Nie da się wprost oszacować potencjalnych skutków finansowych zdarzenia cybernetycznego przed jego wystąpieniem, bowiem jest to wypadkowa dużej liczby czynników, jak chociażby rodzaju ataku, siły oddziaływania takiego zdarzenia na podmiot, który padł ofiarą czy potencjalnych jego skutków wobec osób trzecich.
Niemniej jednak przygotowuje się takie scenariusze w ramach prac prowadzących do zawarcia ubezpieczenia cyber, zwłaszcza na etapie ustalania sumy ubezpieczenia oraz pożądanego, w konkretnym przypadku, zakresu ochrony. I o takich scenariuszach rozmawiamy z naszymi Klientami.
Ale by nie pozostawiać czytelników z poczuciem niedosytu w tym zakresie, wyobraźmy sobie sytuację, w której dochodzi do wycieku danych osobowych w Urzędzie Miejskim, powiedzmy 2 tysięcy mieszkańców, w tym danych niejawnych jak: imiona, nazwiska, PESEL-e oraz adresy. Sytuacja wygląda następująco:
- - dane mieszkańców zostają bezprawnie upublicznione w Biuletynie Informacji Publicznej,
- - prokuratura okręgowa zaleca wszczęcie postępowania prokuraturze rejonowej,
- - naruszenie danych potwierdza Prezes Urzędu Ochrony Danych Osobowych (PUODO), który prowadzi w tej sprawie osobne postępowanie,
- - upublicznione dane dotyczą tych osób, które kierowały pisma do urzędów,
- - następnie osoby, których dane zostały ujawnione zorganizowały grupę w celu wytoczenia powództwa zbiorowego przeciwko gminie.
Jak zatem może wyglądać wysokość szkody w opisanym przypadku?
W grę wchodzić mogą następujące koszty:
- - koszt samych odszkodowań dla poszkodowanych to kwota rzędu 3 milionów zł (!), czyli 1,5 tys. zł na osobę, co jest spójne z wyrokiem Sądu Okręgowego w Warszawie z dnia 6 sierpnia 2020 roku (co ciekawe, była to pierwsza walka w sądzie cywilnym, a nie z ramienia UODO w sprawie wycieku danych osobowych),
- - koszt powiadomienia poszkodowanych to kwota rzędu 19,6 tys. zł (uwzględniając koszt listu poleconego),
- - kara administracyjna nałożona przez PUODO to kwota 100 tys. zł lub mniej drastycznie nawet 40 tys. zł,
- - pozostałe koszty, w tym: koszty informatyki śledczej, uruchomienia infolinii w celu obsługi powiadomień, koszty postępowań i obrony przez PUODO i w prokuraturze, koszty PR i ratowania wizerunku Urzędu/Gminy - to dodatkowa kwota około 350 tys. zł.
W ten sposób oszacowaliśmy szkodę cybernetyczną na kwotę blisko 3,5 mln zł (!).
Czy da się ubezpieczyć na wypadek szkód w cyberprzestrzeni?
Służy do tego dedykowane ubezpieczenie od skutków ryzyk cybernetycznych. Ale zanim kilka słów o samym produkcie, chciałabym nawiązać do aktualnej sytuacji na rynku ubezpieczeń cyber.
Obecnie znajdujemy się w fazie zmieniającego się rynku ubezpieczeń cybernetycznych na świecie i tym samym w Polsce. Aktualna sytuacja rynkowa jest głównie konsekwencją pandemii i związaną z nią przyspieszoną cyfryzacją, jak również stale rosnącą liczbą zdarzeń i szkód związanych z ryzykiem cybernetycznym z uwagi na dramatycznie rosnącą liczbę ataków hakerskich. Sytuację pogorsza niewątpliwie trwająca wojna na Ukrainie.
Ataki phishingowe czy ransomware są coraz częstsze i wyrafinowane. Nie ma podmiotów za małych ani za dużych, bez względu na lokalizację i branżę, każdy może być celem ataku.
Praktyka niestety wskazuje, iż mimo stosowania coraz lepszych procedur i zabezpieczeń, przestępcom nadal udaje się je złamać. Trzeba przy tym pamiętać, że nawet najlepszy system zabezpieczeń może okazać się bezradny wobec zagrożenia pochodzącego (uwaga) z wnętrza organizacji tj. nieświadomych działań pracowników lub, co gorsza, działających umyślnie.
Już od jakiegoś czasu wzrastają koszty związane z zarządzaniem incydentami czy też wysokość żądanych okupów. Dlatego ubezpieczyciele, którzy byli najbardziej zaangażowani w ten segment rynku ubezpieczeniowego, doskonale zdają sobie sprawę z tego, że za chwilę to ryzyko w ogóle może przestać być ubezpieczalne.
Z powyższych powodów ubezpieczyciele zaostrzają politykę oferowania ubezpieczenia cyber i bardzo ostrożnie podchodzą do oceny ryzyka:
- - coraz częściej wycofują się z ofertowania wybranych branż np. administracji publicznej (w tym między innymi samorządów czy ochrony zdrowia),
- - wprowadzają lub ograniczają/obniżają limity odpowiedzialności lub całkowicie wyłączają określone zdarzenia z ochrony ubezpieczeniowej (np. w przypadku wystąpienia ransomware, zawężanie ochrony tylko do tzw. targeted attack, a więc do celowanych w konkretnego klienta działań hakerskich),
- - podwyższają udziały własne
- - podnoszą znacząco poziom oferowanych składek,
- - wymagają bardzo szczegółowych informacji o systemach bezpieczeństwa, stosowanych procedurach.
Jak wiemy, główne zabezpieczenia stosowane przez podmioty to oprogramowanie antywirusowe oraz kopie zapasowe. Oprogramowanie antywirusowe jest konieczne, w pełnej wersji płatnej i bezwzględnie aktualizowane na bieżąco. Ale taki antywirus stanowi najczęściej ochronę przed prostymi atakami, najczęściej wirusów komputerowych, zwłaszcza ransomware.
Co jednak w sytuacji działań hakerów skierowanych na konkretny podmiot?
W takim przypadku bardzo istotne jest uświadamianie kadry pracowniczej na temat możliwych zagrożeń. Praktyka niestety pokazuje, że w takich przypadkach nie ma w 100 proc. skutecznych rozwiązań.
Zwracam uwagę, że ok. 90 proc. ataków na infrastrukturę IT zaczyna się od zwykłego maila. Tu nasuwa się od razu wniosek, że najprostszą i niewątpliwie też najskuteczniejszą metodą omijania zabezpieczeń jest wykorzystanie ludzkiej nieuwagi. Czyli znowu człowiek jako najsłabsze ogniwo systemu zabezpieczeń.
A co w przypadku, gdy już dojdzie do szkody?
W takich właśnie sytuacjach odpowiedzią jest polisa ubezpieczenia od skutków ryzyk cybernetycznych. W przypadku samorządów ważne jest to, że ubezpieczonym podmiotem może być wyłącznie konkretna jednostka podległa, a nie cały samorząd. Wynika to z faktu, że każda z jednostek może dysponować inną infrastrukturą teleinformatyczną i innym stanem zabezpieczeń.
Celem takiego ubezpieczenia jest znalezienie rozwiązań ubezpieczeniowych, pozwalających na transfer na podmiot zewnętrzny (ubezpieczyciela) ryzyka związanego m.in. z:
- - powstaniem incydentu naruszenia danych osobowych,
- - utratą dostępu do danych elektronicznych,
- - koniecznością zapłaty kary administracyjnej z tytułu naruszenia przepisów RODO, które mogą mieć istotny wpływ na prowadzoną działalność.
Pamiętajmy przy tym, że - co jest bardzo istotne - istnieją trzy filary cyberbezpieczeństwa:
- - polityka bezpieczeństwa (procedury, edukacja pracowników),
- - systemy IT (software),
- - ubezpieczenie - jako dopełnienie dwóch poprzednich filarów, (konieczne, jeśli któryś z dwóch poprzednich nie podtrzyma odpowiednio całej konstrukcji).
Jakie są najczęstsze powody, dla których firmy ubezpieczeniowe nie mają oferty dla jednostek samorządu terytorialnego w zakresie zagrożeń cyberbnetycznych?
Zasadniczym powodem jest brak zainteresowania złożeniem tego typu oferty dla samorządów, czyli tzw. brak apetytu na takie ryzyko. Inne istotne powody to:
- - stosowanie niewspieranego oprogramowania; system, który nie jest aktualizowany przez producenta staje się „dziurawy” i co się z tym wiąże podatny na ataki (w ocenie ubezpieczyciela nie przeszkodzi temu żadna ochrona antywirusowa, nawet najbardziej aktualna),
- - brak szyfrowania danych podczas transportu i przechowywania,
- - brak zastosowania dwupoziomowego uwierzytelniania.
Warto w tym kontekście dodać, że w ubiegłorocznej edycji badania „The Global Risks Report” Światowego Forum Ekonomicznego (WEF), niepowodzenie działań na rzecz cyberbezpieczeństwa znalazło się na liście 10 największych zagrożeń dla świata w 2022 roku.
Pamiętajmy, że jest to ogromne zagrożenie, stąd niezwykła dbałość o wymienione wcześniej trzy filary cyberbezpieczeństwa powinna być dla nas wszystkich priorytetem! A co ważne, wysokie standardy bezpieczeństwa IT oznaczają zarazem korzystne warunki ubezpieczenia.
Wywiad Hakerzy nie zapomnieli o samorządach. Koszty ataku mogą być ogromne ukazał się na Portalu Samorządowym 24.03.2023 do przeczytania tutaj
Wyszukaj
PL
ENG
