Wiele już powiedziano na temat ubezpieczenia ryzyk cybernetycznych. Temat jest niewątpliwie chwytliwy – głośne i kosztowne incydenty czy gwałtowne zmiany zachodzące na rynku co rusz powracają na łamy prasy branżowej, sprawiając wrażenie, że cyberubezpieczenia są równie popularne jak inne rodzaje ubezpieczeń majątkowych. Jednak różnice, jakie między nimi zachodzą, są istotne.
Klienta, w przypadku polisy cyber, należy najpierw zainteresować nie ofertą konkretnego ubezpieczyciela czy wynegocjowanym programem, jak w przypadku tradycyjnych produktów, ale ubezpieczeniem jako takim. Ponadto, samo ryzyko cyber wymaga specyficznej wiedzy merytorycznej z obszaru, który jest w fazie rozwoju i wciąż dosyć mocno ewoluuje. Tym niemniej ubezpieczenia cyber jak rzadko które umożliwiają ubezpieczycielowi wyjście z roli typowego „dostawcy” polisy i stanie się partnerem w obszarze zarządzania ryzykiem.
CyberRED, czyli kompleksowo
W świat ubezpieczeń cyber Generali w Polsce weszło w połowie 2021 r., kiedy to wdrożyliśmy nasz produkt CyberRED. Jest to kompleksowe ubezpieczenie obejmujące ochroną szerokie spektrum strat, jakie dla organizacji (przede wszystkim biznesowych) może spowodować wystąpienie cyberincydentu.
Zakres obejmuje: koszty reakcji na incydent, przywrócenie dostępności, integralności i poufności danych oraz funkcjonalności systemów, utratę zysku wskutek zdarzenia cyber, koszty ochrony reputacji, cyberkradzież czy odszkodowania wynikające zarówno z naruszenia bezpieczeństwa danych, jak i sieci oraz z tytułu publikacji multimedialnych.
Najpierw o ryzyku
Ubezpieczenie ryzyk cybernetycznych powinno się traktować jako zwieńczenie kwestii zarządzania ryzykiem w organizacji. W tym aspekcie ubezpieczenia cyber wykazują duże podobieństwo do innych rodzajów ubezpieczeń, zwłaszcza mienia. Na podstawie aktualnej wiedzy technicznej można wskazać pewne minimalne standardy bezpieczeństwa, które świadomy klient powinien wdrożyć. Standardy te w większości są jednak znane stosunkowo wąskiemu gronu specjalistów i choć przebijają się do powszechnej świadomości (popularyzatorskie publikacje, szkolenia, dostęp do usług eksperckich), proces ten przebiega nierównomiernie i powoli.
Dodatkowo, wdrożenie tych rozwiązań wiąże się z koniecznością poniesienia kosztów, które niekiedy traktuje się jako zło konieczne, a nie inwestycję w bezpieczeństwo. W efekcie część organizacji, które zdecydowały się zainteresować ubezpieczeniem cyber, nie może otrzymać oferty albo otrzymuje taką, która przewiduje ograniczenia ochrony oraz zakres warunków, które pozwoliłyby na uzyskanie szerszego zakresu ochrony.
Feedback jest ważny
W Generali uważamy, że wskazane trudności wymagają partnerskiego podejścia, a jednym z jego przejawów jest praktyka wskazywania klientom tych aspektów zarządzania ryzykiem, które wymagają dodatkowej opieki lub doskonalenia po to, by wzmocnić bezpieczeństwo organizacji.
Nasze rekomendacje staramy się przedstawiać w sposób wyważony i rozsądny. Stawiamy przy tym na dialog, ponieważ pozwala on zrozumieć punkt widzenia klienta i uwarunkowania, które kształtują jego postawę wobec ryzyka. Wdrożenie uzgodnionych rozwiązań zwiększa odporność na cyberzagrożenia. Skutkiem „ubocznym” takiego podejścia, choć oczywiście istotnym z naszej perspektywy, jest uzyskanie „zdolności ubezpieczeniowej”, a więc możliwości przedstawienia oferty ubezpieczenia cyber.
Pakiet antyphishingowy
Obecnie idziemy krok do przodu i stajemy się promotorem i integratorem szeroko rozumianych rozwiązań prewencyjnych.
W niemal każdym raporcie poświęconym cyberzagrożeniom pierwotną przyczyną ok. 90% wszystkich ataków hakerskich na świecie jest phishing. Dlatego w Generali przygotowujemy pakiet antyphishingowy. W efekcie klienci, którzy nabędą naszą polisę CyberRED, otrzymają dodatkowo 10 kluczy sprzętowych YubiKey stanowiących obecnie najskuteczniejsze rozwiązanie przeciwdziałające tego rodzaju zagrożeniu.
Pakiet powstaje we współpracy z Grupą MCX – ekspertem w obszarze cybersecurity oraz firmą Yubico – współtwórcą i producentem YubiKey.
Co równie istotne, posiadacze ubezpieczenia CyberRED, poza wspomnianym próbnym pakietem kluczy, będą mogli także skorzystać z oferty poszerzenia ich liczby na atrakcyjnych warunkach, dostępnych tylko dla klientów Generali.
Opracowanie kluczy YubiKey od samego początku opierało się na idei Security by Design. W warstwie technicznej rozwiązanie wykorzystuje klucz publiczny i prywatny oraz wiele protokołów szyfrowania, w tym m.in. SmartCard, FIDO2 czy OpenPGP. Jest ono przy tym w pełni skalowalne i możliwe do integracji z ponad 800 rozwiązaniami różnych dostawców technologicznych.
Klucze są produkowane jedynie w Szwecji oraz USA, bezpośrednio przez pracowników Yubico, co również sprzyja zwiększeniu poziomu bezpieczeństwa, minimalizując ryzyko zaszycia backdoorów w samym urządzeniu.
Samo ich wykorzystanie jest natomiast banalnie proste – w sytuacji, gdy zostaniemy poproszeni o wskazanie drugiego składnika logowania, wystarczy podłączyć (komputer/laptop) lub przyłożyć (smartfon, tablet) wcześniej skonfigurowane urządzenie, ponieważ poza standardowym działaniem typu plug-in posiadają również chip NFC umożliwiający autoryzację zbliżeniową.
Klucze są wytrzymałe i wodoodporne, nie wymagają podłączenia do sieci ani dodatkowego oprogramowania do ich obsługi oraz nie posiadają terminu przydatności do użycia. Do tego nie są większe niż pendrive.
Nasza inicjatywa skierowana jest do klientów, którzy zarządzają cyberryzykiem co najmniej na poziomie zadowalającym, ale wciąż widzą potrzebę podnoszenia poziomu bezpieczeństwa. Mamy przy tym nadzieję, że promowane rozwiązanie zainspiruje także inne organizacje, które w obszarze cybersecurity mają do przejścia nieco dłuższą drogę.
Partnerskie podejście w obszarze cyber
Funkcjonowanie w cyberprzestrzeni, choć w dzisiejszych czasach powszechne i niezbędne, stanowi wciąż wyzwanie, a korzystanie z niej przypomina jazdę długą i krętą drogą usianą przeszkodami. Polisa ubezpieczenia cyber może okazać się przydatna podczas pokonywania tej drogi, a jeszcze lepiej, gdy towarzyszą jej dodatkowe rozwiązania pomagające ograniczyć ryzyko.
Jednym z filarów strategii i ambicją Generali jest bycie dla klientów partnerem na całe życie (Lifetime partner). Kierując się tą zasadą, wdrażamy partnerskie podejście także w obszarze ubezpieczeń cyber. I nie powiedzieliśmy jeszcze ostatniego słowa.
Marcin Gajkowski
dyrektor Działu Ubezpieczeń OC, Generali Polska
Michał Balwiński
lider Praktyki Cyber, Generali Polska
