Firmy inwestują w ubezpieczenia od cyberzagrożeń
Wróć
Ryzyka cybernetyczne są wymieniane przez znaczącą większość firm jako jedne z największych zagrożeń dla prowadzonej działalności. Jednocześnie niewiele z nich poświęca temu zagadnieniu wystarczająco dużo czasu i uwagi. Zarządy firm przyznają, że nie są dobrze przygotowane na nowy typ zagrożeń związanych z działalnością hakerów. Tymczasem cyberryzyka przestały być wyłącznie problemem technicznym, a są traktowane jako poważny problem biznesowy. Dlatego firmy coraz częściej sięgają po ubezpieczenia od tego typu ataków.
Z badania KPMG „Barometer Cyberbezpieczeństwa”, przeprowadzonego wśród 100 polskich firm, wynika, że w 2018 roku 68 proc. z nich doświadczyło skutków cyberataków. Znaczący wzrost ich liczby odnotowało co czwarte przedsiębiorstwo, a spadek – tylko co dwunaste. Za największe zagrożenie uważają trudne do zidentyfikowania i odparcia ataki ukierunkowane, te realizowane za pośrednictwem złośliwego oprogramowania i wspierane przez socjotechnikę. 84 proc. firm obawia się ataków pojedynczych hakerów, a dla blisko 60 proc. groźniejsze są zorganizowane grupy przestępcze i cyberterroryści. Nieco ponad połowa firm przyznaje, że boi się działań niezadowolonych lub podkupionych pracowników. Co istotne, często nie potrzeba nawet złej woli – pracownicy pozostają jedną z najczęstszych przyczyn naruszeń cyberbezpieczeństwa, nie wiedząc nawet, jakie stwarzają zagrożenia dla całej organizacji.
Osobną kwestią pozostaje przygotowanie przedsiębiorstw na te zagrożenia. Wprawdzie tylko 6 proc. organizacji (według badania KPMG) przyznało, że w ogóle nie monitoruje bezpieczeństwa, ale z pozostałych większość robi to nieregularnie lub mało się do tego przykłada. Jak wynika z globalnego raportu „2019 Global Cyber Risk Perception Survey” Marsh i Microsoft (przeprowadzonego wśród 1,5 tys. firm na świecie), większość członków zarządu kub kadry kierowniczej odpowiedzialnej za zarządzanie ryzykiem cybernetycznym w swojej organizacji poświęca na to zagadnienie nie więcej niż jeden dzień w roku. Zaledwie 17 proc. kierowników wyższego szczebla przyznało, że przeznaczyło na ten cel więcej niż kilka dni w roku. Podobnie jest w firmach, gdzie jako odpowiedzialni za cyberryzyka zostali wskazani pracownicy działu IT. 30 proc. z nich podkreśla, że na analizę tego tematu poświęcili co najwyżej kilka dni.
Przy rosnącej skali problemu wydaje się to niepokojąco mało. To odbija się na przygotowaniu firm. Chociaż już 80 proc. z nich uważa cyberataki za jedno z najważniejszych zagrożeń, to tylko 11 proc. jest pewnych, że prawidłowo umie je rozpoznać, przeciwdziałać im i skutecznie na nie reagować. W poprzedniej edycji badania w 2017 roku odsetek ten wynosił odpowiednio 62 proc. i 19 proc.).
Na czym polega problem?
Eksperci Marsh i Microsoft podkreślają, że firmy bardzo chętnie wdrażają nowe technologie, również te najbardziej zaawansowane, rzadko kiedy jednak analizują związane z nimi cyberryzyko. Jednak 23 proc. respondentów, w tym wiele mniejszych firm, podkreśla, że ryzyko związane z inwestycją w technologie jest większe niż potencjalne korzyści z niej wynikające. Eksperci zauważyli także prawidłowość, że często przedsiębiorcy myślą jedynie o zabezpieczeniach technologicznych przed atakami hakerów, nie przygotowując np. polityki reagowania na incydenty czy naruszenia bezpieczeństwa danych.
Z kolei tegoroczne badanie KPMG wskazuje, że największym wyzwaniem dla firm w kontekście zapewnienia wysokiego poziomu zabezpieczeń jest czynnik ludzki, czyli trudności z pozyskaniem i utrzymaniem wykwalifikowanych pracowników. To większy problem niż zbyt mały budżet na cyberbezpieczeństwo.
Polisa załatwi sprawę?
Rozwój kolejnych zagrożeń cybernetycznych powoduje boom na ubezpieczenia od tego typu ryzyka. Prawie połowa badanych przez Marsh i Microsoft firm potwierdza, że posiada taką polisę. W 2017 roku twierdził tak co trzeci ankietowany. Przedsiębiorcy ufają tym produktom, bo prawie 90 proc. ubezpieczonych uważa, że posiadana polisa pokryłaby koszty związane z cyberincydentem. Z kolei coraz mniej firm deklaruje niepewność co do możliwości uzyskania ochrony ubezpieczeniowej adekwatnej do potrzeb (z 41 do 31 proc.).
W Polsce, jak wynika z danych KPMG, w taki produkt zainwestowało 23 proc. firm. Kolejne 27 proc. – w celu przygotowania reakcji na potencjalne ataki – podpisało umowy z zewnętrznymi firmami w sprawie koniecznego wsparcia przy obsłudze cyberataku.
Wzrost zainteresowania takimi produktami z jednej strony napędza rosnąca skala problemu, z drugiej strony RODO, czyli obowiązujące od połowy 2018 roku przepisy o ochronie danych osobowych, które przewidują wysokie kary za niedostateczne zabezpieczenie wrażliwych informacji o klientach czy partnerach biznesowych. Przykładem może być niedawno nałożona przez UOKIK sankcja – w wysokości 2,8 mln zł – na spółkę Morele.net za narażenie danych ok. 2 mln osób. Z trzeciej strony, do zakupu polis firmy skłania coraz lepsza i pełniejsza oferta ubezpieczycieli w tym zakresie. Do tej pory produkty te koncentrowały się na wsparciu przedsiębiorstwa w walce ze skutkami cyberataku. Teraz łączą to także z zabezpieczeniem infrastruktury IT przed atakami.
– Tym sposobem firma, płacąc jedną składkę, zyskuje bezpieczeństwo sieci i zasobów, a w razie cyberincydentu ubezpieczenie, z sumą ubezpieczenia do 0,5 mln zł, pokrywające ryzyko finansowe – mówi Piotr Ruszowski, dyrektor sprzedaży i marketingu w Mondial Assistance, o nowym rodzaju oferowanej cyberpolisy – Veronym. – Przedsiębiorcy w ramach oferowanego pakietu otrzymują także wsparcie agencji public relations do działań w sytuacjach kryzysowych.
– Chmura Veronym codziennie wychwytuje i analizuje dziesiątki nowych typów ataków, dzięki czemu pozostajemy na bieżąco i możemy na nie lepiej reagować – wyjaśnia Radosław Wal, chief technical officer, Veronym. – To wielopoziomowa, kompleksowa, niedroga ochrona, pozwalająca przekierować ruch użytkownika do bezpiecznej chmury Veronym, a także chroniąca każde urządzenie końcowe, tak by móc reagować na każdy rodzaj incydentu związanego z naruszeniem bezpieczeństwa. Ta ochrona ma wiele warstw, ze szczególnym uwzględnieniem błędu człowieka. Jeśli haker przełamie jeden z modułów ochrony, pozostałe mechanizmy zatrzymają atak.
