Ciężka sprawa z tymi kwestionariuszami. Ileż razy rozmawialiśmy z klientami o ryzyku (nie tylko cyber), by na koniec rozmowy usłyszeć zdanie: „pan/pani prześle ofertę”, po czym następował trzask odkładanej słuchawki.
Pomijam oczywiste przyczyny tego stanu rzeczy, takie jak traktowanie pośredników ubezpieczeniowych jak domokrążców z kolejnym kompletem sztućców ze stali nierdzewnej (ciągle jeszcze się zdarza), brak czasu („panie, jest godz. 14, zadzwoń pan jutro”), myślenie magiczne („przez 40 lat nic się nie stało”). Wartość dodana oferty uzyskanej na podstawie szczątkowych danych zebranych z internetu, spisanych z dawno wygasłych polis oraz uzyskanych podczas wróżenia z fusów? W moim odczuciu mniej niż zero.
Jedną z naszych powinności jest edukacja ubezpieczeniowa, w tym także uzmysłowienie klientowi, że do przedstawienia oferty ubezpieczyciel potrzebuje danych. Im lepsza będzie ich jakość, tym lepsza będzie oferta (Tak mówi teoria. Niestety, świat ubezpieczeń nie jest doskonały i czasem więcej informacji oznacza gorszą ofertę lub jej brak).
W przypadku ubezpieczenia ryzyka cyber możemy wybrać jedną z dwóch opcji.
Opcja nr 1 – niektórzy ubezpieczyciele udostępniają własne kalkulatory, za pomocą których można samodzielnie zawrzeć umowę ubezpieczenia. Trzeba jedynie potwierdzić kilka informacji, np.: brak szkód, zapora ogniowa i program antywirusowy na każdym urządzeniu. Ale łatwość zawarcia umowy ma swoją cenę – niskie limity, wąski zakres ubezpieczenia, brak możliwości negocjacji.
Opcja nr 2 – jeśli interesuje nas wysoka suma ubezpieczenia lub branża uznawana jest za szczególnie narażoną na ryzyko cyber, będziemy musieli wypełnić stosowny formularz (online lub w wersji papierowej). Tą opcją zajmiemy się w dalszej części artykułu.
O co mogą nas spytać
Ubezpieczenie ryzyka cyber jest względnie młodą dziedziną. Nie można więc w tym przypadku mówić o standardowych formularzach. Często są one złożone i składają się z kilkudziesięciu stron. Dla firm próbujących nabyć ubezpieczenie cyber sam proces wypełniania formularza może być przez to zniechęcający. Dlatego już zawczasu warto się do tego dobrze przygotować.
- Podstawy
Ubezpieczyciele będą chcieli wiedzieć, w jakiej branży działa firma, a także ile i jakie dane przechowuje, przetwarza i przesyła. Ponadto underwriterzy będą sprawdzać, w jaki sposób zarządza się bezpieczeństwem danych i kto odpowiada za nadzorowanie spraw związanych z cyberprzestrzenią.
- Bezpieczeństwo informacji
Underwriterzy spytają, czy firma przeprowadza testy i audyt bezpieczeństwa. Ponadto ubezpieczyciele sprawdzą, czy firma stosuje zapory ogniowe, oprogramowanie antywirusowe i oprogramowanie do wykrywania włamań.
- Szkodowość
Underwriterzy przyjrzą się bacznie incydentom cyber, jeśli takowe były. Pytania mogą dotyczyć także prób naruszenia bezpieczeństwa danych, a nie tylko przypadków, które doprowadziły do strat.
- Backup danych
Wiedza o tym, w jaki sposób firma tworzy kopie zapasowe danych, pomoże ubezpieczycielom lepiej ocenić ryzyko utraty danych. Underwriterzy będą chcieli wiedzieć, czy kopie tworzone są regularnie, gdzie są przechowywane oraz czy wdrożone zostały plany odtworzenia danych po awarii.
- Zasady i procedury firmy
Dobra komunikacja jest niezwykle istotna, jeśli chodzi o zmniejszenie ryzyka cyber. Dlatego w trakcie procesu ofertowania ubezpieczyciele będą chcieli wiedzieć, jaka polityka bezpieczeństwa cybernetycznego i reagowania na incydenty obowiązuje w firmie. Ponadto padną pytania o aktualizację haseł, korzystanie z urządzeń osobistych i cofanie dostępu do sieci byłym pracownikom.
- Zgodność ze standardami prawnymi i branżowymi
Nieprzestrzeganie przepisów dotyczących cyberbezpieczeństwa może być niezwykle kosztowne. Ubezpieczyciele będą chcieli wiedzieć, jak firma radzi sobie z ich przestrzeganiem lub czy korzysta z nieaktualnego oprogramowania i sprzętu.
Im bardziej szczegółowych i konkretnych odpowiedzi może udzielić firma, tym bardziej prawdopodobne, że otrzyma dobrą ofertę ubezpieczenia.
Jak się przygotować
- Zbierz dokładne dane
Przed przystąpieniem do odpowiedzi na pytania bardzo ważne jest, aby porozmawiać z zespołem IT i dowolnymi dostawcami usług IT, z których korzystamy, aby zebrać dokładne dane. Ważne też, aby określić ilościowo dane w firmowej sieci. Przede wszystkim oszacujmy, ile danych osobowych, w tym danych pracowników, posiadamy.
- Bądź szczery
Aby uzyskać najlepszą ofertę, trzeba być uczciwym. Współpracując z ubezpieczycielem, pamiętajmy o strukturze firmy, protokołach bezpieczeństwa i historii naruszeń. Pomoże to nie tylko w zapewnieniu odpowiedniego ubezpieczenia. Podawanie nieprawdziwych danych po prostu się nie opłaca.
- Nie czekaj
Nawet jeśli firma nie podjęła odpowiednich kroków w celu zmniejszenia ryzyka cyber, przejście przez proces składania wniosku o ubezpieczenie może pomóc w identyfikacji zagrożeń. Ubezpieczyciel chętniej będzie z nami negocjował, gdy poprawimy naszą ochronę. Nawet odmowa ubezpieczenia może być pomocna w zarządzaniu cyberbezpieczeństwem w firmie.
- Zaangażuj właściwych ludzi
Proces ubiegania się o ubezpieczenie cyber może być skomplikowany i ważne, aby zapewnić sobie pomoc kluczowych osób. Przy wypełnianiu wniosku o ubezpieczenie możemy potrzebować pomocy, np. ze strony działu oceny ryzyka, specjalistów IT, działu HR, dyrektora finansowego, specjalisty ds. ochrony danych, działu marketingu lub prawnika.
Nie idź na żywioł
Proces aranżowania ubezpieczenia cyber może być szczegółowy i wyczerpujący. Jednak podjęcie odpowiednich kroków powinno zmniejszyć ryzyko naruszenia danych, zwiększyć atrakcyjność firmy w oczach ubezpieczycieli i zmniejszyć ogólne koszty ubezpieczenia. Praca nad wnioskiem ubezpieczeniowym może doprowadzić do ujawnienia luk w zabezpieczeniach firmy i wymusić podjęcie działań naprawczych.
Ubiegając się o ubezpieczenie cyber, należy dokładnie przeanalizować warunki ochrony. Pomoże w tym doświadczony pośrednik, np. broker ubezpieczeniowy.
Uwzględnienie powyższych wskazówek nie tylko przygotuje nas do procesu aranżowania polisy cyber, ale również poprawi bezpieczeństwo naszych danych już na jego początku.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland sp. z o.o.