Ubezpieczenie ryzyk cybernetycznych – czym ono jest i w jakim kierunku zmierza rynek tych ubezpieczeń?

Doniesienia naukowe
2019-12-16
lubie to symbol 4 udostepnij symbol 0

Ubezpieczenie ryzyk cybernetycznych – czym ono jest i w jakim kierunku zmierza rynek tych ubezpieczeń?

Ubezpieczenia cybernetyczne, inaczej cyberubezpieczenia, powstały pod koniec XX wieku w odpowiedzi na wzrost zagrożeń cybernetycznych i uchwalenie w USA przepisów o ochronie danych osobowych przewidujących surowe sankcje za dopuszczenie do ich wycieku. Zapewne tylko nieliczni pamiętają problem tzw. pluskwy millenijnej, odnoszący się do obaw o paraliż systemów komputerowych na masową skalę spowodowany kłopotami z zapisem roku 2000 w pamięci komputera.

Współczesne cyberubezpieczenia to pakiet wyspecjalizowanych ubezpieczeń majątkowych adresowanych do przedsiębiorstw, instytucji publicznych i innych organizacji, który łączy trzy elementy:

  • ubezpieczenie własnych szkód spowodowanych ryzykiem cybernetycznym (w tym przerwa w działalności wywołana incydentem cybernetycznym, koszty odtworzenia danych cyfrowych, cyber-wymuszenie, nieautoryzowane użycie kart płatniczych),
  • ubezpieczenie odpowiedzialności cywilnej z tytułu szkód w mieniu lub strat finansowych wyrządzonych osobom trzecim (np. wskutek naruszenia poufności danych przetwarzanych cyfrowo, z tytułu naruszenia prywatności, naruszenia bezpieczeństwa sieci, naruszenia bezpieczeństwa płatności),
  • ubezpieczenie assistance i ochrony prawnej w postaci pokrycia różnych kategorii kosztów związanych z incydentem cybernetycznym (m.in. koszty wynagrodzenia ekspertów z dziedziny informatyki śledczej, koszty doradztwa prawnego i reprezentacji prawnej w razie postępowania regulacyjnego, cywilnego lub karnego, a nawet wydatki na ochronę wizerunku).

Cechą wyróżniającą ubezpieczenia cybernetyczne jest niezwykle drobiazgowa ocena ryzyka przed zawarciem umowy ubezpieczenia. Towarzystwa ubezpieczeń posługując się rozbudowanymi kwestionariuszami, a niekiedy również audytem ryzyka przeprowadzonym przez wyspecjalizowaną firmę z branży IT, dążą do jak najdokładniejszego określenia poziomu cyberbezpieczeństwa podmiotu ubiegającego się o zakup ubezpieczenia. Jest to jeden z kluczowych sposobów redukcji asymetrii informacji w relacji ubezpieczyciel-ubezpieczony, a jednocześnie czynnik stymulujący wdrażanie najlepszych praktyk w zakresie cyberbezpieczeństwa organizacji. W tym kontekście mówi się wręcz o tzw. outsourcingu regulacyjnym, a więc o sytuacji, gdy towarzystwa ubezpieczeń wyręczają organy regulacyjne w kontroli zgodności wewnętrznych polityk cyber security z regulacjami prawnymi. Warto odnotować, iż nabywając polisę ubezpieczenia cybernetycznego, organizacja zyskuje dostęp do szerokiego katalogu specjalistycznych usług dodatkowych, świadczonych na etapie przedszkodowym, jak i po wystąpieniu szkody, za które nieubezpieczony przedsiębiorca musiałby zapłacić z własnych środków lub w ogóle nie mógłby sobie na nie pozwolić. Nie powinien więc dziwić fakt, iż cyberubezpieczenia wzbudzają coraz większe zainteresowanie nie tylko w Stanach Zjednoczonych, które zdecydowanie dominują w przypisie składki, ale także w Europie i Azji.

Aktualny stan rozwoju

W raporcie „Cyber insurance – The market’s view”, opublikowanym przez firmę badawczą Advisen i towarzystwo reasekuracji PartnerRe w październiku 2019 r., zdiagnozowano aktualny stan rozwoju globalnego rynku ubezpieczeń cybernetycznych. Kluczowe wnioski w nim zawarte można streścić następująco:

  • Głównymi nabywcami cyberubezpieczeń są przedsiębiorstwa przemysłowe oraz firmy z branży usług profesjonalnych, które wyprzedziły wcześniejszego lidera, jakim był przez szereg lat sektor ochrony zdrowia.
  • Najważniejszym czynnikiem motywującym do zakupu ubezpieczenia cybernetycznego są informacje medialne o incydentach cybernetycznych w innych podmiotach. Istotną rolę odgrywają też własne doświadczenia ze szkodami cybernetycznymi oraz wymagania partnerów biznesowych.
  • Pomimo tego, że cyberubezpieczenia nie są produktem nowym, nadal dochodzą z rynku sygnały, iż jest to produkt nie do końca zrozumiały i wysoce skomplikowany. Klienci zwracają też uwagę na jego wysoki koszt, choć – co ciekawe – w opinii reprezentantów strony podażowej poziom składek jest na minimalnym poziomie, głównie dzięki relatywnie niskiej szkodowości.
  • Najczęściej wybieranym zakresem ochrony ubezpieczeniowej jest strata finansowa spowodowana przerwą w działalności spowodowaną incydentem cybernetycznym. Niewiele mniejszym zainteresowaniem cieszy się ubezpieczenie szkody spowodowanej wyłudzeniem środków pieniężnych w drodze inżynierii społecznej, cyber-wymuszeniem (tj. zaszyfrowaniem danych na komputerze przez cyberprzestępcę, a następnie żądanie okupu za ich odszyfrowanie) oraz dopuszczeniem do wycieku danych osobowych.
  • Wbrew wcześniejszym prognozom, wejście w życie Ogólnego Rozporządzenia o Ochronie Danych Osobowych (RODO) nie stało się aż tak silną stymulantą popytu na cyberubezpieczenia w Europie. Choć odnotowano skokowy wzrost świadomości zagrożeń związanych z ochroną prywatności w sieci, prawdopodobnie dopiero wystąpienie poważnych incydentów wycieku danych i informacje o surowych karach administracyjnych nałożonych przez krajowe urzędy ochrony danych osobowych spowodują większe zapotrzebowanie na tego rodzaju ochronę ubezpieczeniową.

 

Reasumując, ubezpieczenia ryzyk cybernetycznych systematycznie zyskują znaczenie w branży cyber security. Choć zapewne nigdy nie zastąpią rozwiązań techniczno-informatycznych i organizacyjno-prawnych w budowaniu cyberbezpieczeństwa, mogą pełnić rolę komplementarną – szczególnie w finansowaniu negatywnych skutków tzw. ryzyka rezydualnego (tj. ryzyka, które pozostało po zastosowaniu wyżej wymienionych rozwiązań).

 

Bibliografia:

Advisen & PartnerRe [2019], Cyber insurance – The market’s view, Październik 2019, https://cdn2.hubspot.net/hubfs/2558521/2019%20whitepapers/PartnerRe_CyberSurvey_2019.pdf (dostęp 12.12.2019).

O autorze

dr Grzegorz Strupczewski

Adiunkt w Katedrze Zarządzania Ryzykiem i Ubezpieczeń UEK

Jego zainteresowania badawcze koncentrują się na ekonomicznych aspektach cyberbezpieczeństwa i ochrony danych osobowych, analizie ryzyka cybernetycznego, metodach zarządzania tym ryzykiem oraz zastosowaniach cyberubezpieczeń.