Cyberoferta w czterech sekcjach

Oferta ubezpieczenia ERGO Hestii od cybernetycznych rodzajów ryzyka jest skierowana tylko do przedsiębiorstw z takich branż, jak produkcyjna, handlowa, e-commerce, ochrona zdrowia, edukacja, pośrednictwo finansowe.

Nasza odpowiedzialność obejmuje ataki komputerowe, które w rozumieniu ubezpieczenia cyber polegają na działaniu złośliwego oprogramowania niezależnie od jego źródła, oraz ataki hakerskie.

Złośliwe oprogramowanie to wrogie lub inwazyjne oprogramowanie lub kody, których celem jest uzyskanie dostępu do systemów komputerowych i/lub zakłócenie ich pracy. Do takich zagrożeń zaliczamy m.in. najpopularniejszy w ostatnim okresie sposób ataku typu ransomware. Z kolei atak hakerski rozumiemy jako atak przez osoby spoza firmy jak też atak z wewnątrz. W tym drugim przypadku może to być pracownik ubezpieczonego, który w sposób nieuprawniony włamał się i uzyskał dostęp do danych, do których dostępu nie miał. Zakres ubezpieczenia składa się z 4 sekcji:

Sekcja I: ochroną objęte są wszystkie dane elektroniczne przetwarzane przez klienta. Mówimy tutaj o danych osobowych, ale także bazach danych, oprogramowaniu, czy też systemach np. produkcyjnych.

Zakres sekcji 1 obejmuje ubezpieczeniem koszty:

  • Przywrócenia danych - czyli koszty związane z odzyskaniem danych utraconych na skutek ataku komputerowego z kopii zapasowej lub z uszkodzonych nośników danych,
  • Odtworzenia danych - koszty ponownego utworzenia danych od wersji elektronicznej, jeśli kopii zapasowej danych nie mieliśmy,
  • Zakupu nowego oprogramowania - ubezpieczyciel zapłaci za zakup nowego oprogramowania lub systemu produkcyjnego, które zostanie uszkodzone lub zniszczone w wyniku ataku komputerowego - może to być pojedynczy program lub licencja, ale równie dobrze cały system produkcyjny,
  • Odblokowania dostępu do danych w wyniku choćby ataku DDOS lub, jeśli będzie to możliwe, po ataku typu ransomware, gdzie zaszyfrowany może zostać dysk czy serwery.

Wykupując ubezpieczenie w tej sekcji, oferujemy poszkodowanym także wyspecjalizowany serwis w postaci informatyki śledczej.

Sekcja II: oferujemy najszerszy możliwy zakres ubezpieczenia, jaki tylko można zaoferować, w postaci otwartego katalogu kosztów. Taka usługa nie jest dostępna na rynku poza naszą ofertą. W ramach tej sekcji pokryjemy dodatkowe koszty poniesione przez ubezpieczonego po wystąpieniu ataku komputerowego, niewymienione w sekcji I. Mówimy m.in. o takich kosztach, jak:

  • Porada prawna, czyli koszty wynajęcia kancelarii prawnej, która pomoże choćby po wycieku danych lub w prowadzeniu sprawy sądowej,
  • Public relations, czyli koszty pomocy agencji, która zminimalizuje szkody reputacyjne po ataku komputerowym, jeśli taka informacja przedostanie się np. do wiadomości opinii publicznej,
  • Ubezpieczony może także wynająć infolinię lub w inny sposób przekazać swoim klientom, że ich dane wyciekły - taką notyfikację może nakazać GIODO lub po wejściu w życie RODO PUODO,
  • Koszt usług firmy IT, która na jego polecenie zajmie się poszukiwaniem sprawcy ataku - jeśli klient zdecyduje się na takie działanie.

Ponadto ubezpieczenie obejmuje takie koszty, jak:

  • Kary i grzywny, które mogą być nałożone na ubezpieczonego przez organy administracyjne,
  • Koszty okupu, np. w przypadku żądania takowego przez hakera, który w zamian za okup np. nie upubliczni wykradzionych danych,
  • Koszty, które są na tle rynku wyjątkowe - np. koszty szkody w mieniu za zakup nowego sprzętu elektronicznego. Ten koszt będzie szczególnie przydatny w przypadku ataków ran-somware, gdzie najczęściej zawiruso-wany dysk/ serwer lub inny nośnik nadaje się jedynie do utylizacji. Koszty takiego sprzętu mogą być naprawdę wysokie.

Sekcja III: w tej sekcji skupiamy się na odpowiedzialności cywilnej. Przy ubezpieczeniu cyber odpowiedzialność jest ściśle rozumiana i kojarzona z kimś lub czymś trzecim: hakerem czy malwarem. Trudno tu jednak dostrzec przewinienie naszego ubezpieczonego, jednak tego wymaga kodeks cywilny. Wiedząc, że nie ubezpieczymy hakera, czym będzie działanie/zaniechanie klienta skutkujące szkodą?

Jako ubezpieczyciel dzielimy to na sytuację, kiedy atak komputerowy będzie miał skutek na zewnątrz - czyli u osoby trzeciej, oraz kiedy skutek ujawni się u naszego ubezpieczonego, wciąż jednak dotykając szkodą osoby trzecie.

Będąc odpowiedzialnymi za bezpieczeństwo sieci, infekujemy sieć kontrahentowi - wirusujemy pliki, które traci, a jednocześnie zatrzymany zostaje proces produkcyjny. Zanim jednak osoba trzecia dowie się o tym, że to dana firma jest źródłem ataku, musi zatrudnić firmę, która wskaże jej źródło ataku i poniesie tego koszty.

Jeśli w wyniku tego ataku dojdzie u osoby trzeciej do wycieku danych osobowych, może ponieść konsekwencje postępowania przed GIODO/PUODO, a w konsekwencji kary oraz koszty notyfikacji, z którymi wróci w ramach roszczenia regresowego do naszego klienta.

Ponadto może dojść do sytuacji, kiedy to naszego ubezpieczonego dotknie skutek ataku - np. dojdzie do wycieku danych osobowych lub informacji poufnych/ biznesowych - zadośćuczynienia, straty, roszczenia licencyjne, prawa autorskie itp.

To także działania multimedialne, czyli zadośćuczynienia dla osób pokrzywdzonych przez naszą niefrasobliwość w używaniu zasobów sieciowych i umieszczanych tam treści.

Sekcja IV: została stworzona w celu zapewnienia ciągłości działania ubezpieczonego, ponieważ przestój produkcji w wyniku ataku komputerowego nie różni się od przestoju w wyniku pożaru. Dlatego ubezpieczenie w sekcji IV obejmuje utratę zysku brutto oraz zwiększone koszty działalności poniesione przez ubezpieczonego w okresie odszkodowawczym wskutek ataku komputerowego objętego zakresem ubezpieczenia w sekcji I. Klasycznie - jak w ubezpieczeniach majątkowych PD (Property Damage Insurance) + BI (Business Interruption).

Tomasz Dolała Biuro Ubezpieczeń Podmiotów Gospodarczych ERGO Hestii

Maciej Kleina Biuro Ubezpieczeń Odpowiedzialności Cywilnej ERGO Hestii.

Źródło: Gazeta Ubezpieczeniowa