niestosowania podwójnego uwierzytelnienia dostępu do danych – pisze Michał Molęda, wiceprezes Leadenhall Polska specjalnie dla „Gazety Ubezpieczeniowej”.
W końcu października pierwsza kara za naruszenie przepisów RODO została nałożona na instytucję publiczną. Chodzi o burmistrza Aleksandrowa Kujawskiego, a zarzuty dotyczyły przede wszystkim braku umownych podstaw do przekazania danych osobowych firmom obsługującym stronę internetową i serwery urzędu. Kara wyniosła wprawdzie tylko 40 tys. zł, ale jest to i tak 40% maksymalnej kary, jaka zgodnie z przepisami może zostać nałożona na urząd.
O problemach spowodowanych przez szkody cyber poinformowała niedawno także firma logistyczna InPost. Klienci otrzymywali SMS-y z linkiem do instalacji aplikacji mobilnej, pod którą krył się Trojan Cerberus, który mógł wyłudzać dane ofiary, nawet z danymi konta bankowego. Od kilku tygodni InPost oficjalnie ostrzega przed tym atakiem, zalecając przywrócenie ustawień fabrycznych telefonu osobom, które otworzyły zainfekowany link. Ostatecznie InPost zapowiedział, że zrezygnuje z wysyłania SMS-ów powiadamiających o przesyłkach.
Inny przykład potężnej szkody cyber z ostatnich miesięcy to konsekwencje ataku na duńskiego producenta aparatów słuchowych i urządzeń diagnostycznych, firmę William Demant. We wrześniu doszło do unieruchomienia linii produkcyjnych firmy między innymi w Polsce i Meksyku. Duńskie media podały, że przyczyną awarii było oprogramowanie szyfrujące dane. Przestój spowodowany atakiem trwał blisko miesiąc, a straty, które spowodował, szacuje się na około 380 milionów złotych, przy czym blisko 30 milionów kosztowało usunięcie zagrożenia i przywrócenie sprawności systemu, zaś 350 milionów to straty wynikające z konieczności wstrzymania produkcji.
Jak widać, szkoda cyber może przybierać różne postacie, łączy ją jednak związek z wykorzystaniem systemu informatycznego i przetwarzaniem lub dostępem do danych. Ryzyko szkód cyber dotyczy dwóch głównych obszarów – odpowiedzialności za dane oraz ryzyka przestoju.
W zakresie odpowiedzialności za dane chodzi tutaj tak o odpowiedzialność z tytułu kar administracyjnych nakładanych na podstawie przepisów RODO, jak i odpowiedzialność cywilną wobec podmiotów, których dane zostały bezprawnie ujawnione lub wykorzystane. W zakresie ryzyka przestoju oprócz kosztów związanych z samym wstrzymaniem produkcji lub sprzedaży, w grę mogą wchodzić koszty ustalenia przyczyn awarii i usunięcia zagrożeń, koszty odtworzenia danych, a także ewentualne koszty cyberwymuszeń w razie ataku hakerskiego.
Nic tak nie buduje zainteresowania ubezpieczeniami jak realne przypadki szkód. Ubezpieczenie cyber stanowi odpowiedź rynku ubezpieczeniowego na coraz częstsze i poważniejsze w konsekwencjach szkody cyber. Ubezpieczenia te kompleksowo adresują szeregiem klauzul wskazane ryzyka tj. odpowiedzialność za dane oraz przestój. Zadaniem pośrednika jest dobór adekwatnego zakresu stosowanie do skali organizacji, ilości danych, ich charakteru i sposobu wykorzystania, a także możliwych konsekwencji finansowych spowodowanych ewentualnym wyciekiem danych lub brakiem dostępu do nich lub do samego systemu informatycznego. Ubezpieczenie cyber obejmować może m.in. odpowiedzialność cywilną za naruszenie bezpieczeństwa danych, wartość nałożonych kar administracyjnych zgodnie z RODO, koszty zarządzenia incydentem informatycznym, koszty cyberwymuszeń, koszty przestoju, a także koszty cyberwyłudzeń.
Michał Molęda