Dzisiaj przypada Światowy dzień bezpiecznego Internetu. Z tej okazji chcielibyśmy zaproponować Wam ubezpieczenie na wypadek ataku hackerskiego, wskutek którego doszłoby do udostępnienia lub do przetworzenia danych osób trzecich.
Źródłem zagrożeń mogą być powiązane bezpośrednio z firmą, osoby takie jak : dostawcy, kontrahenci, czy też pracownicy. Szkody Cyber bywają wynikiem działań celowych, skutkiem niedbalstwa pracowników lub niedostare3cznego zabezpieczenia systemu informatycznego i przechowywanych danych.
Gdy ryzyko Cyber zmaterializuje się, jego konsekwencję mogą przybrać oblicze :
- Odszkodowawcze – zarówno w zakresie odpowiedzialności cywilnej wobec osób, których dane zostały naruszone, jak też odpowiedzialności administracyjnej,
- Ekonomiczne – obejmujące koszty obsługi incydentu informatycznego
- Reputacyjne – oznaczające utratę zaufania klientów i kontrahentów oraz konieczność pokrycia kosztów zarządzania marką i wizerunkiem firmy.
Polisa Cyber ma za zadanie ułatwić Ubezpieczonemu sfinansowanie kosztów i strat związanych z powyższymi obszarami.
ODPOWIEDZIALNOŚĆ CYWILNA ZA NARUSZENIE PRYWATNOŚCI
Naruszenie prywatności jest powszechne utożsamiane z wyciekiem danych osób fizycznych. Danych, za których ochronę odpowiada osoba lub instytucja, której powierzono.
W rzeczywistości prawnej pojęcie to może być znacznie szersze i oznaczać naruszenie jakiejkolwiek regulacji dotyczącej ochrony prywatności. Jest to przede wszystkim Rozporządzenie Europejskie o ochronie danych osobowych (RODO), ale też wszystkie inne (lokalne) ustawy o ochronie danych osobowych.
SEKCJA A
Odszkodowanie obejmuje przede wszystkim należne zadośćuczynienie i odszkodowanie dla osób fizycznych poszkodowanych przez bezprawny wyciek lub naruszenie ich danych. Nie ma przy tym znaczenie czy dane przechowywane był w formie cyfrowej czy papierowej.
Ponadto polisa pokryje koszty rozmaitych działań, które Ubezpieczony jest zobowiązany podjąć w celu zmniejszenia skutków wycieku lub utraty danych. Są to między innymi :
- obowiązek pisemnego poinformowania każdej osoby, które dane zostały bezprawnie ujawnione,
- działania podjęte w celu odtworzenia utraconych lub skompromitowanych danych,
- usunięcie danych z miejsc w sieci, w których znalazły się bez zgody osoby, której dane dotyczą.
SEKCJA B
Gdy dochodzi do wycieku danych osobowych lub innego naruszenia prywatności osób fizycznych, organy państwowe powołane do ich ochrony mogą wszcząć postępowanie regulacyjne. Urząd Ochrony Danych Osobowych oraz Prokuratura coraz częściej z tej możliwości korzystają.
Konsekwencją postępowania może być wydanie decyzji zobowiązującej winnego do konkretnego działania lub nałożenie na niego finansowej kary administracyjnej.
KOSZTY OBSŁUGI INCYDENTU INFORMATYCZNEGO
SEKCJA C
Incydent informatyczny to pojęcie znacznie szersze od wycieku danych. Może być nim każdy atak hackerski, lub wręcz proste stwierdzenie faktu, że nieuprawniona osoba miała dostęp do systemu informatycznego firmy i jej danych.
Polisa Cyber pokrywa koszty usług niezbędnych do odpowiedniego zarządzania obsługa takiego incydentu. Ubezpieczyciel nie tylko zrefunduję te koszty, lecz co ważniejsze na życzenie Ubezpieczonego zapewni odpowiednie usługi.
Dobrym przykładem jest tzw. informatyka śledcza. Niewiele firm zatrudnia ekspertów z kompetencjami w tym zakresie. Własny dział IT tworzą najczęściej administratorzy sieci, którzy z uwagi na zakres codziennych obowiązków nie mają z reguły wystarczających umiejętności do opanowania incydentu.
Jeżeli do tego zachodzi podejrzenie, że incydent jest konsekwencją błędów, zaniedbań lub wręcz umyślnego działania pracowników – współpraca z zewnętrznymi specjalistami jest absolutnie niezbędna.
Zapewnia w ramach naszej polisy Cyber usługa informatyki śledczej obejmuję :
- identyfikację skompromitowanych stacji roboczych, serwerów i innych urządzeń sieciowych oraz zabezpieczenie śladów włamań.
- określenie najlepszej metody zabezpieczenia danych oraz samo ich zabezpieczenie,
- analizę zebranych danych (pamięci RAM i dysków) w celu ustalenia sposobu, zainfekowania), analizę dzienników zdarzeń z tych systemów zewnętrznych, które także mogły zarejestrować aktywność intruza,
- odtworzenie historii działań atakującego i ofiary ataku (np. dla ustalenia sposobu zainfekowania)
- analizę dzienników zdarzeń z tych systemów zewnętrznych, które także mogły zarejestrować aktywność intruza.
Inne obszary obsługi incydentu, których koszty refunduję Ubezpieczyciel, mogą być zlecone :
- kancelariom prawnym zdolnym sprawnie obsłużyć pozwy także biurowe,
- agencjom Public Relations
ODPOWIEDZIALNOŚĆ CYWILNA ZA NARUSZENIE BEZPIECZEŃSTWA INFORMACJI U OSÓB TRZECICH
SEKCJA D
Sekcja ta chroni ubezpieczonego w sytuacji gdy niewłaściwe działanie jego systemu informatycznego lub nienależyte korzystanie przez niego z systemu zewnętrznego wyrządzi szkodę osobom trzecim.
Skutkiem może być powstały u osoby trzeciej wyciek danych lub inne jego straty. Szkodą mogą być omawiane już w sekcji C usługi informatyków śledczych, ale traktowane nie jako szkoda własna ubezpieczonego, ale jako szkoda osoby trzeciej.
Inne roszczenia mogą dotyczyć pokrycia kosztów agencji PR lub kancelarii prawnej, które osoba trzecia w związku z wyciekiem musi ponieść.
Polisa pokryje takie roszczenie, za które odpowiedzialność na zasadach ogólnych można przypisać ubezpieczonemu, czyli kiedy jest on właścicielem lub operatorem systemu informatycznego, którego wadliwość lub niewystarczające zabezpieczenia doprowadziły do wycieku. Ubezpieczenie obejmuję także koszty obrony przed nieuzasadnionymi roszczeniami.
Przykładem tego może być naruszenie lub wyciek (z winy Ubezpieczonego) danych przechowywanych w systemie osoby trzeciej :
- wyciek danych z systemu PESEL, do którego dostęp ma urząd gminy,
- wyciek z bazy NFZ, z której korzysta placówka medyczna.
Liczba scenariuszy szkodowych jest nieograniczona. Zależą one głównie od tego jakie skutki wywołało niepożądane działanie Ubezpieczonego lub złośliwe oprogramowanie, którym zainfekował on system osoby trzeciej. Może to być zaszyfrowanie – i w konsekwencji całkowita utrata – danych lub utrata ich wiarygodności, a nawet konieczność, ponownej instalacji całego systemu.
ODPOWIEDZIALNOŚĆ MULTIMEDIALNA
SEKCJA E
Zakres ochrony w polisie Cyber nie byłby pełny, gdyby nie obejmował odpowiedzialności cywilnej Ubezpieczonego z tytułu czynów popełnionych przez niego w wyniku publikacji za pomocą środków elektronicznych, a więc na stronach internetowych, w mediach społecznościowych lub w intranecie.
Odpowiedzialność taka obejmuję ochroną czyny polegające na :
- zniesławieniu, znieważeniu i pomówieniu,
- naruszeniu prawa do prywatności,
- naruszenie praw autorskich
- naruszeniu prawa do domeny lub znaku towarowego,dopuszczenie się plagiatu.
KOSZTY CYBER-WYMUSZENIA
SEKCJA F
Cyber-wymuszenia polega na:
- wprowadzaniu – lub wiarygodnej groźbie wprowadzenia – złośliwego oprogramowania lub zakłócenia pracy systemu informatycznego ubezpieczonego,
- rozpowszechnieniu – lub wiarygodnej groźbie rozpowszechniania – danych osób, za których bezpieczeństwo odpowiada Ubezpieczony.
Następnie cyber-przestępca – w zamian za zaprzestanie dalszych działań lub za przywrócenie dostępu do systemu lub danych tam przechowywanych – żąda zapłacenia określonej kwoty wyrażonej w kryptowalucie.
Tak wymuszona płatność stanowi szkodę własną Ubezpieczonego. Polisa obejmuję ją ochroną po wyborze Sekcji F – jest ona fakultatywna. Kwota wymuszonej na Ubezpieczonym płatności zostanie zrefundowana, tylko wtedy gdy Ubezpieczyciel wyraził uprzednio zgodę. Decyzja o udzielenie takiej zgody podejmowana jest w oparciu o szczegółową analizę sytuacji oraz opinię ekspertów z zakresu informatyki śledczej.
KOSZTY ODTWORZENIA DANYCH I UTRACONY ZYSK
SEKCJA G
Koszty odtworzenia danych i koszty przestoju bywają przedmiotem odrębnego ubezpieczenia majątkowego – jednak tylko wtedy, gdy są skutkiem fizycznej utraty lub uszkodzenia mienia
Objęcie ich ochroną także, wówczas gdy przyczyna ma charakter software’owy’ a nie “sprzętowy” jest dla wielu przedsiębiorców nie mniej istotne.
Sekcja G pokryje przede wszystkim szkodę własną Ubezpieczonego polegająca na koszcie odtworzenia jego własnych, utraconych danych. Obejmuję też, wymieniony w warunkach katalog kosztów, które Ubezpieczony zmuszony będzie ponosić mimo przestoju przedsiębiorstwa i związany z tym brak przychodów.
Zakres ten będzie szczególnie interesujący dla tych przedsiębiorstw, w których charakter działalności przesądza o tym, że to naruszenie bezpieczeństwa ich systemów, a nie pożar czy zalanie komputerów może spowodować długotrwały przestój.