Co to jest ubezpieczenie cybernetyczne? Wszystko, co musisz wiedzieć o tym, co obejmuje i jak działa
Ubezpieczenia cybernetyczne stają się coraz bardziej popularne. Ale co obejmuje, czego nie obejmuje i czego należy szukać, decydując się na polisę?
Wszelkiego rodzaju cyberataki stanowią coraz poważniejszy problem dla wszystkich organizacji, w wyniku czego wiele z nich zwraca się do cyberbezpieczeństwa jako środka ochrony przed niektórymi skutkami incydentu. Ale co to jest ubezpieczenie cybernetyczne, jak działa i jakie kwestie musi wziąć pod uwagę Twoja firma, decydując się na polisę ubezpieczeniową?
CO TO JEST UBEZPIECZENIE CYBERNETYCZNE?
Ubezpieczenie cybernetyczne – znane również jako ubezpieczenie od odpowiedzialności cywilnej – to polisa ubezpieczeniowa, która pomaga chronić organizacje przed skutkami cyberataków i zagrożeń hakerskich. Posiadanie polisy cyberbezpieczeństwa może pomóc zminimalizować zakłócenia działalności podczas incydentu cybernetycznego i jego następstw, a także potencjalnie pokryć koszty finansowe niektórych elementów radzenia sobie z atakiem i odzyskiwania po nim.
„Formalna definicja ubezpieczenia cybernetycznego to w istocie umowa między ubezpieczycielem a firmą mająca na celu ochronę przed stratami związanymi z incydentami komputerowymi lub sieciowymi” – wyjaśnia Juergen Weiss, szef działu badań i doradztwa w zakresie globalnych usług finansowych w firmie Gartner. .
Są jednak rzeczy, przed którymi ubezpieczenie cybernetyczne nie może chronić, a organizacja będzie musiała upewnić się, że rozumie, co jest objęte ubezpieczeniem, a co ważniejsze, co nie jest objęte ubezpieczeniem, gdy rejestruje się w planie ubezpieczenia. Chociaż posiadanie jakiejś formy ubezpieczenia cybernetycznego może pomóc firmie w przypadku ataku, firma jest również odpowiedzialna za własne bezpieczeństwo cybernetyczne – odpowiedzialność nie jest po prostu przenoszona na ubezpieczyciela.
„Ubezpieczenie cybernetyczne nie rozwiąże natychmiast wszystkich Twoich problemów związanych z cyberbezpieczeństwem i nie zapobiegnie naruszeniu / atakowi cyberprzestrzeni” – mówi National Cyber Security Center w swoich wytycznych.
KTO POTRZEBUJE UBEZPIECZENIA CYBERNETYCZNEGO?
Każda firma z komponentem internetowym lub taka, która wysyła lub przechowuje dane elektroniczne, może skorzystać na cyberbezpieczeństwie, podobnie jak każda organizacja, która opiera swoją działalność na technologii, czyli prawie każda firma.
Prywatne dane osobowe, takie jak dane kontaktowe klientów lub personelu, własność intelektualna lub wrażliwe dane finansowe, są potencjalnie bardzo lukratywne dla cyberprzestępców, którzy mogą próbować włamać się do sieci i ją ukraść.
Istnieje również możliwość, że hakerzy mogą sparaliżować sieć za pomocą oprogramowania ransomware. Ubezpieczenie cybernetyczne obejmujące oprogramowanie ransomware może w dużym stopniu pomóc organizacjom, które padły ofiarą takich ataków, znaleźć wyjście z kłopotliwej sytuacji.
ZOBACZ: Google Cloud, Allianz, Munich Re łączą siły w programie cyberbezpieczeństwa
JAKIE ATAKI PROWADZĄ DO ROSZCZEŃ Z TYTUŁU CYBERBEZPIECZEŃSTWA?
Roszczenia z tytułu cyberbezpieczeństwa mogą być wywołane przez wiele rodzajów incydentów, ale obecnie najczęstsze to ransomware, ataki polegające na oszustwach związanych z transferem środków i oszustwa związane z włamaniem do biznesowej poczty elektronicznej.
ILE KOSZTUJE UBEZPIECZENIE CYBERNETYCZNE?
Koszt polisy cyberbezpieczeństwa będzie zależał od wielu różnych czynników, w tym wielkości firmy i rocznych przychodów. Inne czynniki mogą obejmować branżę, w której działa firma, typ danych, z którymi firma zwykle się korzysta, a także ogólne bezpieczeństwo sieci.
Organizacja, która ma słabe bezpieczeństwo cybernetyczne lub w przeszłości padała ofiarą hakerów lub naruszała dane, prawdopodobnie zostanie obciążona wyższą opłatą za polisę cyberbezpieczeństwa niż organizacja, która cieszy się dobrą opinią w zakresie zapewniania sobie bezpieczeństwa.
Sektory takie jak zdrowie i finanse prawdopodobnie uznają, że polisy cyberbezpieczeństwa kosztują więcej ze względu na wrażliwy charakter dziedzin, w których działają.
CO OBEJMUJE UBEZPIECZENIE CYBERNETYCZNE?
Różni dostawcy polis mogą oferować różne ubezpieczenia, ale generalnie ubezpieczenie cybernetyczne prawdopodobnie pokryje bezpośrednie koszty związane z zostaniem ofiarą cyberataku.
„Cyberbezpieczeństwo ma na celu pokrycie kosztów awarii bezpieczeństwa, w tym odzyskiwania danych, analizy kryminalistycznej systemu, a także kosztów obrony prawnej i odszkodowań dla klientów” – mówi Mark Bagley, wiceprezes firmy zajmującej się cyberbezpieczeństwem AttackIQ.
Na przykład ubezpieczenie w zakresie odzyskiwania danych i kryminalistyki systemu pomogłoby pokryć część kosztów badania i ponownej mediacji w sprawie cyberataku poprzez zatrudnienie specjalistów zajmujących się kryminalistyką w zakresie cyberbezpieczeństwa, aby pomóc w ustaleniu, co się stało – i rozwiązaniu problemu.
Jest to rodzaj standardowej procedury, która następuje po ataku ransomware, jednym z najbardziej szkodliwych i uciążliwych rodzajów incydentów, z którymi organizacja może się teraz zmierzyć.
Jest również tak, że niektóre firmy ubezpieczeniowe pokrywają koszty faktycznego poddania się i zapłacenia okupu – nawet jeśli jest to coś, czego organy ścigania i branża bezpieczeństwa informacji nie zalecają, ponieważ tylko zachęca cyberprzestępców do dokonywania większej liczby ataków.
„Firma ubezpieczeniowa przygląda się, jaka może być potencjalna reakcja na incydent i rachunek za usługi kryminalistyczne, a to w wielu przypadkach będzie większe, ponieważ organizacje nie są na to przygotowane, więc w rzeczywistości wolą zapłacić. To bardzo frustrujące” – mówi Theresa Payton , były Dyrektor ds. Informatyki w Białym Domu w administracji George’a W. Busha oraz założyciel i dyrektor generalny firmy Fortalice Solutions zajmującej się cyberbezpieczeństwem.
Oszustwa phishingowe związane z włamaniem do biznesowej poczty elektronicznej (BEC) to kolejna forma cyberataku, która może kosztować firmę dużą, czasem sześciocyfrową sumę pieniędzy. Ataki te pokazują przestępców podszywających się pod dyrektora generalnego, dostawcę lub inny zaufany kontakt i nakłaniających ludzi do przesyłania płatności.
Jak wskazuje brytyjska NCSC , niektóre polisy ubezpieczeniowe pokrywają pieniądze utracone w wyniku oszustwa BEC – ale często jest to część określonej polisy, która jest bezpośrednio związana z BEC. W związku z tym może nie być objęty standardowym ubezpieczeniem cyberbezpieczeństwa – a Twoja organizacja może zostać pozbawiona jakiejkolwiek pomocy, jeśli tak jest.
Dlatego organizacje powinny upewnić się, że dokładnie wiedzą, na co się zapisują, wybierając polisę ubezpieczeniową w zakresie cyberbezpieczeństwa – i że obejmuje ona potencjalne szkody wynikające z najbardziej prawdopodobnych cyberataków, w tym ransomware, phishingu i ataków DDoS .
NCSC zauważa również, że warto sprawdzić, czy Twoja organizacja ma już ubezpieczenie cybernetyczne w ramach istniejących polis, takich jak zakłócenia działalności lub ubezpieczenie mienia. Może to zapewnić pewien poziom ochrony – lub może konkretnie wykluczyć incydenty związane z cyberprzestrzenią.
CZEGO NIE OBEJMUJE UBEZPIECZENIE CYBERNETYCZNE?
Jest kilka rzeczy, które mogą być ważne dla organizacji, które zwykle nie są objęte ubezpieczeniem cybernetycznym, i ważne jest, aby zrozumieć, co nie jest objęte ubezpieczeniem, aby chronić te aktywa można odpowiednio zarządzać.
„Cyberbezpieczeństwo jest nadal trochę ograniczone w porównaniu z prawdziwą kwotą ryzyka. Nie należy myśleć, że wszystkie formy ryzyka cybernetycznego są objęte ubezpieczeniem” – mówi Jon Bateman, członek Cyber Policy Initiative of the Technology and International Affairs Program w Carnegie Endowment for International Peace.
Szkody finansowe spowodowane utratą własności intelektualnej nie są objęte ubezpieczeniem cybernetycznym, podobnie jak koszty reputacji, które można ponieść w wyniku cyberataku.
Na przykład ubezpieczenie cybernetyczne mogłoby pokryć koszty związane z radzeniem sobie z bezpośrednimi następstwami cyberataku, ale w dłuższej perspektywie firma może stracić interes z powodu publicznego postrzegania słabego cyberbezpieczeństwa. Ubezpieczenie cybernetyczne nie pokryje kosztów utraty klientów z powodu złej reputacji, jaką zyskuje w wyniku cyberataku.
CZY UBEZPIECZENIE CYBERNETYCZNE OBEJMUJE GŁÓWNE ZDARZENIA ZWIĄZANE Z BEZPIECZEŃSTWEM CYBERNETYCZNYM?
Latem 2017 roku dwa duże cyberataki rozprzestrzeniły się po całym świecie w krótkich odstępach czasu, a atak ransomware Wannacry spowodował zniszczenie sieci w maju , po czym kilka tygodni później nastąpił znacznie bardziej szkodliwy atak NotPetya. NotPetya spowodował wyłączenie głównych organizacji na całym świecie i szacuje się, że kosztował miliardy utraconych dochodów i kosztów przywrócenia, ponieważ w wielu przypadkach organizacje musiały odbudować swoje sieci od podstaw.
Brzmi to jak incydent, w wyniku którego firma ubezpieczeniowa wypłaci odszkodowanie za cyberbezpieczeństwo, ponieważ organizacja została zakłócona przez incydent, który nie był ich winą – zwłaszcza, że NotPetya była tak płodna i bezkrytyczna w jej kierowaniu.
Jednak niektórzy ubezpieczyciele argumentowali, że nie muszą płacić, ponieważ NotPetya, atak złośliwego oprogramowania powiązany z rosyjskim wojskiem , został sklasyfikowany jako „akt wojny”, który unieważnił roszczenie. Inni ubezpieczyciele wypłacili odszkodowania za szkody wyrządzone przez NotPetya .
Jest prawdopodobne, że będzie to nadal problem, który posuwa się naprzód, zwłaszcza że sfery cyber i fizyczne stają się coraz bardziej nie do odróżnienia od siebie, a ubezpieczyciele i ich klienci mogą nie widzieć, co powinno, a czego nie powinno być objęte ubezpieczeniem.
„Głównym wyzwaniem dla tego rynku jest sposób radzenia sobie z najbardziej ekstremalnymi formami ryzyka – poważnymi atakami sponsorowanymi przez państwo, poważnymi katastrofami obejmującymi dużą liczbę klientów. Cyberfizyczne wydarzenia, które rozpoczynają się w cyberprzestrzeni, ale wciąż wychodzą na świat z konsekwencjami społecznymi. Są bardzo trudne do modelowania i wyceny. Gdyby doszło do poważnego incydentu, przerwałoby to możliwości rynków cyberbezpieczeństwa ”- mówi Bateman.
CZEGO POTRZEBUJĘ, ABY UBIEGAĆ SIĘ O POLISĘ UBEZPIECZENIOWĄ?
Ubezpieczenie cybernetyczne nie jest srebrnym środkiem do rozwiązywania problemów z cyberbezpieczeństwem – wręcz przeciwnie. W rzeczywistości, aby uzyskać dobrą ofertę na pokrycie, Twoja firma prawdopodobnie będzie musiała udowodnić, że jest odpowiedzialna przede wszystkim za cyberbezpieczeństwo. Ubezpieczyciele nie będą chcieli przyjmować klienta, który wydaje się prawie na pewno ofiarą naruszenia bezpieczeństwa danych.
Ubezpieczyciele będą chcieli wiedzieć, jakie zabezpieczenia cybernetyczne stosuje Twoja firma, ubiegając się o polisę, i oczekuje się, że w miarę upływu czasu będziesz utrzymywać dokładne informacje o swoim cyberbezpieczeństwie – ponieważ w wielu przypadkach polisy są ponownie oceniane co 12 miesięcy, więc nawet po nabyciu ubezpieczenia cybernetycznego organizacje nadal muszą dbać o przestrzeganie odpowiednich procedur cyberbezpieczeństwa, w przeciwnym razie ryzykują utratę ubezpieczenia w przyszłości.
Ważne jest również, aby zrozumieć, które systemy i dane są niezbędne dla Twojej organizacji, oraz wiedzieć, czy poziom ochrony, który posiadasz, jest odpowiedni. Oznacza to, że podjęcie decyzji o polisie ubezpieczeniowej w cyberprzestrzeni to kwestia wykraczająca poza informatykę i skierowana także do szerszego kierownictwa.
„W przeciwieństwie do incydentów, takich jak pożar czy kradzież, incydenty cybernetyczne często nie ograniczają się do jednej lokalizacji. Zrozumienie sposobu działania organizacji i współzależności między różnymi jej częściami ma kluczowe znaczenie dla określenia zakresu incydentu, który może mieć globalne konsekwencje” – mówi NCSC.
Organizacja nie może po prostu zdecydować, że nie chce już inwestować w cyberbezpieczeństwo, ponieważ ma teraz polisę ubezpieczeniową.
JAKA JEST PRZYSZŁOŚĆ CYBERBEZPIECZEŃSTWA?
Ponieważ częstotliwość cyberataków stale rośnie, a cyberprzestępcy stają się coraz bardziej bezczelni w kampaniach, sposób działania cyberbezpieczeństwa będzie ewoluował. Jak wcześniej wspomniano, dostawcy ubezpieczeń internetowych raczej nie będą chcieli oferować polis organizacjom, które przywiązują niewielką wagę do swojego cyberbezpieczeństwa.
Wypłata odszkodowania jest czynnością czysto reaktywną i jest kosztowna dla ubezpieczyciela. Dlatego niektórzy zaczynają przyjmować bardziej proaktywne podejście do cyberbezpieczeństwa, nie tylko po to, aby oferować wypłatę, jeśli coś pójdzie nie tak, ale także aktywnie pomagać klientom w lepszym podejściu do cyberbezpieczeństwa.
„Cała branża ubezpieczeniowa odchodzi od bycia pożyczkodawcą ostatniej szansy i wypłat na rzecz bardziej doradcy ds. Ryzyka i partnera w prowadzeniu działalności. Ubezpieczyciele umieszczają teraz czarne skrzynki w Twoim samochodzie, aby śledzić zachowanie kierowcy – chcą wycenić dokładniej poprzez zmianę w twoim zachowaniu ”- mówi Weiss.
„To samo dzieje się w obszarze cyberbezpieczeństwa. Chęć upewnienia się, że jako firma dostosujesz się do ryzyka. To połączenie audytu, ochrony i zapobiegania stratom” – dodaje.