Rośnie skala zdarzeń cybernetycznych. Niewiele firm w Polsce ubezpiecza się na wypadek ataku

Częstotliwość zgłaszanych incydentów cybernetycznych w 2024 roku wzrosła o 22 proc. w porównaniu z rokiem poprzednim. Najwięcej roszczeń dotyczących cyberataków zgłosiły średniej wielkości organizacje i stanowiły one ponad połowę wszystkich zgłoszonych incydentów – wynika z danych „Global 2025 Cyber Risk Report”. Rosnąca skala zagrożeń przekłada się na rozwój globalnego rynku cyberubezpieczeń. W Polsce nie są to jeszcze popularne produkty, ale zainteresowanie ze strony rodzimych firm w ostatnim czasie rośnie.

– Jeżeli popatrzymy na przykład na dane Państwowej Straży Pożarnej, porównamy je do danych CERT-u, to się okaże, że incydenty cybernetyczne występują statystycznie częściej niż pożary, więc tak naprawdę to ryzyko staje takim ryzykiem ogniowym XXI wieku. Dane Aon także wskazują, że przez ostatnie pięć lat częstotliwość incydentów typu ransomware, czyli zdarzeń najbardziej dotkliwego typu, wzrosła globalnie o blisko 1000 proc., tak że na pewno zdarzenia cybernetyczne są największym zagrożeniem obecnych czasów – mówi agencji Newseria Piotr Rudzki, senior broker w Aon Polska.

Według raportu Aon w 2024 roku pojawiły się poważne incydenty o charakterze systemowym, które były szczególnie widoczne w atakach na dostawców usług informatycznych. Analitycy przytaczają głośny atak na dostawcę technologii płatności w służbie zdrowia w lutym ub.r., który był wynikiem m.in. braku wdrożenia autoryzacji wieloczynnikowej. Wyciek ransomware dotyczył danych osobowych ok. 190 mln osób. Bezpośredni wpływ na firmę oszacowano na 3,09 mld dol. przed opodatkowaniem. W raporcie mowa również o lipcowej awarii CrowdStrike, która unieruchomiła ponad 8,5 mln systemów, wpływając na działalność szpitali, instytucji finansowych czy przewoźników lotniczych.

– To był błąd programistyczny dostawcy oprogramowania antywirusowego – tłumaczy Piotr Rudzki. – Trzeba sobie zdać sprawę, że łańcuch dostaw IT jest też atrakcyjnym celem dla cyberprzestępców, ponieważ może zapewnić im dostęp do setek, jeśli nie tysięcy potencjalnych ofiar. Dlatego należy się spodziewać, że takie zdarzenia będą miały miejsca co roku, czy to w formie po prostu błędu programistycznego, czy zmasowanego globalnego ataku.

Podkreśla, że z roku na rok pojawiają się nowe trendy. Cyberprzestępcy korzystają z coraz bardziej zaawansowanych metod, np. sztucznej inteligencji, w tym narzędzi typu deepfake, w których wykorzystywane są podobizny i głosy innych osób.

– Tak naprawdę każde przedsiębiorstwo, którego działalność jest w jakimś stopniu oparta na systemach informatycznych, jest zagrożone. Chociaż oczywiście są branże, które być może statystycznie częściej padają ofiarą tego typu ataków. Na przykład sektor produkcyjny jest ich częstym celem, ale także instytucje finansowe, różne usługi zawodowe, infrastruktura krytyczna. To są wszystko atrakcyjne cele dla cyberprzestępców – wyjaśnia ekspert Aon Polska. – Niezależnie od skali prowadzonej działalności każde przedsiębiorstwo może się stać ofiarą.

Na cyberataki narażone są również małe i średnie przedsiębiorstwa, co często wynika m.in. z ich mniejszych budżetów przeznaczonych na cyberbezpieczeństwo, a co za tym idzie – słabszych zabezpieczeń w porównaniu do większych firm.

O przygotowaniu na ewentualne cyberataki mówi się głównie w kontekście technologii, zabezpieczeń w oprogramowaniu, kopii zapasowych czy silnej weryfikacji użytkowników. W Stanach Zjednoczonych jednym z elementów tego procesu jest także cyberpolisa.

– W zasadzie w Stanach Zjednoczonych i Europie Zachodniej ubezpieczenie cyberryzyka jest standardem. W Polsce jeszcze nie. Szacuję, że być może 1, góra 2 proc. polskich firm ma ubezpieczenie od ryzyk cybernetycznych. Aczkolwiek zauważamy, że zainteresowanie klientów tego typu rozwiązaniem rośnie w ostatnim czasie – mówi Piotr Rudzki.

Ten rodzaj polisy obejmuje trzy filary. To przede wszystkim szkody związane z odpowiedzialnością cywilną za zdarzenie cybernetyczne, w którego wyniku może dojść do wycieku danych osobowych klientów czy danych handlowych kontrahentów, co może się wiązać z koniecznością wypłaty odszkodowania czy poniesienia kosztów prawnych. Polisa obejmuje również szkody własne ubezpieczonego – koszty odtworzenia danych, utraconych zysków, a nawet koszt samego okupu cybernetycznego w przypadku ataków ransomware.

– Ważną wartością dodaną są usługi związane z reakcją na zdarzenie, czyli w ramach zapłaconej składki ubezpieczony może dodatkowo dostać dostęp do menedżera do spraw reagowania na incydent, a także firmy specjalizującej się w informatyce śledczej, kancelarii prawnej czy kancelarii PR-owej, które mają wesprzeć ubezpieczonego w obliczu tego kryzysu – wyjaśnia ekspert Aon Polska.

Raport Aon („Global Risk Management Survey”) wskazuje, że niektóre techniki ataków cybernetycznych z dużo większym prawdopodobieństwem mogą stanowić zagrożenie dla reputacji firmy (głównie malware/ransomware), co z kolei przekłada się na spadek jej wartości dla akcjonariuszy (średnio o 27 proc.).

– Polski rynek, z uwagi na jeszcze stosunkowo niski popyt na ubezpieczenia cyber w ostatnich latach, nie jest dobrze rozwinięty. Na zagranicznych rynkach, szczególnie tych zachodnioeuropejskich, jest dużo więcej dostawców tego typu rozwiązań ubezpieczeniowych. Te rynki rozwinięte też oferują lepsze zakresy ubezpieczenia, tak że mam nadzieję, że te trendy przejdą na nasz rynek i zakresy dostępne w ramach lokalnego rynku będą również coraz bardziej atrakcyjne – wskazuje Piotr Rudzki.

Jak podkreśla, rozbudowana oferta na bardziej rozwiniętych rynkach skutkuje również spadkiem cen tego typu polis. Z raportu Aon wynika, że w pierwszym kwartale globalne ceny spadły o 7 proc. i był to 10. kwartał spadków.

– Jeszcze kilka lat temu mieliśmy do czynienia z tzw. twardym rynkiem. To wynikało z tego, że ubezpieczyciele ponosili straty na ryzykach cybernetycznych, gdyż wypłacali wyższe odszkodowania, niż zbierali składki. To oczywiście wymusiło na nich podwyższanie składek i w końcu one osiągnęły taki pułap, który zapewnia zysk ubezpieczycielom, wobec czego też nowi gracze zaczęli wchodzić na ten rynek – wyjaśnia ten trend ekspert Aon Polska. – Zwiększa się konkurencja, a zatem składki znowu zaczynają spadać. To też jest powiązane z tym, że wraz ze wzrostem ryzyka firmy coraz więcej inwestują w swoje cyberbezpieczeństwo. Zatem są lepiej przygotowane, więc szkodowość, dolegliwość tego typu zdarzeń jest stosunkowo niższa w ostatnim czasie.

Analitycy Aon w globalnym raporcie wskazują, że średnia wypłata z tytułu ubezpieczenia spadła o 77 proc. mimo wzrostu częstotliwości zgłaszania roszczeń.

– Na polskim rynku też widzimy, że trochę zaczęła rosnąć konkurencja, gdyż wchodzą zagraniczni ubezpieczyciele, którzy już nasyceni składką na zachodnioeuropejskich rynkach szukają nowych możliwości biznesowych. To może być pewnym katalizatorem dalszych obniżek, aczkolwiek nie zauważamy, żeby w ostatnim czasie lokalni ubezpieczyciele byli gotowi znacząco obniżać składki – tłumaczy Piotr Rudzki.