Eine Nahaufnahme eines Klemmbretts mit einem Formular zur Cyber-Versicherung, umgeben von Büroartikeln

IT Security | System Administration

Cyberpolisa: Bądź mądry przed szkodą!

30. maja 2022, Avatar of Peter MeiversPeter Meivers

Wizyta agenta ubezpieczeniowego, zaraz po sprzedawcy odkurzaczy, była niegdyś jedną z tych najmniej lubianych. Czasy się zmieniły i obecnie sami musimy zadbać o znalezienie najlepszej dla nas oferty. Oprócz podstawowego ubezpieczenia, firmy powinny również pomyśleć o polisie od ryzyk cyfrowych, która powinna być nieodłącznym elementem każdej strategii zarządzania ryzykiem. Jednak jak wybrać tę najwłaściwszą?

Osoby odpowiedzialne za bezpieczeństwo organizacji wyróżniają dwa rodzaje firm: Te, które zostały już zaatakowane przez cyberprzestępców oraz te, którym udało się tego uniknąć. Według stowarzyszenia branżowego Bitkom, w ostatnich dwóch latach 9 na 10 firm zostało dotkniętych atakami cybernetycznymi. Głównymi metodami przestępców były wymuszenia polegające na uszkodzeniu systemów informatycznych i produkcyjnych oraz zakłóceniu procesów operacyjnych. Bikom szacuje, że wynikające z tego szkody dla niemieckiej gospodarki każdego roku wynoszą około 223 miliardy euro, czyli dwa razy więcej niż w poprzednich latach. Kto musi za to zapłacić? Oczywiście poszkodowani!

Firmy mogą jednak zawczasu zabezpieczyć się przed nadchodzącymi zagrożeniami, podejmując działania na kilku poziomach. Mogą poprawić swoje zabezpieczenia i zwiększyć ogólną odporność na ataki cybernetyczne oraz naruszanie danych i infrastruktury. Mogą też ograniczyć ryzyko związane z odpowiedzialnością na poziomie organizacyjnym, wykupując odpowiednie ubezpieczenie od ryzyk cyfrowych. Ale która polisa jest odpowiednia? Jak wybrać tę najlepszą i co należy zrobić przed jej zawarciem?

Co obejmuje ubezpieczenie od ryzyk cyfrowych?

Ubezpieczenie od cyberprzestępczości różni się od ubezpieczenia od odpowiedzialności zawodowej w branży informatycznej. To drugie pokrywa roszczenia z tytułu wyrządzonych szkód, jak i niepełnego wykonania umowy (dostarczenia produktu o ograniczonej funkcjonalności, świadczenia usług w ograniczonym zakresie, itp.). Z kolei cyberpolisa pokrywa straty, które powstały w wyniku działań osób trzecich. Pod względem formalnym są to naruszenia bezpieczeństwa informacji, do których dochodzi, gdy zostaje naruszona poufność, integralność lub dostępność danych elektronicznych. Istotnym celem ochrony jest również autentyczność, czyli unikalna tożsamość użytkowników. W praktyce jednak ubezpieczenie od ryzyk cyfrowych jest często połączeniem ubezpieczenia od odpowiedzialności cywilnej, ubezpieczenia od przerw w działalności i ubezpieczenia danych od szkód wyrządzonych osobom trzecim i szkód własnych w postaci strat finansowych.

Szkody te mają wpływ nie tylko na całą gospodarkę, ale mogą także zagrozić istnieniu poszczególnych firm. Wiążą się one nie tylko ze spadkiem sprzedaży, ale także z utratą pracy, kosztami odtworzenia infrastruktury informatycznej i odzyskania danych klientów. Do tego dochodzą działania i koszty następcze, takie jak koszty zarządzania kryzysowego oraz trudne do oszacowania straty wynikające z utraty reputacji. Ubezpieczenie od ryzyk cyfrowych powinno być zatem traktowane jako ważny element szerszego zarządzania ryzykiem w firmie.

Jak znaleźć odpowiednie ubezpieczenie cyfrowe?

Aby zapewnić wytyczne dla obu stron zamierzonego stosunku umownego, Niemieckie Towarzystwo Ubezpieczeniowe (GDV) opracowało w 2017 roku "Ogólne warunki ubezpieczenia od ryzyka cybernetycznego" oraz kwestionariusz ryzyka do opcjonalnego stosowania. Grupą docelową są małe i średnie przedsiębiorstwa, które w ten sposób otrzymują ważne wskazówki. Kwestionariusze dla ubezpieczeń od ryzyk cyfrowych są przekazywane przez ubezpieczycieli klientom do samodzielnego ujawnienia przed zawarciem umowy. Oczywiście zaleca się wypełnienie listy kryteriów w sposób jak najbardziej zgodny z prawdą, ponieważ po zawarciu umowy ubezpieczyciele będą dokładnie sprawdzać, czy kryteria te zostały rzeczywiście spełnione. Z ujawnionych informacji można wywnioskować, czy dana firma w ogóle kwalifikuje się do ubezpieczenia jako partner umowy, a jeśli tak, to jak w danym przypadku należy skonstruować warunki polisy.

Dodatkową pomoc w weryfikacji odpowiednich środków bezpieczeństwa stanowi broszura na temat "aktualnego stanu techniki" w zakresie bezpieczeństwa IT, opublikowana przez TeleTrusT - Bundesverband IT-Sicherheit e.V. Zawiera on techniczne i organizacyjne zalecenia dotyczące działań oraz przegląd możliwych środków i kroków w celu stworzenia struktury bezpieczeństwa informatycznego odpowiadającej aktualnym możliwościom technicznym. W okresie poprzedzającym zawieranie umów może być ona wykorzystywana jako punkt odniesienia dla firm, dostawców i usługodawców, ale nie zastępuje oceny w indywidualnych przypadkach.

Elementy składowe bezpieczeństwa informacji

Kluczowe elementy składowe bezpieczeństwa informacji to m.in.:

  • Polityka bezpieczeństwa i zarządzanie ryzykiem. Określenie ryzyka związanego z krytycznymi systemami informatycznymi oraz ustanowienie odpowiednich mechanizmów kontroli w celu jego zminimalizowania.
  • Systemy i programy ochrony systemów informatycznych. Obejmują one aplikacje do scentralizowanego zarządzania sprzętem i oprogramowaniem oraz do monitorowania konfiguracji systemów komputerowych.
  • Środki ochrony systemów informatycznych. Obejmują one bieżącą aktualizację i monitorowanie stosowanego oprogramowania zabezpieczającego, np. firewalli i oprogramowania antywirusowego, oraz regularne, kontrolowane lub zautomatyzowane wdrażanie poprawek bezpieczeństwa.
  • Ocena podatności na zagrożenia. Regularne skanowanie i analiza podatności na zagrożenia stają się coraz ważniejsze dla bezpieczeństwa sieci i utrzymania ciągłości biznesowej, podobnie jak ich natychmiastowe, najlepiej zautomatyzowane eliminowanie.
  • Kopie zapasowe i przywracanie. Ochrona i audyt kopii zapasowych są niezbędne w przypadku, gdy firma została już zaatakowana, aby można było przywrócić ważne dane.

System baramundi Management Suite (bMS) znacząco przyczynia się do realizacji wszystkich tych aspektów. Jego zastosowanie pomaga zapewnić lepszą kontrolę sieci oraz ułatwia przestrzeganie wytycznych dotyczących zgodności z przepisami. Dzięki funkcjom takim jak automatyczna inwentaryzacja sprzętu i oprogramowania w sieci, ochrona punktów końcowych, automatyczne aktualizacje i zarządzanie poprawkami, a także funkcje tworzenia kopii zapasowych i przywracania danych, system bMS znacząco przyczynia się do podniesienia poziomu bezpieczeństwa w firmie. Jednocześnie zwiększa przejrzystość sieci w zakresie bezpieczeństwa dla firm, które chcą wykupić ubezpieczenie cyfrowe i pomaga im znaleźć najlepszą ofertę w każdym przypadku. W końcu im bardziej zabezpieczona jest firma, tym korzystniejsza będzie umowa. Dla obu stron kompleksowe oprogramowanie do zarządzania punktami końcowymi przyspiesza obsługę roszczeń, a jednocześnie zmniejsza prawdopodobieństwo ich wystąpienia.

Perspektywy

Ubezpieczenie od ryzyk cyfrowych jest dziś praktycznie obowiązkowe dla dużych organizacji. Jednak również firmy średniej wielkości mogą dostrzec jego znaczenie i dodatkową ochronę, jaką zapewnia, mimo iż nie jest to panaceum na rosnące zagrożenia cybernetyczne. W związku z rosnącą liczbą klientów warto zadbać o przejrzystość sieci i wyraźnie identyfikowalne środki bezpieczeństwa, które można trwale egzekwować za pomocą systemów zarządzania, takich jak bMS. W przypadku szkód firmy ubezpieczeniowe, co zrozumiałe, lubią ponownie ustalać ich przyczyny i kwoty do wypłaty, dlatego warto zadbać o możliwie dokładny przegląd sieci, używanych urządzeń, ich oprogramowania i stanu ich aktualizacji.

Oprócz tych wewnętrznych czynników, które przemawiają za wykupieniem ubezpieczenia od ryzyk cyfrowych, istnieje również zewnętrzny powód, dla którego firmy powinny jak najszybciej zadbać o odpowiednie ubezpieczenie: szybko rosnące składki. Jak podaje Handelsblatt, już w czwartym kwartale ubiegłego roku wzrosły one o 65% w porównaniu z rokiem poprzednim, podczas gdy składki z innych ubezpieczeń majątkowych wzrosły tylko o 13%. Jedną z przyczyn takiego stanu rzeczy jest prawdopodobnie fala ataków typu ransomware, które nasiliły się w ubiegłym roku. Innym nowym powodem jest wojna w Ukrainie, w związku z którą ubezpieczyciele spodziewają się wzmożonych i kosztownych cyberataków ze strony Rosji. Szybki i dokładny przegląd ważnych zasobów w firmie może zatem zaoszczędzić wiele czasu, a co za tym idzie - także pieniędzy.

Czytaj więcej

Wpisy 1 do 3 z 3