Historia rzekomego wycieku 25 milionów rekordów danych klientów Empiku to ciekawy przykład nowoczesnego zagrożenia w cyberprzestrzeni. Choć ostatecznie okazało się, że wyciek był mistyfikacją, która miała na celu wyłudzenie pieniędzy, przypadek ten pokazuje istotną wartość cyberubezpieczeń również w sytuacjach fałszywych alarmów. Ubezpieczenie również w takim przypadku zadziała, choć w ograniczonym zakresie i wsparcie może być też różne w zależności od ubezpieczyciela.

Jedno nie pozostawia jednak pola do wątpliwości – kiedy firma otrzymuje informacje o potencjalnym incydencie, musi działać natychmiast. W sytuacji, kiedy otrzymuje informację z zewnątrz, jak miało to miejsce w tym wypadku, pierwszym krokiem jest sprawdzenie, czy do wycieku czy naruszenia bezpieczeństwa rzeczywiście doszło. Już te działania generują określone koszty, jak zaangażowanie ekspertów IT, przygotowanie analizy bezpieczeństwa, uruchomienie komunikacji kryzysowej. W przypadku Empiku konieczne było przeprowadzenie dogłębnego dochodzenia, aby ustalić, że informacje o wycieku były fałszywe.

W związku z tym większość ubezpieczycieli oferuje ochronę aktywowaną już na etapie "uzasadnionego podejrzenia" wystąpienia cyberincydentu. Publikacja informacji o rzekomym wycieku danych z pewnością spełnia to kryterium. W takiej sytuacji firmy mogą liczyć na pokrycie kosztów zespołu reagowania kryzysowego, który przeprowadzi weryfikację autentyczności zagrożenia. Różnice w podejściu poszczególnych ubezpieczycieli pojawiają się jednak na dalszym etapie. Jak wspomniałem, standardem jest pokrycie, rekompensata wydatków poniesionych w związku z pracą specjalistów ds. informatyki śledczej. Inaczej może jednak wyglądać sprawa w przypadku komunikacji kryzysowej, czyli dodatkowych kosztów działań PR-owych.

Drugim elementem, do którego poszczególni ubezpieczyciele podchodzą w zróżnicowany sposób, są koszty doradztwa i obrony prawnej. Może dojść do sytuacji, że klienci firmy, mimo jej wyjaśnień, zechcą wystąpić z roszczeniami. Standardowo w cyberpolisach koszty obrony są uwzględnione. Teoretycznie bez znaczenia powinien być fakt, czy są one zasadne czy nie i sam fakt uruchomienia procedur prawnych powinien determinować uruchomienie środków z polisy. W praktyce może być jednak różnie. Co więcej, część towarzystw wprowadza również specjalne limity odpowiedzialności dla takich "fałszywych alarmów".

Chciałbym jeszcze podkreślić, że cyberubezpieczenie obejmuje znacznie więcej niż tylko reakcję na podejrzenie wycieku danych. Standardowa cyberpolisa działa wielopoziomowo. Obejmuje koszty usunięcia złośliwego oprogramowania, zabezpieczenia luk w systemie i przywrócenia normalnej działalności. W kontekście danych osobowych ważne jest pokrycie kosztów związanych z wypełnieniem wymogów RODO, w tym przeprowadzenia obowiązkowej akcji informacyjnej dla osób, których dane zostały narażone.

Jednak ubezpieczyciele nie oferują ochrony bez wymagań wobec firm. Przed udzieleniem ochrony przeprowadzają dokładną ocenę ryzyka, wymagają konkretnych zabezpieczeń technicznych, takich jak systemy EDR, oraz rozwiązań organizacyjnych – regularne szkolenia personelu, procedury reagowania na incydenty czy właściwe zarządzanie dostępami do systemów informatycznych. Te wymagania rosną proporcjonalnie do wzrostu liczby cyberataków na całym świecie.

Pamiętajmy, że cyberubezpieczenie stanowi ostatnią linię obrony. Gdy zawodzą techniczne zabezpieczenia i procedury bezpieczeństwa, polisa pozwala zminimalizować finansowe konsekwencje incydentu – niezależnie od tego, czy był on rzeczywisty, czy fałszywy. Dlatego powinna być nieodłącznym elementem strategii bezpieczeństwa każdej firmy, bez względu na jej wielkość czy branżę, w której działa.

Komentarz z tej wypowiedzi ukazał się w Pulsie Biznesu, do przeczytania tutaj.