Cyberpolisa nie uchroni przed hakerem, ale złagodzi skutki ataku

Posiadanie ubezpieczenia od ryzyka utraty bądź kradzieży danych osobowych deklaruje od 13 do 28 proc. firm z sektora MŚP, w zależności od ich wielkości. Ale choć cyberpolisy są coraz bardziej popularne, to spore grono przedsiębiorców traktuje je niewłaściwie – jako jeden ze sposobów ochrony przed hakerami. To błąd, który może się zemścić.

Z raportu KPMG „Barometr cyberbezpieczeństwa” z lutego tego roku wynika, że liczba firm, które zarejestrowały przynajmniej jeden incydent związany z cyberbezpieczeństwem, wzrosła w ciągu 12 miesięcy z 58 proc. do 66 proc. Przedsiębiorcy powinni zatem przyjąć, że prędzej czy później coś takiego przydarzy się także im, i podjąć odpowiednie środki zaradcze.

Tymczasem aż 65 proc. firm z sektora MŚP ankietowanych przez serwis ChronPESEL.pl lekceważy to niebezpieczeństwo. Jednym z argumentów przemawiających za tym, że są bezpieczne, jest ich zdaniem wykupienie cyberpolisy. Deklaruje tak 13 proc. respondentów. Z drugiej strony w gronie 35 proc. przedsiębiorstw, które obawiają się utraty danych osobowych w wyniku aktywności przestępców, co piąte jako przyczynę tych obaw podaje właśnie brak polisy.

– Nasze badanie wskazuje, że przedsiębiorcy często traktują polisę jako formę ochrony przed hakerami. To przekonanie wynika zarówno z odpowiedzi firm, które boją się wycieku danych osobowych, jak i tych, które nie mają takich obaw. Problem w tym, że to błędne założenie. Cyberpolisa nie zapobiega atakom – jej zadaniem jest minimalizowanie skutków, które mogą pojawić się po incydencie. Co nie znaczy, że należy z niej rezygnować. Tyle że wcześniej trzeba wdrożyć szereg zabezpieczeń, które mają zapewnić bezpieczeństwo przechowywanych danych osobowych – komentuje Bartłomiej Drozd, ekspert serwisu ChronPESEL.pl.

Najpierw zabezpieczenie, potem cyberpolisa

Aby w ogóle móc zawrzeć umowę o ubezpieczenie cybernetyczne, firma musi spełnić szereg wymogów związanych z ochroną danych. Towarzystwa ubezpieczeniowe wymagają wdrożenia odpowiednich zabezpieczeń technicznych i organizacyjnych. Podstawą są regularne aktualizacje oprogramowania, stosowanie kopii zapasowych oraz szyfrowanie danych. W przypadku braku odpowiednich procedur, żaden ubezpieczyciel nie zdecyduje się na podpisanie umowy.

Zakres oferty jest uzależniony od towarzystwa ubezpieczeniowego. Większość zakładów ubezpieczeń pokrywa szkody, których skutkiem jest utrata danych lub koszty ich odzyskania, straty finansowe wynikające z przerw w działaniu sieci lub systemów informatycznych, czy odpowiedzialności cywilnej wobec poszkodowanych osób trzecich.

Natomiast bardziej rozbudowane cyberpolisy mogą pokryć koszty kar administracyjnych nałożonych za naruszenie przepisów o ochronie danych osobowych, czy usług public relations w celu minimalizacji negatywnych skutków dla reputacji firmy. Oczywiście im szerszy zakres ochrony, tym wyższa cena ubezpieczenia.

– Kradzież danych osobowych może skutkować ogromnymi stratami finansowymi i reputacyjnymi dla firmy. Koszty ich odzyskania, informowania poszkodowanych czy wypłaty odszkodowań potrafią być druzgocące, zwłaszcza dla mniejszych przedsiębiorstw. Cyberpolisa nie rozwiązuje wszystkich problemów, ale może pomóc złagodzić skutki kryzysu – podkreśla Bartłomiej Drozd.

Lekceważenie cyberzagrożenia

Badanie ChronPESEL.pl pokazuje, że zainteresowanie cyberpolisami zależy nie tylko od wielkości przedsiębiorstwa, ale także od branży. O ile wśród mikroprzedsiębiorstw tylko 13 proc. deklaruje posiadanie takiego ubezpieczenia, to w gronie firm małych jest to 17 proc., a spośród średnich 28 proc. Analizując branże ubezpieczanych widać, że najczęściej na zakup tego rodzaju ochrony decydują się firmy handlowe (25 proc.) i transportowe (25 proc.), a także budowlane (22 proc.). Z kolei sektor usługowy – mimo wielu ostatnio ataków na gabinety medyczne czy kancelarie prawne – pozostaje w tyle. W tej grupie tylko 5 proc. firm zadeklarowało wykupienie ubezpieczenia.

– To zróżnicowanie pokazuje, że świadomość ryzyka cyberataków nie jest równomierna w poszczególnych sektorach. Tymczasem każda firma, która przetwarza dane osobowe, jest potencjalnym celem ataku – ostrzega Bartłomiej Drozd.

Badanie zostało przeprowadzone przez TGM Research na zlecenie serwisu ChronPESEL.pl w pierwszej połowie 2024 r. techniką wywiadów internetowych (CAWI) na próbie 400 przedstawicieli firm MMŚP spełniających kryterium decyzyjności oraz przetwarzających dane osobowe.