Rynek cyberubezpieczeń staje się coraz trudniejszy. Jak się przed nim ochronić?

Liczba ataków hakerskich rośnie a wraz z nią wysokość szkód. Ostatnie dane wskazują na średni globalny koszt dla firm w wysokości 4,45 mln USD (o 15 % więcej niż w 2020 r). Do 2025 wysokość składek cyberubezpieczeń osiągnie wartość 22 miliardów dolarów.

– Wraz ze wzrostem liczby cyberataków uzyskanie ochrony ubezpieczeniowej jest trudniejsze. Dzieje się tak dlatego, że straty finansowe wynikające z naruszenia stały się nieproporcjonalne do składek pobieranych przez ubezpieczycieli. – mówi Tom De Laet z firmy Check Point Software.

Według raportu IBM Cost of a Data Breach Report 2023 średni globalny koszt naruszenia bezpieczeństwa danych w 2023 r. wyniósł 4,45 mln dolarów, czyli o 15% więcej niż w 2020 r., natomiast firma Chainalytic zajmująca się analizą technologii blockchain ustaliła, że podmioty korzystające z oprogramowania ransomware zarobią na ofiarach prawie 900 mln dolarów. intratności ataków świadczą niedawne głośne incydenty, w tym atak ransomware na MGM Resorts, w wyniku którego wiele systemów firmy zostało odłączonych od sieci, a środki zaradcze mają kosztować miliony. Niektórzy nawet sugerowali, że może istnieć związek przyczynowy pomiędzy oprogramowaniem ransomware a ubezpieczeniem cybernetycznym, gdyż osoby atakujące wykorzystują wykradzione polisy ubezpieczeniowe w celu dyktowania żądań okupu.

Poruszanie się po trudnym rynku ubezpieczeń 

W pierwszym kwartale 2023 roku składki ubezpieczeniowe wzrosły o 11% . Ten wzrost kosztów potęguje fakt, że ubezpieczyciele zaczynają wątpić, czy ich dotychczasowe składki odpowiednio pokrywają ryzyko związane z zagrożeniami cybernetycznymi. – W odpowiedzi na te rosnące obawy ubezpieczyciele zaostrzają swoje standardy ubezpieczeniowe i podnoszą poprzeczkę w zakresie minimalnych wymagań w zakresie cyberbezpieczeństwa dla ubezpieczających – zwraca uwagę ekspert Check Pointa.

Aby zrównoważyć wypłaty, niektórzy ubezpieczyciele podjęli kroki w celu cięcia niektórych kosztów. Na przykład spółka Lloyds of London ogłosiła w zeszłym roku, że nie będzie już uwzględniać ataków na państwa narodowe w swoich polisach ubezpieczeniowych w zakresie cyberbezpieczeństwa, ponieważ „naraża to rynek na ryzyko systemowe, z którym syndykaty mogłyby mieć trudności z zarządzaniem”. Tymczasem w Australii gigant ubezpieczeniowy Chubb wygrał sprawę przeciwko firmie Inchcape świadczącej usługi motoryzacyjne, która próbowała uzyskać zwrot kosztów poniesionych w związku z usunięciem i późniejszą próbą odzyskania danych po ataku ransomware. Sąd uznał, że jest to pośrednia strata finansowa, która nie jest objęta polisą. 

Możesz się zastanawiać, co obejmuje Twoje ubezpieczenie cybernetyczne. Czy otrzymasz rekompensatę za straty powstałe w wyniku kliknięcia przez pracownika wiadomości phishingowej? Czy Twój ubezpieczyciel będzie honorował wypłatę, jeśli dobrowolnie zapłacisz za okup? Kwestia ta może stać się problematyczna, gdy kraje takie jak Australia i Stany Zjednoczone rozważają wprowadzenie zakazu płatności okupu cyberprzestępcom.

– Często polisa ubezpieczenia cybernetycznego pokrywa głównie koszty reakcji na incydent (IR), badania kryminalistyczne i koszty odzyskiwania danych po ataku. Większość firm chętnie ubezpiecza się na tej podstawie, ponieważ koszt takiego dochodzenia może niekorzystnie wpłynąć na przepływ środków pieniężnych, wiedząc, że koszt naruszenia bezpieczeństwa danych będzie jeszcze większy. Jednak wielu nie brało pod uwagę rzeczywistych skutków finansowych, takich jak utrata udziału w rynku i wpływ, jaki ma to na cenę akcji. – mówi Tom De Laet.

Jeśli firma zajmująca się cyberubezpieczeniem zajmuje się dochodzeniem i odzyskiwaniem skutków ataku, może zaangażować swoje zatwierdzone zespoły prawne i zespoły ds. IR, które specjalnie sprawdzają, czy którekolwiek ryzyko można objąć ubezpieczeniem i jaki jest tego koszt. Nie dążą do przeprowadzenia oceny zgodności w sposób uwzględniający wszystkie potencjalne ryzyka biznesowe wymienione powyżej. 

Istnieją również zwiększone kary za naruszenia bezpieczeństwa danych, co może skłonić niektóre organizacje do natychmiastowego skorzystania z ubezpieczenia cybernetycznego, aby spróbować pomóc w pokryciu tych kosztów. Jest jednak mało prawdopodobne, aby jakikolwiek ubezpieczyciel je uwzględnił.

Uniknij roszczeń dzięki zapobiegawczym środkom bezpieczeństwa cybernetycznego 

Szczegóły tego, co jest, a co nie jest objęte polisą, będą w dużej mierze zależeć od ubezpieczyciela, ale ogólnie rzecz biorąc, powinieneś oczekiwać, że ubezpieczyciele dokładnie przyjrzą się Twoim praktykom bezpieczeństwa. Potrzebują potwierdzenia, że wdrożone zostały środki zapobiegawcze, aby przede wszystkim ograniczyć ryzyko i zapobiec atakowi. Sprawdzą wszystko, od bezpieczeństwa poczty e-mail, statusu uwierzytelniania wieloskładnikowego i procedur tworzenia kopii zapasowych po punkty końcowe, szyfrowanie, zapory ogniowe i świadomość użytkowników. 

– Jedna z firm branży usług finansowych, która miała do czynienia z ogromnymi składkami ubezpieczeniowymi i tylko dwiema ofertami przedłużenia umowy, po wdrożeniu zaawansowanych usług bezpieczeństwa cybernetycznego, otrzymała nagle sześć konkurencyjnych ofert i udało jej się obniżyć składki aż o 80% w porównaniu z rokiem poprzednim! Wynikało to z ich zdolności do reagowania na incydenty i przeprowadzania kompleksowych dochodzeń przed skorzystaniem z roszczeń ubezpieczeniowych. – zapewnia specjalista firmy Check Point Software. Taki poziom kontroli pozwolił im podejmować świadome decyzje, ograniczając niepotrzebne aktywacje ubezpieczeń i związane z nimi koszty.

Długoterminowa rentowność cyberubezpieczeń jest wciąż przedmiotem debaty, jednocześnie zapobieganie to najskuteczniejszy sposób na pokazanie, jak poważnie firma podchodzi do bezpieczeństwa. Aby przetrwać incydenty grożące ich zasobom cyfrowym, firmy muszą poszerzyć swoją bazę opcji obrony, zamiast polegać na ubezpieczeniu cybernetycznym. Najlepszym zabezpieczeniem jest bardziej proaktywne wdrażanie narzędzi oraz procesów, by zrobić wszystko, co możliwe, aby uniknąć naruszenia.