Ocena ryzyka cyber z punktu widzenia ubezpieczyciela

Dotychczas w naszych artykułach głównie przedstawialiśmy spojrzenie na tematykę ryzyka cybernetycznego z perspektywy brokera ubezpieczeniowego. Tym razem jednak do podzielenia się ze swoimi spostrzeżeniami zaprosiliśmy drugą stronę rynku, ubezpieczyciela. Zachęcamy więc do zapoznania się z tekstem Pana Michała Balwińskiego, reprezentującego Generali TU S.A.,  które oferuje ubezpieczenie cyber w Polsce.

 

// Ocena ryzyka cyber z punktu widzenia ubezpieczyciela //

 

                W dobie cyfrowej rewolucji cyberataki stały się codziennością. Organizacje każdego szczebla mierzą się z rosnącym ryzykiem ataków cyberprzestępców, kradzieży lub wycieku danych czy zakłócenia działalności spowodowanego incydentem. Nieustająca dynamika rozwoju ryzyka cybernetycznego sprawia, że role wszystkich podmiotów uczestniczących w rynku zmieniają się, dostosowując do realiów. Zmiana ta nie omija także ubezpieczycieli.

                Ubezpieczenia cyber wciąż zyskują na popularności ze względu na fakt, że stanowią dla przedsiębiorcy ochronę na wypadek, gdy inne środki bezpieczeństwa zawiodą albo cyberprzestępcy wykorzystają podatność (techniczną lub ludzką) i pomimo zabezpieczeń uzyskają dostęp do zasobów cyfrowych firmy. Warto jednak podkreślić, że uzyskanie odpowiedniej ochrony ubezpieczeniowej wymaga dokonania uprzednio rzetelnej i adekwatnej oceny ryzyka przez zakład ubezpieczeń. To z jednej strony pozwala ubezpieczycielowi wystarczająco rozpoznać ryzyko występujące w danej organizacji, a z drugiej  daje możliwość przedstawienia oferty odnoszącej się do potrzeb przedsiębiorstwa.

Jakie narzędzia i metody są stosowane przez ubezpieczycieli do oceny ryzyka?

                W Generali podczas procesu oceny ryzyka cybernetycznego staramy się uzyskać pełen obraz zarządzania tym ryzykiem w organizacji oraz świadomości ryzyka w danej firmie, dlatego też stosujemy podejście dwuetapowe, które pozwala nam w szerszym stopniu poznać i określić ryzyko występujące w konkretnej organizacji.

                Pierwszym etapem oceny ryzyka w Generali jest tzw. pre-screening, w trakcie którego badamy podstawowe aspekty bezpieczeństwa publicznych domen internetowych firm zainteresowanych ubezpieczeniem cyber. Na te potrzeby wykorzystujemy wewnętrzną platformę, która dokonuje swoistego białego wywiadu sieciowego na publicznie dostępnych domenach organizacji i analizuje pozyskane dane pod kątem bezpieczeństwa, ostatecznie przygotowując zagregowany raport. Pre-screening ryzyka cyber sprawdza w odniesieniu do badanych domen firmy wiele czynników, w tym m.in. bezpieczeństwo aplikacji, urządzeń końcowych czy znanych podatności.

Uzyskany w wyniku badania raport przekazujemy naszym Klientom w celu weryfikacji oraz poprawy znalezionych zagrożeń wraz z przygotowanym przez nas autorskim dokumentem objaśniającym konkretne znaleziska analizy wstępnej opracowanym w języku polskim.

                Drugi etap oceny ryzyka jest oparty na analizie odpowiedzi zawartych w kwestionariuszu do oceny ryzyka.

                Kwestionariusz Generali składa się z dwóch części – ogólnej oraz szczegółowej. Część ogólna została przygotowana z myślą o każdej organizacji i  składa się z pytań, na które każda firma, niezależnie od profilu działalności jest w stanie odpowiedzieć i pokazać nam obraz swojego podejścia do zarządzania ryzykiem cyber.

Sekcje szczegółowe są wymagane w sytuacji, gdy specyfika działalności Klienta tego wymaga i odnosi się do konkretnych, bardziej skrystalizowanych i charakterystycznych elementów ryzyka.

Odniesienie informacji z pre-screeningu oraz kwestionariusza oceny ryzyka do kontekstu prawnego i faktycznego, w którym osadzona jest organizacja zainteresowana ubezpieczeniem ryzyk cybernetycznych oraz uwzględnienie ewentualnej szkodowości pozwala underwriterowi stworzyć możliwie pełny obraz ryzyka w organizacji, co ma bezpośrednie przełożenie na potencjał ofertowy.

Jakie czynniki wpływają na ocenę ryzyka cybernetycznego? Jak wygląda proces oceny ryzyka?

                W pierwszej kolejności weryfikowane są podstawowe informacje dotyczące firmy, możemy wśród nich wyróżnić:

  • rodzaj i charakter prowadzonej działalności
  • wielkość przychodów
  • strukturę geograficzną przychodów
  • strukturę grupy podmiotów oraz ewentualne cyfrowe integracje między nimi (jeżeli ubezpieczeniu podlega więcej niż jeden podmiot)
  • kwestie możliwości ubezpieczeniowych wobec podmiotów zagranicznych (o ile występują we wniosku/zapytaniu).

Powyższe informacje nie tylko mają wpływ na możliwość przedstawienia oferty czy jej kształt, ale także pozwalają określić kontekst prawno-faktyczny, w którym dana organizacja jest osadzona, co jest również istotną składową procesu oceny ryzyka przeprowadzanego przez ubezpieczyciela, jak zostało wskazane powyżej.

Na ocenę ryzyka niemały wpływ ma także wynik pre-screeningu ryzyka. W ramach przybliżonej już analizy wstępnej wraz z raportem generowany jest wynik punktowy bezpieczeństwa domeny w skali 0-100 punktów i ocenami wyrażonymi literami (A najlepsza, F najgorsza). Minimalna punktacja domeny Klienta, wobec którego możemy dalej przeprowadzać ocenę ryzyka to (ocena C) przy braku tzw. blocking issues, czyli konkretnych znalezisk pre-screeningu, które są na tyle poważne, że automatycznie doprowadzają do negatywnej oceny ryzyka.

W wypadku określenia kontekstu organizacji i pozytywnego przejścia przez analizowane domeny badania wstępnego, dalsza ocena ryzyka opiera się na odpowiedziach z kwestionariusza. Warto pamiętać, że udzielenie odpowiedzi na wszystkie pytania jest niezwykle ważne, ponieważ to właśnie ta część procesu oceny ryzyka pozwala underwriterowi poznać samą organizację i jej podejście do bezpieczeństwa cybernetycznego. Każde z pytań dotyczy konkretnych aspektów zarządzania ryzykiem w organizacji, jednakże suma odpowiedzi na nie tworzy zagregowany obraz świadomości ryzyka w danej firmie i ułatwia nam podejmowanie decyzji.

Oczywiście, w odniesieniu do kluczowych aspektów ryzyka, istnieją pewne minimalne wymagania, które organizacja powinna spełnić, aby móc uzyskać ochronę z tytułu ubezpieczenia cyber, nie są to jednak w naszej opinii wymagania wygórowane. Dla przykładu: większość ataków cybernetycznych (80-96% w zależności od przytaczanego badania) zaczyna się od użycia socjotechnik, dlatego jednym z podstawowych zabezpieczeń stosowanych w firmie powinno być uwierzytelnianie wieloskładnikowe, które zmniejsza ryzyko skutecznego użycia inżynierii społecznej. Ponadto świadoma ryzyka firma powinna posiadać co najmniej ogólną politykę bezpieczeństwa informacji, wykonywać i testować kopie zapasowe oraz stosować reguły polityki haseł w celu uniknięcia ryzyka ich złamania chociażby metodą brute-force czy metodą słownikową. Oczywiście poziom wymagań dotyczących zabezpieczeń i procedur ze strony ubezpieczyciela jest zależny od skali i charakterystyki chronionych przez nie szeroko pojętych zasobów. W wypadku stosowania linii produkcyjnych opartych o centralny komputer zarządzający nie wystarczy jedynie zabezpieczyć sieci biurowej, lecz także tę część szeroko pojętej infrastruktury komputerowej, od której zależy ciągłość działania, czyli w tym wypadku sieci przemysłowej (OT/ICS/SCADA).

Po weryfikacji wszystkich powyższych czynników jesteśmy w stanie zadecydować, czy w danym wypadku złożymy ofertę (i jeżeli tak, to z jakimi parametrami takimi jak: składka, udział własny, sublimity odpowiedzialności).

Co się dzieje po ocenieniu ryzyka i przedstawieniu oferty lub odmowy?

W Generali dokładamy wszelkich starań, aby dbać o naszych Klientów, w związku z czym złożenie przez nas oferty nie jest końcem całego procesu. Ryzyko cybernetyczne charakteryzuje się ogromną dynamiką rozwoju i zależy od wielu różnorodnych czynników, dlatego naszą misją jest zapewnienie wsparcia dla firm.

Niewątpliwie pierwszym krokiem jest przekazanie zainteresowanemu ubezpieczeniem raportu ze wstępnej analizy jego publicznych domen wraz z przewodnikiem po znaleziskach pre-screeningu. Na bazie tych informacji Klient jest w stanie zweryfikować zarówno poszczególne subdomeny, jak i adresy IP oraz nawet porty (wystawione do sieci publicznej), których zabezpieczenia mogą być poprawione w sposób zapewniający większą odporność na ryzyko cybernetyczne.

W sytuacji, gdy poziom zarządzania ryzykiem umożliwia nam przedstawienie oferty, jednak w toku analizy ryzyka Klienta zauważymy obszary wymagające dodatkowej opieki, przedstawiamy zalecenia, które mają za zadanie wskazać Klientowi pożądaną ścieżkę zarządzania ryzykiem z naszego zewnętrznego punktu widzenia. Wśród tych wytycznych najczęściej pojawiają się kwestie związane z implementacją konkretnych procedur (np. procedury reagowania na incydent cyber) lub rozwiązań opartych o dobre praktyki, jak na przykład wdrożenie uwierzytelniania wieloskładnikowego przy dostępie do krytycznych zasobów lub przez osoby pełniące krytyczne role w organizacji, takich jak chociażby administratorzy IT. Rekomendacje poprawy ryzyka przedstawiamy także Klientom, których w danej chwili nie możemy ubezpieczyć, jednak po wdrożeniu naszych zaleceń będziemy mogli przywrócić potencjał ofertowy. Uważamy, że feedback w kwestii ryzyka cyber jest ważny, a nawet odmowa złożenia przez nas oferty w danym momencie jest jedynie okolicznością przemijającą, jeżeli Klient ma wolę i możliwości pracy nad ryzykiem.

 Ostatnim ważnym punktem jest również nasza promocja zwana „Pakietem Antyphishingowym”, w ramach której zawierając polisę cyber w Generali, Ubezpieczony jest uprawniony do odebrania pakietu 10 kluczy sprzętowych Yubikey 5 NFC (FIDO/U2F). Służą one jako drugi składnik logowania (zamiast hasła SMS, czy OTP z aplikacji mobilnej) i stanowią metodę uwierzytelniania odporną na phishing dzięki zastosowanym w nim protokołom. Z jednej strony Pakiet Antyphishingowy ma na celu wskazanie naszemu Klientowi dostępnych na rynku sprawdzonych rozwiązań w odniesieniu do cybersecurity, z drugiej natomiast sam pakiet startowy jest elementem prewencyjnym dostępnym ze względu na sam fakt posiadania polisy cyber w Generali. Więcej informacji dotyczących pakietu można znaleźć tutaj: https://www.generali.pl/dla-firmy/majatek/cyberred oraz tutaj: https://mcx.pl/rozwiazanie/cyber-red/

Podsumowanie

                Ocena ryzyka cybernetycznego to złożony proces, który wymaga zaangażowania zarówno ze strony ubezpieczycieli, jak i ubezpieczonych. Ubezpieczyciele, opierając się na skrupulatnej analizie, oferują odpowiednią ochronę, dostosowaną do indywidualnych potrzeb każdego klienta.

Jednakże sama polisa ubezpieczeniowa nie wystarczy. Aby skutecznie chronić się przed cyberzagrożeniami, firmy i instytucje muszą wdrażać odpowiednie środki bezpieczeństwa i edukować swoich pracowników w zakresie cyberhigieny.

Współpraca na linii ubezpieczyciel – broker ubezpieczeniowy – ubezpieczony jest kluczowa dla budowania odporności na cyberataki. Wspólne wysiłki w tym obszarze pozwolą zminimalizować ryzyko i straty finansowe, a także zapewnić bezpieczeństwo danych i płynność działania w cyfrowej erze.

 

Pamiętajmy:

  • Cyberbezpieczeństwo to nieustanny proces, który wymaga ciągłego monitorowania i aktualizacji.
  • Inwestowanie w cyberbezpieczeństwo to inwestycja w przyszłość firmy.
  • Współpraca z doświadczonym ubezpieczycielem to kluczowy element strategii ochrony przed cyberatakami.

Michał Balwiński

Senior Underwriter

Cyber Practice Leader

Departament Underwritingu Ubezpieczeń Korporacyjnych

Generali T.U. S.A.

 

 

Udostępnij znajomym

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Możesz używać tych HTML tagów i atrybutów: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>
*
*