Za jakie zdarzenia cyber odpowie ubezpieczyciel?
W niniejszym cyklu chcemy zaprezentować Państwu szczegółowe omówienie zakresu ubezpieczenia cyber, jaki jest proponowany przez ubezpieczycieli na polskim rynku. Mamy nadzieję, że pomoże to Państwu przybliżyć ten produkt oraz umożliwi podjęcie decyzji o zawarciu polisy.
W pierwszej części skupimy się na sposobie definiowania przez ubezpieczycieli incydentów cybernetycznych, to znaczy – za jakie zdarzenie związane stricte z bezpieczeństwem sieci zakład ubezpieczeń będzie mógł odpowiedzieć.
Atak hakerski
Zdarzenia cybernetyczne najczęściej kojarzone są z atakami hakerskimi, które mają na celu przeniknąć do systemów zainfekowanej firmy i zablokować możliwość korzystania czy pozyskać z nich informacje. Zakłady ubezpieczeń używają różnych zwrotów mających oddać jedną z najważniejszych części składowych ochrony. Wskazywane są więc terminy: złośliwy czyn komputerowy, awaria systemu, atak na systemy IT, cyberatak. Wszystkie wskazane definicje sprowadzają się do tego, że oznaczają ingerencję w systemy wewnętrzne ubezpieczonego podmiotu. W warunkach można spotkać takie zdarzenia jak: wtargnięcie, nieautoryzowany dostęp, bezprawny dostęp, transmisję nieautoryzowanych danych. Musi więc dojść, w sposób nielegalny, nieautoryzowany, do przełamania zabezpieczeń i „wtargnięcia” do wewnętrznych systemów. Warunki ubezpieczenia wskazują, że skutkiem takiego zdarzenia może być naruszenie danych, które znajdują się w systemach ubezpieczonego podmiotu. Wymienia się tu takie działania na danych jak, na przykład: usunięcie, pobranie, zgromadzenie, zmiana, zniszczenie, zmodyfikowanie. Przy czym warto zaznaczyć, że dane oznaczają nie tylko dane osobowe, lecz także informacje handlowe (np. dotyczące kontrahentów).
Wymienia się więc dwa czynniki dotyczące zdarzenia cyber:
- Przełamanie zabezpieczeń i wtargnięcie do systemu.
- Naruszenie danych przez osobę, która uzyskała nieautoryzowany dostęp.
Za przykład może posłużyć zainfekowanie systemu poprzez wprowadzenie wirusa czy trojana, na skutek czego dochodzi do pobrania danych osobowych klientów, co może być podstawą do wnoszenia przez nich roszczeń. Drugim przykładem może być uszkodzenie/ zablokowanie całości bądź części systemów, które może doprowadzić do braku możliwości korzystania z zasobów firmy, co z kolei może spowodować przymusowy przestój w działalności.
Inne zdarzenia
Warto zaznaczyć, że zdarzenie, które może być przyczyną początku odpowiedzialności ubezpieczyciela, to nie tylko atak przeprowadzony przez osobę trzecią. Drugim czynnikiem wskazywanym w warunkach ubezpieczenia jest błąd – przy czym wyróżnia się błąd ludzki lub błąd programistyczny. Pierwszy odnosi się do błędnego wyboru używanego programu czy niewłaściwego zachowania pracownika. Z kolei błąd programistyczny rozumiany jest jako błąd przy tworzeniu programu, aplikacji lub systemu operacyjnego. Do naruszenia danych może również dojść w wyniku awarii zasilania, przepięcia lub dostarczenia energii o niewłaściwych parametrach – to także wskazywane jest w warunkach ubezpieczycieli.
Ostatnim zdarzeniem, o którym chcemy wspomnieć, jest fizyczna kradzież bądź utrata sprzętu (np. laptopa) należącego do ubezpieczonego podmiotu, w skutek czego może dojść do naruszenia danych. Jako przykład można wskazać kradzież laptopa należącego do jednego z pracowników SGGW w Warszawie (o czym pisaliśmy w tym miejscu: https://ubezpieczenia-cyber.pl/czy-uczelnie-sa-gotowe-na-ataki-cyber/). Ważne jest więc szyfrowanie danych na urządzeniach przenośnych oraz posiadanie aktualnych programów antywirusowych.
Podsumowując, istnieje kilka zdarzeń, które mogą doprowadzić do uruchomienia polisy. Mogą być związane z działaniem osób trzecich (hakerzy), jak również osób zatrudnionych w firmie (błąd pracownika, zgubienie sprzętu) czy z innych, niezależnych przyczyn (przepięcie). Koszty, które mogą wynikać ze wskazanych powyżej przypadków, omówimy w dalszych częściach cyklu.