Odpowiedzialność za zarządzanie organizacją w cyfrowym świecie staje się obecnie jednym z kluczowych elementów przywództwa. Transformacja technologiczna biznesu zachodzi w błyskawicznym tempie i choć jest nieunikniona, niesie ze sobą także zagrożenia.
Uzależnienie od technologii zwiększa tzw. powierzchnię ataku, lawinowo powstają nowe regulacje, a dzięki wykorzystaniu sztucznej inteligencji przeprowadzanie ataków staje się łatwiejsze niż kiedykolwiek.
Zarządzanie w cybersferze
Efektywne zarządzanie firmą w cybersferze nie oznacza dla zarządzających konieczności przekwalifikowania się na specjalistów od cyberbezpieczeństwa. Menedżerowie powinni przede wszystkim korzystać z wiedzy menedżerskiej oraz doświadczenia biznesowego i aktywnie angażować się w kształtowanie polityki cyberbezpieczeństwa czy tworzenie planów awaryjnych. Nie bez znaczenia jest uczestniczenie w ćwiczeniach i symulacjach cyberataków, regularne zapoznawanie się z portfolio cyberryzyk oraz strategiczne podejście do transferu ryzyka. W tym ostatnim aspekcie kluczową rolę odgrywają odpowiednio dobrane instrumenty ubezpieczeniowe.
Zarządzanie organizacją w cybersferze, podobnie jak zarządzanie tradycyjne, niesie ze sobą ryzyko błędów i zaniedbań – zarówno rzeczywistych, jak i domniemanych. Konsekwencje tych uchybień mogą prowadzić do strat po stronie samej organizacji, ale także do pociągnięcia zarządzających do odpowiedzialności cywilnoprawnej lub administracyjnej. Z tego powodu ubezpieczenia powinny zostać uwzględnione w całościowej strategii zarządzania ryzykiem cybernetycznym.
Ubezpieczenie D&O – polisa menedżera
Polisa D&O stanowi kluczowy instrument chroniący menedżerów przed roszczeniami zarzucającymi, że ich postawa (tj. działanie lub zaniechanie) przyczyniła się do wystąpienia incydentu cybernetycznego lub zwiększenia jego negatywnych skutków. W przeciwieństwie do niektórych innych form ubezpieczeń, jak polisy majątkowe czy OC ogólnej, zawierających wyłączenie ochrony w przypadku cyberincydentów, polisy D&O zasadniczo nie podlegają tendencji określanej jako „no more silent cyber”.
Głównym świadczeniem z tej polisy jest pokrycie kosztów obrony prawnej menedżera przed roszczeniami (spółki, akcjonariuszy czy innych osób trzecich), a w przypadku uznania zasadności roszczeń – wypłata stosownego odszkodowania. Zapewni ona także pokrycie kosztów związanych z dochodzeniami prowadzonymi przez organy regulacyjne, które są wszczynane w stosunku do menedżera, ewentualnie także zapłatę kar administracyjnych na niego nałożonych.
Istotne jest jednak zrozumienie, że polisa D&O nie służy bezpośrednio do naprawienia skutków finansowych incydentu cybernetycznego dla organizacji jako takiej. Głównym świadczeniem z tej polisy jest pokrycie kosztów obrony prawnej menedżera przed roszczeniami, a dopiero w przypadku uznania zasadności roszczeń – wypłata stosownego odszkodowania.
Zilustrujmy to przykładem. W lipcu 2024 r. na skutek błędu w aktualizacji oprogramowania firmy CrowdStrike liczne przedsiębiorstwa na całym świecie doświadczyły paraliżu operacyjnego. Należy zauważyć, że jeżeli ta awaria spowodowała wstrzymanie działalności firmy i wynikające z tego straty finansowe, ubezpieczenie D&O nie pokryje tych szkód bezpośrednio. Strata spółki może zostać zrekompensowana pośrednio przez odszkodowanie wypłacone z polisy zarządu, gdyby skutecznie udowodniono menedżerowi błędy w zarządzaniu ryzykiem cybernetycznym organizacji – w tym przypadku w grę wchodziłoby przede wszystkim ryzyko związane z usługami dostawców. Co istotne, nawet w takim przypadku odszkodowanie niekoniecznie pokryłoby pełną wartość strat, ostatecznie bezpośrednią przyczyną szkody było działanie dostawcy.
Rola ubezpieczenia cyber
Z perspektywy efektywnego zarządzania ryzykiem zarząd powinien zatem poważnie rozważyć zabezpieczenie organizacji poprzez odpowiednie ubezpieczenie cybernetyczne. Ten rodzaj polisy zapewnia pokrycie strat bezpośrednio poniesionych przez spółkę w wyniku cyberincydentu, włączając w to koszty związane z ewentualnymi odszkodowaniami dla innych podmiotów poszkodowanych wskutek zaniedbań organizacji.
Decyzja o wykupieniu polisy cyber może dostarczyć zarządowi cennych informacji o poziomie odporności organizacji na zagrożenia cybernetyczne. Sam fakt uzyskania takiego ubezpieczenia na korzystnych warunkach może świadczyć o zadowalającym poziomie zabezpieczeń, podczas gdy trudności w pozyskaniu polisy powinny stanowić sygnał alarmowy dla kadry zarządzającej.
Należy podkreślić, że posiadanie ubezpieczenia cybernetycznego może służyć jako dowód należytego zarządzania ryzykiem przez zarząd, stanowiąc tym samym dodatkową warstwę ochrony przed potencjalnymi roszczeniami.
Zarządzanie ryzykiem dostawców
Istotnym, choć często pomijanym aspektem zarządzania ryzykiem cybernetycznym jest odpowiednie zabezpieczenie relacji z dostawcami i dalszymi podwykonawcami. Dotyczy to przede wszystkim wymagania od kontrahentów posiadania odpowiednich polis ubezpieczeniowych, które zabezpieczą organizację przed skutkami błędów lub zaniedbań ze strony dostawców.
Wracając do przykładu CrowdStrike, należy zauważyć, że kwestia pokrycia przez polisę cyber kosztów przestoju i przywracania systemów w wyniku błędu dostawcy może być niejednoznaczna i zależeć od szczegółowych zapisów tej umowy ubezpieczenia, w tym ewentualnych wyłączeń dotyczących błędów programistycznych czy incydentów o charakterze rozległym.
Ponieważ w omawianym przypadku błąd leżał po stronie dostawcy oprogramowania, uzasadnione staje się wymaganie posiadania przez dostawców i podwykonawców zarówno polis odpowiedzialności zawodowej (PI), jak i polis cybernetycznych. Zadbanie o ten aspekt stanowi kolejny element prewencyjny potencjalnej odpowiedzialności zarządu i będzie świadczyć o kompleksowym podejściu do zarządzania ryzykiem w cybersferze.
Efektywne zarządzanie cyberbezpieczeństwem wymaga od kadry zarządzającej przełamania barier komunikacyjnych, aktywnego zaangażowania w politykę bezpieczeństwa oraz zrozumienia korzyści wynikających z transferu ryzyka. Kluczowe są odpowiednie instrumenty ubezpieczeniowe, w tym ubezpieczenie cybernetyczne i D&O. Ważne jest także, aby dostawcy i podwykonawcy posiadali odpowiednie polisy.
Marcin Gajkowski
dyrektor Działu Ubezpieczeń OC
Departament Underwritingu Ubezpieczeń Korporacyjnych
Marta Prokopiuk
D&O Practice Leader
