W poprzednim artykule przedstawiłem inne spojrzenie na ubezpieczenia cyber i korzyści wynikające z tego niszowego produktu oraz – co za tym idzie – lepsze zrozumienie ryzyka i odpowiadającą mu ochronę ubezpieczeniową. Przełoży się to na wzrosty w sprzedaży i budowanie cyber jako gałęzi ubezpieczeń przyszłości.
Teraz poruszę kwestię bardzo podstawową i pokażę, jak różne mogą być ubezpieczenia cyber, niezależnie od tego, że traktują na pozór o tym samym. Przyjrzyjmy się więc zaledwie dwóm podstawowym terminom często używanym w odniesieniu do cyber, które mogą mieć wpływ na interpretację zakresu ochrony, nawet jeśli ubezpieczyciel nie uwzględnił ich w katalogu swoich definicji.
Zacznijmy od definicji
Dlaczego definicje? To niby banalne. Patrząc na klauzule określające zakres, wiemy, czego produkt dotyczy, ale dopiero zagłębiając się w definicje, zrozumiemy, w czym tkwi sedno cyber w kontekście danego klienta czy kazusu.
Spójrzmy na dwa powszechnie używane w rozmowach o ubezpieczeniu ryzyk cybernetycznych pojęcia, tj. na definicję danych i systemów tudzież sieci komputerowych. Na ogół ubezpieczyciele przyznają, że ochrona w cyber dotyczy m.in. odpowiedzialności za wyciek danych lub kosztów związanych z odtworzeniem utraconych danych.
Zastanówmy się jednak, co należy rozumieć przez dane i skąd mogą one wyciec lub zostać utracone. Czy rynek ma wypracowane jednolite podejście do rozumienia tych terminów i jak wiele może się zmienić, gdy zastosujemy różne dostępne rozwiązania?
Dane – czym tak naprawdę są?
To pierwsze pytanie, które powinniśmy zadać, patrząc na ubezpieczenie ryzyk cybernetycznych. Różnych podejść do definiowania danych jest co najmniej kilka. Przytoczę istotę tych definicji z pominięciem wskazania oferentów, którzy je stosują, byśmy mogli się skupić na treści samych definicji i mieć na uwadze, że nigdy nie powinno się ich interpretować pod kątem zakresu, całkowicie w oderwaniu od zakresu ochrony.
Dane możemy definiować np. w podziale na dane osobowe i dane przedsiębiorstwa (np. informacje handlowe). Na polskim rynku pojawiają się także definicje danych jako danych elektronicznych gotowych do wykorzystania przez system komputerowy. Niektórzy oferenci mówią o informacjach, faktach czy nawet samych programach w zapisie elektronicznym lub cyfrowym, ale są i tacy, którzy definicji danych w ogóle nie uwzględniają w swoich warunkach.
Mamy więc do czynienia z sytuacją, gdzie jedna z pierwszych definicji, na jakie wypadałoby spojrzeć, prezentuje cały wachlarz rozwiązań.
Zastanówmy się, czy w poszczególnych definicjach jako dane powinniśmy rozumieć arkusz papieru zadrukowany danymi osobowymi, a dokładniej rzecz ujmując nie sam arkusz, tylko to, co na nim widnieje? Taki zestaw danych nadaje się do odczytu komputerowego i stanowi jakiś zbiór danych. Niektórzy powiedzą, że owszem, są to dane, ale nie w zapisie elektronicznym (plik ze skanem omawianej kartki tak, bo w zapisie cyfrowym lub elektronicznym, ale treść na fizycznej kartce już nie). Inni staną przed pytaniem, jakiej wykładni użyć do zrozumienia tego wydawałoby się prostego bytu, jakim są dane, nie definiując ich wcale. Oczywiście to nie jedyny dylemat, z jakim możemy mieć do czynienia.
Idąc dalej, pomyślmy, czy oprogramowanie to też dane? A skoro oprogramowanie, to czy systemy komputerowe? Te są już często zdefiniowane, ale to nie znaczy, że nie mogą zmieścić się w zakresie również tej definicji. Gdyby ująć je w ramach definicji danych, pod niektórymi warunkami mogą otworzyć się nowe możliwości interpretacyjne.
Zaznaczam, że nie próbuję udowodnić, że jedne definicje są dobre, a inne złe. Możemy się spotkać z różną wagą problemu w zależności od warunków, w których definicja ma zastosowanie, a nawet od klienta i profilu jego działalności. To, na co chcę zwrócić uwagę, to fakt, iż nie możemy patrzeć na ubezpieczenia cyber, jakby pod tym terminem krył się wyryty w kamieniu niezmienny zestaw reguł i utarte rozumienie podstawowych terminów.
Czym jest system komputerowy?
Kolejna ważna definicja dotyczy systemów lub sieci komputerowych. Tu rozumienie może być różne nawet w ramach jednych o.w.u., w zależności od tego, czy mówimy o zakresie ochrony first party czy ubezpieczeniu odpowiedzialności. Jest to istotne o tyle, że w pierwszym przypadku mówimy o systemach, które mamy potencjalnie naprawiać, a w drugim o takich, z których dane mogą wyciec lub które mogą być w nieautoryzowany sposób wykorzystane.
W rozumieniu tego terminu możemy napotkać szerokie ujęcie uwzględniające oprogramowanie, sieci, sprzęt komputerowy ubezpieczonego, a ponadto także te same elementy w odniesieniu do dostawców usług IT ubezpieczonego.
W najszerszym ujęciu, spotykanym raczej w warunkach zagranicznych, w zakresie tej definicji znajdziemy również dostawców nietechnologicznych (ubezpieczenie BI w kontekście awarii systemów w łańcuchu dostaw).
Podczas zgłębiania tych kwestii polecam zastanowić się, czy omawiane systemy muszą być własnością ubezpieczonego, czy może mogą być jedynie licencjonowane, czy też ubezpieczony musi sprawować nad nimi kontrolę. Ten ostatni aspekt będzie szczególnie istotny przy korzystaniu z infrastruktury chmury obliczeniowej w modelach IaaS oraz PaaS.
Należy także zwrócić uwagę na rozróżnienie pomiędzy systemem a siecią komputerową i podejście mniej lub bardziej wskazujące na objęcie materialnych elementów takiego systemu w kontekście sieci komputerowych lub systemów komputerowych.
Na ogół materialne uszkodzenie sprzętu w rozumieniu hardware nie będzie objęte ochroną (z wyjątkiem ochrony udzielanej światowo w ramach tzw. bricking cover,tj. wtedy, gdy ekonomicznie uzasadnione jest zapewnienie nowego sprzętu ubezpieczonemu wraz z nowymi systemami i odtworzeniem danych, zamiast próby dążenia do tego samego efektu na dotychczasowym sprzęcie).
Ale po co nam ta szczegółowa wiedza?
Zrozumienie braku jednolitego podejścia rynku ubezpieczeniowego do pewnych pojęć ma znaczenie w przygotowaniu rozmowy czy potencjalnych case studies dla klienta. Osobami, z którymi będziemy u klienta rozmawiać na temat cyber, często będą specjaliści z zakresu bezpieczeństwa IT lub administratorzy systemów, którzy prawdopodobnie mają swoje rozumienie tego, czym są dane lub systemy komputerowe. Mówiąc przykładowemu CTO o kosztach odtworzenia danych, możemy zetknąć się z jego rozumieniem lub porównaniem pojęć z warunków ze znanymi mu do tej pory.
Mówiąc o szerokim zakresie ochrony ubezpieczeniowej, możemy napotkać zupełnie inny katalog pojęciowy, niż byśmy chcieli. To pokazuje, jak istotne jest odpowiednie operowanie pojęciami i świadomość tego, jak bardzo mogą być one różne w kontekście ochrony udzielanej klientowi.
Jakie ma to znaczenie?
Biorąc pod uwagę mnogość stosowanych na rynku definicji w odniesieniu do podstawowych terminów, możemy stwierdzić, iż bardzo trudne może być udzielenie zwięzłej odpowiedzi na pytanie: „czy scenariusz X, o którym było głośno, będzie objęty ochroną?”.
W mojej ocenie nie powinniśmy poszukiwać ogólnych i generalnych deklaracji. Poprawna odpowiedź na to pytanie w niemal każdym przypadku powinna być jedna: „to zależy” lub „w pewnym zakresie może być, ale nie musi”.
Patrząc na przykłady tylko tych dwóch definicji, widzimy, że w zależności od o.w.u. musimy sprawdzić nie tylko, kto w danym kazusie ma figurować jako ubezpieczony, ale także co to są dane i skąd mogą być wykradzione lub utracone. Dopiero wtedy będziemy mogli ustalić, czy i w jakim zakresie odpowiedzialność za ich utratę lub wyciek jest objęta ochroną lub o jakich kosztach odtworzenia możemy mówić.
No właśnie – odtworzenia w rozumieniu odzyskania kontroli lub dostępu, ponownego wprowadzenia do systemu czy może także zebrania lub rekreacji danych czy oprogramowania od zera? Odpowiedź na to pytanie to temat na oddzielną dyskusję.
Bartłomiej Lewandowski
prawnik, underwriter, broker – specjalista w zakresie ubezpieczeń cyber oraz Tech PI
