Rozmawiamy z Tomaszem Gajem, prezesem firmy Findia, coverholdera Lloyd’s, zajmującego się ubezpieczeniami cyber i technologicznymi, oraz Lilianną Poradzińską, prezesem Cyber Security Center, spółki zajmującej się likwidacją szkód z ubezpieczeń cyber i technologicznych, w tym usługami reakcji na incydenty. Findia oraz CSC współpracują przy projekcie cyber. Interesuje nas, jaką wartość dla rynku ubezpieczeniowego może nieść współpraca Findia i CSC.
Podczas webinaru „Jaka szkoda” Lilianna Poradzińska prezentowała incydent cyber, który dotknął jedną z polskich spółek logistycznych.
Redakcja „Gazety Ubezpieczeniowej”: – Na czym opieracie współpracę pomiędzy Findia i CSC?
Tomasz Gaj: – Nasza współpraca opiera się na trzech filarach: produktach cyber i tech, firmowanych marką Lloyd’s, systemie IT dającym bezpieczeństwo obiegu poufnych informacji i elastyczność w ocenie ryzyka oraz likwidacji szkód w całości opartej na lokalnych podmiotach specjalistycznych. Lokalnych, a nie tylko polskich, ponieważ działamy już w siedmiu krajach Europy Środkowej.
Findia odpowiada za część ubezpieczeniową, CSC za rozwój systemu IT oraz likwidację szkód.
Jakie wyzwania rynkowe widzicie w rozwoju produktów cyber?
TG: – Kiedy ponad trzy lata temu zaczynaliśmy projekt, zdaliśmy sobie sprawę, że cała wiedza underwritingowa w obszarze cyber dostępna jest na rynku londyńskim. Sprzedaż oparta jest w całości na rozbudowanych formularzach oceny ryzyka, przesyłanych między firmami, brokerami i ubezpieczycielami w PDF-ach, sprowadzających wszystko do odpowiedzi TAK/NIE.
Jeżeli połączymy brak lokalnych kompetencji oraz dane, z których niewiele wynika, otrzymujemy słabą jakość oceny ryzyka i realne problemy z rentownością portfela. Postanowiliśmy to zmienić.
Połączyliśmy siły z CSC m.in. po to, aby korzystając z wiedzy specjalistów CSC w obszarze bezpieczeństwa IT, zbudować lokalne kompetencje w ocenie ryzyka.
Od samego początku przyjęliśmy założenie, że spotykamy się z klientami tak często, jak to tylko możliwe. Nie zaniechaliśmy bezpośrednich spotkań nawet w czasie pandemii, teraz większość z nich odbywa się po prostu online. Łącznie odbyliśmy ponad 260 bezpośrednich spotkań z klientami, reprezentującymi każdy możliwy obszar biznesu, a dzięki wsparciu specjalistów z CSC nie boimy się podchodzić do oceny ryzyka nawet najbardziej skomplikowanych tematów. Dzięki spotkaniom jesteśmy w stanie dostarczać klientom jeszcze jedną wartość: zestaw pisemnych rekomendacji zwiększających bezpieczeństwo cybernetyczne.
Bezpośrednie spotkania z klientami i pośrednikami, warsztaty praktyczne czy materiały blogowe mają jeden cel – mają służyć wymianie wiedzy i edukować wszystkich uczestników rynku.
Jakie są wnioski ze wspólnych spotkań z klientami i pośrednikami?
TG: – Trzeba po prostu wiedzieć, kogo i o co pytać. Czasami wystarczy odebranie od klienta potwierdzenia spełnienia kryteriów bezpieczeństwa w postaci oświadczeń, czasami rzeczywiście wystarczy wypełnienie formularza oceny ryzyka. Są jednak firmy i sytuacje, dla których bezpośrednie spotkanie z klientem i wspólnie przeprowadzona ocena ryzyka są jedynym właściwym sposobem.
Dzięki systemowi IT Findia ma możliwość elastycznego podejścia do różnych grup klientów, a nawet dostosowania formularza do konkretnego przypadku. Powtórzę jednak: kluczem jest to, kogo i o co pytać – trzeba rozumieć biznes klienta i być partnerem merytorycznym dla specjalistów IT, inaczej po prostu nie potraktują oceny ryzyka poważnie.
Czy wiecie, w ilu przypadkach na 260 wypełnionych formularzy oceny ryzyka formularz wypełniony przez klienta przed spotkaniem zmienił się w trakcie? Otóż w 100%, 260 razy. Zmiany często dotyczyły kluczowych obszarów, takich jak dostępy zdalne do infrastruktury, kopie zapasowe, szyfrowanie danych, zarządzanie uprawnieniami itd.
Łatwo jest sobie wyobrazić, na jakie ryzyko narażają się obydwie strony umowy ubezpieczeniowej w przypadku błędnie lub niepełnie wypełnionego formularza. Dlatego tak mocno wierzymy w indywidualną ocenę ryzyka opartą na rozmowie, podejście w dzisiejszych czasach może niemodne i kosztochłonne, ale dla nas niezwykle istotne.
Porozmawiajmy teraz o samej likwidacji szkód. Czym wyróżnia się oferta CSC?
Lilianna Poradzińska: – Na początku warto zaznaczyć, że likwidacja szkód jest tak efektywna jak rzetelnie przeprowadzona ocena ryzyka oraz świadomość klienta, jak reagować na potencjalne zdarzenia bezpieczeństwa.
Jednym z wyróżników oferty cyber Findia jest fakt, że większym klientom, którzy zakupią ubezpieczenie cyber lub tech, oferujemy bezpłatne warsztaty z reakcji na incydenty cyber. W trakcie takich warsztatów specjaliści CSC, w tym breach manager (osoba odpowiedzialna po stronie CSC za zarządzanie incydentem) wypracowują sposób reakcji na ewentualne zdarzenie, potwierdzają zasoby, sposoby komunikacji, omawiają najbardziej krytyczne ryzyka. Często takie warsztaty są pierwszym krokiem w firmach do przygotowania pisemnych planów reakcji na incydenty cyber.
Nasza likwidacja oparta jest na całodobowych, polskich call centers obsługiwanych przez osoby z doświadczeniem technicznym, całością zarządza lokalny breach manager, osoba z wieloletnim doświadczeniem w IT i security. Call center zbudowane jest na lokalnej infrastrukturze teleinformatycznej zapewniającej bezpieczny, szyfrowany obieg komunikacji. Nie muszę chyba dodawać, jak krytyczne jest to zagadnienie przy obsłudze incydentów cyber.
Mogę się pochwalić, że Findia i CSC są w gronie założycieli pierwszego w Polsce klastra zrzeszającego firmy zajmujące się usługami bezpieczeństwa #CyberMadeInPoland.
Współpracujemy z wybranymi firmami z klastra przy obsłudze incydentów, a lista podmiotów współpracujących stale się powiększa.