Polscy przedsiębiorcy nie dostrzegają znaczenia ubezpieczenia od ryzyka cybernetycznego, ale prędzej czy później przekonają się do niego. W maju 2018 roku wchodzi w życie unijne rozporządzenie o ochronie danych osobowych, które sprawi, że wrośnie znaczenie cyberubezpieczeń oraz polis dla zarządów.
Zagrożenia związane z działaniami cybernetycznymi awansowały na drugie miejsce w obu Amerykach i Europie oraz znajdują się w pierwszej trójce pól ryzyka na świecie, a w Niemczech, Holandii, RPA i Wielkiej Brytanii na miejscu pierwszym. Ryzyko cybernetyczne budzi największe obawy wśród firm z branży informatycznej i komunikacyjnej oraz sektorów handlu detalicznego i hurtowego. Wysoką pozycję ryzyka cybernetyczne zawdzięczają skutkom pośrednich cyberataków, zagrożeniom o charakterze prawno-legislacyjnym oraz usterkom technicznym i błędom popełnianym przez pracowników w cyfrowym środowisku produkcyjnym – wynika z opublikowanego w styczniu 2017 roku szóstego dorocznego Barometru Ryzyk Allianz, który powstał na podstawie analizy ryzyk korporacyjnych na świecie i w podziale na regiony, kraje, branże i według rozmiarów firm.
Allianz sprawdził też, które cyberzagrożenia powodują największe straty. Na pierwszy miejscu znalazła się przerwa w działalności i wpływ na łańcuch dostaw (68 proc.), na kolejnych utrata reputacji (63 proc.), roszczenia po naruszeniu/ujawnieniu danych (45 proc.) i koszty przywrócenia przechowywanych danych (30 proc.).
Jak wskazują eksperci Marsh, w 2016 roku najwięcej cyberataków odnotowały branże: finansowa, produkcyjna, telekomunikacyjna, instytucje rządowe i sektor zdrowia. Hakerzy szczególnie chcą zdobyć informacje obejmujące tajemnice handlowe firm, a także dotyczące systemów kontroli i planów strategicznych podmiotów. Ryzyka cybernetyczne to nie tylko ataki hakerskie, ale też zagrożenia związane z wyciekiem danych, niekoniecznie związanych z elektronicznym przetwarzaniem. Jak podaje AIG, średni koszt pojedynczego incydentu związanego z wyciekiem danych w Europie w 2016 roku osiągnął ponad 4 mln dolarów.
Na dojrzalszych od polskiego rynkach zachodnich oferta ubezpieczycieli jest bogatsza, a firmy chętniej korzystają z cyberpolis, choć i tam nie są to produkty szczególnie popularne. Inaczej jest za oceanem.
– Polska jest nawet nieco w tyle za krajami takimi jak Francja czy Niemcy. Nie możemy i długo nie będziemy mogli równać się z USA, gdzie ubezpieczenia cyber stają się powoli standardem, takim nowym ubezpieczeniem od pożaru lub powodzi – mówi Włodzimierz Pyszczek, menedżer Wydziału Ubezpieczeń Ryzyk Finansowych w Allianz.
Inne obserwacje europejskiego rynku są udziałem brokerów. Jak zauważa Anna Pluta, lider Praktyki Ryzyka Cybernetyczne w Marsh Polska, duże zainteresowanie ubezpieczeniami od cyberryryzyka występuje w tych krajach europejskich, w których istnieją rygorystyczne, lokalne przepisy w zakresie ochrony danych osobowych.
Statystyki nie są znane
Ryzyko cybernetyczne jest dziś jednym z głównych zagrożeń także dla polskich przedsiębiorstw, co pokazały niedawne ataki hakerów na banki. Na negatywne skutki incydentów cybernetycznych narażona jest każda firma zarządzająca danymi w formie elektronicznej, przechowywanymi na komputerach, serwerach czy w internecie, a także przedsiębiorstwa zależne od systemów informatycznych.
Eksperci PwC podkreślają, że nadal nie znamy pełnej skali ani statystyk dotyczących cyberprzestępstw w Polsce, mimo dość dużego zainteresowania tym tematem. Wynika to z faktu, że firmy nie mają szerokiego obowiązku raportowania o incydentach związanych z cyberbezpieczeństwem i niechętnie się chwalą, jeśli stały się celem takich ataków. Nie wiadomo więc dokładnie, ile firm jest celem cyberataków i jakie są ich skutki.
Brak wiedzy wpływa na brak zaufania do polis, które często uważane są zbędny i kosztowny dodatek. To się może zmienić w przyszłym roku. Unijne rozporządzenie o ochronie danych osobowych (w skrócie RODO) zacznie obowiązywać wszystkich przedsiębiorców od 25 maja 2018 r. Obecnie trwa okres ustanowiony dla przedsiębiorców na wdrożenie jego wymagań. Jak wyjaśnia Anna Walosińska, dyrektor zarządzająca Data Protection Advisory, rozporządzenie wprowadza wiele zmian, przede wszystkim jasne przepisy regulujące wymogi dla średnich przedsiębiorstw. Dziś około 90 proc. firm z rynku MŚP nie ma wprowadzonych podstawowych procesów chroniących danych klientów i kontrahentów. Za regulacjami idą bardzo wysokie kary dla przedsiębiorców nieprzestrzegających wymogów rozporządzenia, sięgające nawet 20 mln euro.
– Sądzę, że więcej o stanie naszego bezpieczeństwa cybernetycznego dowiemy się po wejściu w życie przepisów wdrażających unijne rozporządzenie o ochronie danych osobowych, przynajmniej w zakresie incydentów dotyczących niekontrolowanych wycieków gromadzonych przez firmy danych osobowych. To może być przełom, który zwiększy m.in. zainteresowanie ochroną oferowaną przez ubezpieczycieli, rozwinie produkty ubezpieczeniowe, ale przede wszystkim zwiększy świadomość co do wagi, jaką firmy powinny przywiązywać do bezpieczeństwa systemów informatycznych – uważa Marcin Makusak, dyrektor w zespole zarządzania ryzykiem w PwC.
Polisy od cyberataków służą do likwidacji kosztownych szkód i zapewnią pieniądze na przeprowadzenie akcji informacyjnych wśród klientów oraz odszkodowania z tytułu kradzieży danych. Do tego już sam proces wykrycia i usunięcia zagrożenia wiąże się z potrzebą uruchomienia znacznych nakładów finansowych. Coraz więcej ubezpieczycieli wychodzi z ofertą polis cyber, którą kierują nie tylko do dużych firm, ale i podmiotów z sektora MŚP.
W przypadku ubezpieczeń cyber jedno zdarzenie może powodować rewolucję w ofercie. może dojść „fali powodziowej”, gdzie pojawienie się jednego nowego schematu cyberprzestępstwa lub na przykład nowego wirusa komputerowego może wywołać szkody na masową skalę u wielu podmiotów w krótkim czasie. Z tego powodu nie można wykluczyć, że oferta rynku ubezpieczeniowego może się w krótkim czasie zmienić.
– Obecnie przede wszystkim jest potrzeba zwiększenia sprzedaży produktów już dostępnych. Dzisiejszy wolumen polis cyber nie tworzy odpowiednio dużego portfela pozwalającego na statystyczne rozłożenie szkodowości. Czyli potencjalnie jedna bardzo duża szkoda mogłaby spowodować wycofanie się danego ubezpieczyciela z oferowania tego produktu. Nie jest powiedziane, że kolejne zmiany w prawie nie wymuszą na ubezpieczycielach konieczności zbudowania nowej oferty produktowej, ale obecnie trudno oczekiwać takich rozwiązań – mówi Sylwia Kozłowska, dyrektor Departamentu Odpowiedzialności Cywilnej Zawodowej Willis Towers Watson Polska.
Nie tylko polisy cyber
Po wejściu w życie rozporządzenia RODO z uwagi na dość szeroko zakreślone obowiązki przedsiębiorców w zakresie ochrony danych osobowych oraz skutki ich nieprzestrzegania, szerszym zainteresowaniem powinny cieszyć się również ubezpieczenia władz spółek i menedżerów (D&O). Ubezpieczenie to jest dzisiaj standardowo zawierane przez spółki giełdowe i duże przedsiębiorstwa. Nowe przepisy mogą zwiększyć ekspozycję firm na ryzyka, przed którymi zabezpieczają polisy D&O. Jeśli zarządy spółek nie przygotują się odpowiednio do nowego środowiska prawnego, właściciele takich spółek mogą pociągnąć do odpowiedzialności członków zarządu.
– Ubezpieczenie D&O pozwoli właścicielom na skuteczne formułowanie roszczeń, jeżeli okaże się, że do uchybień w zakresie przetwarzania danych osobowych, w tym w zakresie ochrony tych danych, doszło z winy zarządzających – tłumaczy Łukasz Zoń, prezes Stowarzyszenia Polskich Brokerów Ubezpieczeniowych i Reasekuracyjnych.
Polisy dla zarządów zyskały na popularności po wejściu w życie rozporządzenia MAR, dotyczącego odpowiedzialności za bieżące informowanie rynku o sytuacji spółek notowanych na rynku papierów wartościowych. Teraz szykują się dalsze wzrosty sprzedaży.
– Po raz kolejny pod wpływem zmian w prawie polisa D&O pokaże swoje nowe oblicze – wyjaśnia Sylwia Kozłowska.
Źródło: obserwatorfinansowy.pl