W ostatnich latach, a szczególnie w okresie pandemii, jesteśmy świadkami wzmożonej aktywności cyberprzestępców chcących wykorzystać zamieszanie i nieprzygotowanie firm oraz ich pracowników, wynikające z wymuszonej okolicznościami pracy zdalnej.
Konsekwencje takiego stanu rzeczy odczuwalne są nie tylko przez same przedsiębiorstwa, które m.in. narażone są na płacenie coraz to wyższych okupów, ale także przez ubezpieczycieli i reasekuratorów, posiadających w swoich portfelach produkty cyber. Obejmują one bowiem swoim zakresem nie tylko wspomnianą kwotę wymuszenia, ale co równie odczuwalne – koszty przestoju działalności i ujawnienia wykradzionych danych.
Obecnie dużo słyszy się o nadchodzących w związku z tym zmianach w obszarze ubezpieczeń chroniących interesy klienta przed negatywnymi skutkami cyberincydentów. Te skrajne, defetystyczne wizje wieszczą nawet śmierć produktu cyber, choć warto zauważyć, że od początku swojego istnienia poddawany jest on ciągłym zmianom, bo i sfera cyfrowa, której dotyczy, nieustannie ewoluuje. Dlatego zdaje się, że obecnie jesteśmy świadkami jego kolejnej znaczącej transformacji, szczególnie odczuwalnej w kontekście problemu ransomware, a nie całkowitego upadku.
Warto jednak zwrócić uwagę, że działania, jakie obserwujemy teraz po stronie ubezpieczycieli i reasekuratorów, polegające na:
- bardziej restrykcyjnej selekcji ryzyka,
- ograniczaniu limitów,
- podnoszeniu udziałów własnych,
- zaostrzaniu zapisów o.w.u. czy
- wyłączaniu płacenia wartości samego okupu,
to nie tylko konsekwencja wysokiej szkodowości i pogarszających się wyników. Stoi za tym wiele czynników – od prawnych i politycznych, przez wizerunkowe, aż po związane z niską efektywnością zapłaty samego okupu w kontekście faktycznego odstąpienia od ataku.
Mimo wszystko, jeżeli sprawdziłby się scenariusz, w którym rynek ubezpieczeń całkowicie odszedłby od oferowania ochrony w zakresie wartości okupu, ubezpieczony nie zostanie z problemem ransomware sam. Oczywiście, ubezpieczyciel nie pokryje w takiej sytuacji kwoty żądania przedstawionego przez sprawców incydentu, ale nadal wypłaci świadczenie wynikające z:
- przestoju działalności oraz związanego z nim obniżenia zysku,
- roszczeń zgłoszonych przez potencjalnych poszkodowanych, których dane zostały ujawnione,
- konieczności pokrycia kosztów odbudowy reputacji.
Co szczególnie istotne, w omawianym scenariuszu pieniądze nie zasilają konta anonimowej organizacji przestępczej, która wcale nie musi zaprzestać ataku, ale faktycznie trafiają w ręce ubezpieczonego lub poszkodowanych przez niego osób.
Dodatkowo, kluczowe jest, aby ubezpieczyciel oferował swoim klientom całodobową usługę assistance w postaci zespołu ekspertów z zakresu cyberbezpieczeństwa, którzy w jego imieniu pomogą zażegnać powstały kryzys oraz odzyskać dostęp do systemu czy danych ubezpieczonego, a przy tym nie dopuścić do ich ujawnienia.
Na koniec, warto zauważyć, że obserwowany trend wcale nie musi być rozpatrywany wyłącznie negatywnie. Zaostrzanie kryteriów, na podstawie których ubezpieczyciele i reasekuratorzy decydują się przyjmować klientów do swojego portfela, wymusi wzrost świadomości w obszarze cyberbezpieczeństwa po stronie potencjalnych ubezpieczonych. Będą oni bowiem zobowiązani do zastosowania konkretnych środków prewencyjnych, które sprawią, że sami będą lepiej chronieni i zminimalizują ryzyko przeprowadzenia skutecznego ataku.
Dlatego też warto, aby zarówno ubezpieczyciele, jak i brokerzy pomagali klientom w tym obszarze, odchodząc od modelu współpracy rozpoczynającej się tak naprawdę dopiero po zajściu szkody, na rzecz uświadamiania i należytej prewencji już na wczesnym etapie zawierania ubezpieczenia.
Marcin Amrosz
Senior Underwriter, Generali TU SA