Cyberpolisa osłabi atak hakera


2018-10-05
Brytyjski nadzór finansowy nałożył na Tesco Bank karę finansową za zbyt opieszałą reakcję na cyberatak. Polisy od cyberryzyk zapewniają środki na szybkie podjęcie działań informacyjnych oraz zarządzenie sytuacją kryzysową. Ubezpieczeniem można również objąć ewentualność kar i grzywien.

Brytyjski nadzór finansowy (FCA) nałożył niedawno na Tesco Bank karę 16,4 mln funtów za zbyt opieszałą reakcję na cyberatak, który miał miejsce w listopadzie 2016 r. Przestępcy wykorzystali niedoskonałości konstrukcji kart debetowych banku oraz jego systemu kontroli. Skutkiem tego był wyciek 2,26 mln funtów w przeciągu 48 godzin. Choć w momencie ataku bank podjął odpowiednie działania, to jednak nastąpiły one zbyt późno. Jak zaznaczył brytyjski nadzór, bank nie dopełnił obowiązku ochrony klientów, ponieważ mimo sygnałów świadczących o nadchodzącym niebezpieczeństwie, nie zareagował zawczasu. Sytuacja ta pokazuje, że w skutecznym zwalczeniu zagrożenia równie ważna jest prewencja i podjęcie działań zaradczych, wyprzedzających atak. Pomocą w ich organizacji może okazać się ubezpieczenie od zagrożeń cybernetycznych. 

– Zakres cyberpolis może obejmować szereg działań, nie tylko odszkodowanie dla ubezpieczonej firmy za straty spowodowane przez atak hakerski i zapewnienie środków na wypłatę rekompensat dla poszkodowanych klientów. Warto pamiętać, że ubezpieczenia od ryzyk cybernetycznych mogą przewidywać także nakłady finansowe na pokrycie kosztów reakcji oraz zarządzania kryzysowego w związku z atakiem hakerskim. Ceny tych polis wynoszą obecnie od 0,5% do 2% sumy gwarancyjnej, w zależności od zakresu polisy oraz posiadanych przez firmę zabezpieczeń, stosowanych procedur bezpieczeństwa oraz poziomu udziału własnego w szkodzie – zauważą Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych. 

Co można sfinansować w ramach polisy?


Zadaniem ubezpieczeń od cyberryzyk jest m.in. kompleksowa ochrona przedsiębiorstwa przed negatywnymi skutkami ataków hakerskich oraz udzielenie przedsiębiorcy wsparcia w sytuacji kryzysowej, jaką jest naruszenie jego systemów bezpieczeństwa. Środki wypłacone przez towarzystwo ubezpieczeń służą nie tylko znalezieniu źródła ataku, usunięciu złośliwego oprogramowania oraz spowodowanych przez niego zniszczeń, ale także zapobieżeniu dalszego jego rozprzestrzeniania. Ważnym elementem polis jest możliwość pokrycia dodatkowych kosztów związanych z przezwyciężeniem kryzysu, w postaci np. akcji informacyjnej wśród klientów. Działanie to jest szczególnie istotne, jeżeli celem ataku nie tylko jest sama firma, ale też dane - czy jak w przypadku instytucji finansowej pieniądze - klientów. Uruchomienie infolinii czy organizacja masowej wysyłki stosownych wiadomości do osób potencjalnie zagrożonych może znacząco wpłynąć na skalę ataku. 

– W ramach działań informacyjnych można również przeprowadzić kampanię w mediach, które przekażą szerokiemu gronu odbiorców odpowiednie komunikaty. Niestety takie działanie, choć może wydatnie przyczynić się do ograniczenia szkód spowodowanych atakiem, może też negatywnie wpłynąć na reputację firmy. Jednak i taką ewentualność przewidzieli ubezpieczyciele. Rozszerzenie zakresu ochrony o koszty zarządzania kryzysowego może uwzględniać wynajęcie agencji public relations celem podjęcia działań służących odzyskaniu utraconego w wyniku ataku zaufania klientów. Dlatego przed zakupem ubezpieczenia warto zasięgnąć rady brokera ubezpieczeniowego, który podpowie, co powinna zawierać polisa – dodaje Łukasz Zoń. 

Środki na ewentualne kary


Jak pokazuje przykład Tesco Bank, skutkiem naruszenia bezpieczeństwa cybernetycznego firmy może być także konieczność zapłacenia kary administracyjnej. W niektórych przypadkach, po przeprowadzeniu szczegółowej analizy ryzyka i stosowanych przez klienta zabezpieczeń i procedur, ubezpieczyciele mogą zgodzić się na rozszerzenie zakresu ubezpieczenia o kary i grzywny, które mogą zostać w przyszłości nałożone na przedsiębiorcę z tytułu cyberzagrożeń. Należy jednak pamiętać, że taka dodatkowa klauzula może być obwarowana restrykcyjnymi wyłączeniami odpowiedzialności zakładu ubezpieczeń oraz wiązać się z koniecznością ustalenia wysokiego poziomu udziału własnego ubezpieczonego. Niektórzy ubezpieczyciele zastrzegają sobie na przykład, że wypłata środków nastąpi jedynie w przypadku, kiedy takie postępowanie zostanie wszczęte wobec ubezpieczonego po raz pierwszy, tzn. nie zostały na niego nałożone wcześniej kary z podobnej przyczyny.

Niezależnie od tego, standardowe warunki ubezpieczenia zazwyczaj uwzględniają jednak koszty obrony i postępowań sądowych toczących się przeciw ubezpieczonemu w związku z atakiem. 

 

Komentuje Wojciech Gołębiowski z Veronym,

firmy zapewniającej kompleksowe  cyberbezpieczeństwo dla małych i średnich podmiotów w modelu subskrypcji usługi:

 

Bank prawdopodobnie uniknąłby kary i strat, gdyby miał wysokiej jakości zabezpieczenie działające prewencyjnie przeciw aktywności hakerów. Podobny atak może przytrafić się bankom czy firmom w Polsce. O ile instytucje finansowe zazwyczaj mają zaawansowane systemy cyberochrony i działy dedykowane zapewnieniu cyberbezpieczeństwa, o tyle mniejsze firmy takiego zabezpieczenia nie mają. Łatwo, więc wyobrazić sobie, że w podobnej sytuacji średniej wielkości firma w Polsce, nie tylko straci pieniądze - w bezpośredniej konsekwencji ataku, ale dodatkowo może też na nią zostać nałożona kara - np. w oparciu o przepisy RODO, jeśli wykradzione zostaną dane klientów. Co więcej, jeśli po ataku firma nie będzie w stanie przedstawić ubezpieczycielowi dowodów potwierdzających posiadanie cyberochrony przed atakiem, może to skutkować problemami z wypłatą odszkodowania. Cyberpolisa to wartościowe narzędzie ochrony, ale nie może występować bez zabezpieczenia technologicznego chroniącego komputery i telefony przedsiębiorstwa. Wg raportu KPMG w 2017 roku 82 proc. przedsiębiorstw w Polsce zanotowało przynajmniej jeden incydent związany z niechcianą ingerencją zewnętrzną on-line.

 



Nadesłał:

brandscope

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl