Odzyskanie i ochrona utraconych danych, usunięcie wirusów, pomoc prawnicza i PR-owa naprawa wizerunku – to zwykłe składniki gorzkiego rachunku wystawianego poszkodowanym firmom przez cyberprzestępców. Od kilku lat może go jednak pokryć ubezpieczyciel.
Niemal cztery na dziesięć firm ma polisę ubezpieczeniową “na wypadek cyberataku”, czy raczej jego potencjalnych konsekwencji – wskazuje najnowsza ankieta firmy Spiceworks przeprowadzona wśród 700 firm i organizacji z Europy i Ameryki Północnej. Dlaczego biznes coraz chętniej sięga po taką ochronę?
Głównym powodem jest świadomość rosnącego zagrożenia cyberatakiem. Firmowe sieci ulegają postępującemu rozproszeniu (m.in. o urządzenia mobilne i akcesoria IoT), a więcej systemów i platform wymagających ochrony to większe ryzyko zaniedbania i złamania któregoś z zabezpieczeń – więcej na ten temat przeczytacie w naszym raporcie Cyberbezpieczeństwo: Trendy 2019 . Siedmiu na dziesięciu badanych przez Spiceworks ubezpiecza się więc prewencyjnie, wskazując jako drugi powód zakupu polisy “rosnące poczucie zagrożenia” (44% respondentów). Z kolei 39% ankietowanych szuka ochrony przed kosztami wycieku przetwarzanych danych osobowych. Ich faktyczną utratę lub inny incydent bezpieczeństwa wskazało jako motywację zakupową blisko 15% specjalistów.
Jak się okazuje, do postulatów RODO w różnych częściach globu podchodzi się różnie, bowiem regulacja skłoniła do wykupienia polisy aż 43% podmiotów w Europie i tylko 4% w USA. Wkrótce ten wynik poprawią podmioty mniej ostrożne, zaniepokojone wymiarem styczniowej kary dla Google. Przypomnijmy, że brak przejrzystej dokumentacji i domyślne zaznaczanie zgód na personalizację reklam uznano we Francji za niedopełnienie unijnej dyrektywy i ukarano Google grzywną 50 mln dolarów. Pierwsza tak wysoka kara w ramach RODO przekona nawet decydentów, którzy “astronomiczne” grzywny dla niefrasobliwych podmiotów uważali dotąd za medialne wymysły.
Już w samym kontekście RODO posiadanie adekwatnego ubezpieczenia powinno się wydawać oczywistością. “Powinno”, bo za rosnącą świadomością ryzyka incydentów bezpieczeństwa IT nie nadąża znajomość dostępnych zabezpieczeń. Często nawet tych podstawowych i stricte technicznych, a co dopiero opcjonalnych prawno-finansowych. To właśnie ten brak wiedzy – wskazany jako powód przez 36% ankietowanych specjalistów – decyduje o braku ubezpieczeniowej “poduszki bezpieczeństwa”. Z drugiej strony sporo firm taką wiedzą dysponuje. Dlaczego zatem zwlekają z wdrożeniem podobnej ochrony?
Zdaniem 41% respondentów podobna polisa “nie jest w ich firmie priorytetem”, a u 40% nie zmieściła się w obecnym budżecie. Dalsze 33% badanych uznaje korzyści z polisy za nieprzekonujące, zaś co piąty pytany uważa jej posiadanie za zbyteczne. Co ciekawe, 12% uczestników badania obawia się tzw. kruczków prawnych nie wierząc, by w razie zgłoszenia problemu ubezpieczyciel wypłacił należne odszkodowanie. Równocześnie tylko 7% posiadaczy polisy zgłosiło swojemu ubezpieczycielowi kwalifikowane szkody. Skąd taka nieufność?
– Przyczyną problemu może być niska świadomość klientów – komentuje Bartosz Jurga, dyrektor sprzedaży firmy Xopero – Z jednej strony cyberataki i wycieki danych to dla nich ponura rzeczywistość. Z drugiej, finansowy parasol chroniący od usuwania ich skutków może – jako produkt względnie nowy – wciąż wydawać się niejasny, nieprecyzyjny, a nawet zupełnie niewiarygodny.
Faktem jest, że prawie połowa pytanych zdecydowała się na wykup polisy dopiero w ostatnich 2 latach, a 32% z nich między 2 a 4 lata wstecz. Tylko co czwarta ankietowana organizacja chroni się w ten sposób co najmniej od 5 lat.
Popularność ubezpieczeń od nieprawidłowego przetwarzania danych (w tym cyberataków) będzie niewątpliwie rosła – zakup takiego rozwiązania w najbliższych dwóch latach deklaruje 11% ankietowanych. Nim jednak zaczniemy przeglądać oferty, warto wrócić do podstaw: zasobów i słabych stron własnej serwerowni. Czy regularnie aktualizujemy systemy i oprogramowanie, w tym rozwiązania antywirusowe? Czy udzielając dostępu do danych korzystamy z dwu- lub wieloskładnikowej autoryzacji? Czy dysponujemy aktualnym backupem danych, mogąc szybko przywrócić niesprawne maszyny do stanu zapisanego nawet minutę przed przestojem?
Uczciwa lista wdrożonych zabezpieczeń i strategia DR (disaster recovery) da nam rozeznanie, co warto uszczelnić, ale ma i dodatkową zaletę – mierzoną w twardej walucie kosztów IT. Dobre przygotowanie w rozmowie z ubezpieczycielem może obniżyć składkę za tego rodzaju polisę – w końcu kierowcy bezwypadkowi też na ogół płacą mniej od tych lekkomyślnych. Ostatecznie nawet najlepsza polisa od kosztów usunięcia problemu IT nie zastąpi dobrych produktów i dobrych praktyk, dlatego jej zakup powinien być tylko wisienką na torcie wdrożonych zabezpieczeń.