Ubezpieczenie od ryzyk cybernetycznych

inaczej: cyber insurance, polisa cyber, ubezpieczenie cybernetyczne, ubezpieczenie ryzyk informatycznych

Definicja

Co to jest Ubezpieczenie od ryzyk cybernetycznych?

Ubezpieczenie od ryzyk cybernetycznych chroni firmę przed finansowymi skutkami incydentów w cyberprzestrzeni - od wycieku danych osobowych, przez ataki ransomware, po przerwy w działaniu systemów teleinformatycznych. Pokrywa zarówno koszty własne przedsiębiorstwa, jak i roszczenia osób trzecich.

Polisa cyber należy do najmłodszej generacji ubezpieczeń korporacyjnych i odpowiada na ryzyka, których klasyczne ubezpieczenie mienia ani OC działalności gospodarczej nie obejmują. Tradycyjne polisy mienia wymagają triggera materialnego (fizyczne uszkodzenie rzeczy) – tymczasem szkoda cybernetyczna ma najczęściej charakter niematerialny: zaszyfrowane dane, sparaliżowane systemy, ujawnione informacje. Ubezpieczenie cyber zostało skonstruowane jako odrębny produkt łączący elementy ubezpieczenia first-party (szkody własne ubezpieczonego) i third-party (odpowiedzialność wobec osób trzecich).

Struktura pokrycia

Większość polis cyber dostępnych na polskim rynku obejmuje:

  • koszty obsługi incydentu – usługi informatyki śledczej, kancelarii prawnej i firmy PR
  • koszty notyfikacji osób, których dane osobowe zostały naruszone (zgodnie z art. 34 RODO)
  • koszty odtworzenia danych i systemów
  • przerwy w działalności wywołane atakiem (cyber business interruption)
  • okup zapłacony za odblokowanie danych (cyber extortion)
  • roszczenia osób trzecich z tytułu naruszenia ochrony danych
  • koszty postępowań przed organami nadzorczymi
  • kary administracyjne nałożone przez Prezesa UODO (jeśli ich ubezpieczenie jest dopuszczalne w świetle danego porządku prawnego)

Jak działa mechanizm ubezpieczenia od ryzyk cybernetycznych

Polisy cyber zawierane są niemal wyłącznie w formule claims-made – decyduje moment zgłoszenia roszczenia, nie moment ataku. Underwriting opiera się na ocenie dojrzałości cyberbezpieczeństwa przedsiębiorstwa: ubezpieczyciel weryfikuje stosowanie uwierzytelniania wieloskładnikowego, regularność aktualizacji oprogramowania, posiadanie kopii zapasowych odseparowanych od sieci produkcyjnej, plan reakcji na incydent oraz wcześniejsze incydenty. Brak podstawowych zabezpieczeń skutkuje odmową objęcia ochroną albo wprowadzeniem klauzul wyłączających odpowiedzialność za skutki znanej luki.

Po wystąpieniu incydentu kluczową rolę odgrywa zespół reagowania (incident response team) wskazany przez ubezpieczyciela. Ubezpieczony ma obowiązek zgłosić zdarzenie niezwłocznie – typowo w ciągu 24-72 godzin – aby umożliwić koordynację działań i zachowanie dowodów. Zaniechanie tego obowiązku może prowadzić do ograniczenia odpowiedzialności na zasadach analogicznych do art. 826 § 1 KC (Kodeks cywilny), który nakłada na ubezpieczonego obowiązek użycia dostępnych środków w celu zmniejszenia szkody.

Kontekst regulacyjny

Polisa cyber funkcjonuje w gęstej siatce regulacji. Po stronie ochrony danych obowiązuje rozporządzenie (UE) 2016/679 (RODO) wraz z ustawą z 10 maja 2018 r. o ochronie danych osobowych. Po stronie cyberbezpieczeństwa – ustawa z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, nakładająca na operatorów usług kluczowych i dostawców usług cyfrowych obowiązki zgłaszania incydentów do CSIRT. Roszczenia osób, których dane zostały naruszone, mogą być dochodzone na podstawie art. 82 RODO oraz art. 415 KC (odpowiedzialność deliktowa) lub art. 471 KC (odpowiedzialność kontraktowa).

Warto wiedzieć

  • Klauzula wyłączenia wojennego (war exclusion) bywa stosowana do ataków przypisywanych aktorom państwowym - po incydencie NotPetya z 2017 r. ubezpieczyciele zaostrzyli te zapisy i obecnie standardem jest tzw. cyber war exclusion uwzględniająca cyberkonflikty.
  • Ubezpieczalność administracyjnych kar pieniężnych nakładanych przez Prezesa UODO jest dyskusyjna - część doktryny i niektóre porządki prawne uznają to za sprzeczne z funkcją represyjną kary.
  • Polisa cyber niemal zawsze zawiera wysoką franszyzę redukcyjną i wąską listę zatwierdzonych dostawców usług reagowania - korzystanie z innych podmiotów może oznaczać brak refundacji kosztów.
  • Klauzula prior knowledge wyłącza ochronę dla incydentów, o których ubezpieczony wiedział przed zawarciem umowy - dotyczy to także luk bezpieczeństwa zgłoszonych przez audytorów.
  • Płatność okupu może rodzić ryzyko sankcyjne (np. w przypadku ataku grupy objętej sankcjami OFAC lub sankcjami UE) - ubezpieczyciele zastrzegają sobie prawo odmowy refundacji w takiej sytuacji.
Przykład z życia

Spółka produkcyjna pada ofiarą ataku ransomware. Atakujący szyfrują serwery ERP i żądają okupu 800 000 zł. Przestój trwa 18 dni.

Ubezpieczony ponosi: okup 800 000 zł (zapłacony po zgodzie ubezpieczyciela i sprawdzeniu listy sankcyjnej), koszty informatyki śledczej 250 000 zł, koszty odtworzenia danych z kopii 120 000 zł, utracony zysk z BI cybernetycznego 1 400 000 zł. Łącznie szkoda wynosi 2 570 000 zł.

Polisa ma sumę ubezpieczenia 5 000 000 zł i franszyzę redukcyjną 100 000 zł oraz franszyzę czasową dla BI 24 godziny. Ubezpieczyciel wypłaca: 2 570 000 - 100 000 = 2 470 000 zł.