ubezpieczenie cyber polisa cybernetyczna ryzyko cyber dane osobowe

Jak firmie może zaszkodzić malware?

Złośliwe oprogramowanie

Malware to szerokie pojęcie obejmujące programy czy fragmenty kodów zaprojektowane do wykonywania operacji na komputerach, urządzeniach mobilnych, systemach komputerowych i sieciach, do których uzyskają dostęp. Aby malware mógł zaszkodzić firmie potrzebna jest zgoda na jego instalację lub czasami odwiedzenie zainfekowanej witryny. W każdym wypadku zarażenie zawsze wyzwala nieświadomy użytkownik – w przypadku przedsiębiorstw – pracownik czy właściciel. W jaki sposób?

  • przeglądanie zainfekowanych stron,
  • pobieranie zainfekowanych plików,
  • instalowanie i konfigurowanie programów, dodatków od nieznanego dostawcy, z nieznanego, niesprawdzonego źródła,
  • instalowanie aplikacji, uzyskujących dostęp do danych,
  • otwieranie zainfekowanych załączników wiadomości,
  • inne czynności związane z pobieraniem plików z internetu,
  • korzystanie z urządzeń niedostatecznie lub w ogóle niezabezpieczonych.

Jak szkodzi?

  • kradzież, szyfrowanie lub usunięcie danych klientów lub poufnych danych firmowych,
  • szpiegowanie działań na komputerze firmowym,
  • wykorzystywanie mocy przerobowej komputerów firmowych do własnych celów np. zarabiania wirtualnej waluty,
  • blokowanie urządzeń,
  • cyber przestępca może kraść dane lub dezintegrować działanie urządzeń w celu żądania okupu.

Co to oznacza dla firmy? Zarażenie urządzeń firmowych malware to przede wszystkim niebezpieczeństwo cyber ataku na dane klientów lub informacje firmowe (takie jak know how, dane do logowań, dane kart płatniczych). Konsekwencją działania wirusa może być również przestój w działalności, wynikający z blokady dostępu do urządzeń, sieci, utraty danych czy czasu potrzebnego na zgromadzenie środków na okup. W każdym z następstw zainfekowania szkodliwym malware przedsiębiorstwo narażone jest na wysokie koszty.

Jak sprawdzić czy urządzenia firmowe zarażone są malware?

Jeśli zauważysz niepokojące zmiany takie jak:

  • wolne działanie urządzenia, częste zawieszanie się lub wyświetlanie się niebieskiego ekranu,
  • akumulatory w urządzeniach mobilnych szybko się rozładowują,
  • telefon sam włącza Wi – Fi,
  • często wyskakujące okienka reklamowe,
  • zmniejszenie się miejsca na dysku,
  • przeglądarka zmienia się, działa wolno, pojawia się nowy pasek zadań,
  • program antywirusowy przestaje działać,
  • komputer pracuje z dużą mocą, wentylator działa z pełną prędkością,
  • klienci informują o dziwnych telefonach czy e-mailach

skontaktuj się z informatykiem. Niestety malware może również zainfekować system firmowy bez zauważalnych zmian. Wyjątkowo szkodliwe programy mogą niedostrzegalnie wykraść dane lub wykorzystać urządzenia firmowe do rozprzestrzeniania się na urządzenia klientów.

Zabezpiecz się!

Przedsiębiorca powinien być świadomy, że malware atakuje nie tylko komputery ale także, jak wskazują statystyki z ostatnich lat, urządzenia mobilne. Smartfony i tablety padają celem cyber ataków, ponieważ ich użytkownicy znacznie rzadziej je zabezpieczają. Warto również wiedzieć, że mimo obiegowej opinii system Mac jest podatny tak samo na zagrożenia, jak system Windows. Liczba wariantów i odmian nowo powstających wirusów jest tak przytłaczająco duża, że poza dobrej jakości programem antywirusowym i wszelkim zabezpieczeniami systemów firmowych przedsiębiorca powinien także rozważyć posiadanie dobrej cyber polisy. Ubezpieczenie od ryzyk cybernetycznych zabezpiecza firmę przed wysokimi kosztami cyber ataków i pozwala na zachowanie dobrej renomy również w przypadku wycieku danych klientów.

 

NASTĘPNY

ubezpieczenie cyber ubezpieczenie od ryzyk cybernetycznych

Czym jest phishing?

Phishing

Sekretarka otrzymała wiadomość mailową z banku o konieczności aktualizacji konta firmowego poprzez podanie danych firmowej karty kredytowej. Ponieważ wiadomość wyglądała, jak typowy mail z banku, jakie otrzymywała wcześniej, nie wzbudził jej podejrzeń. Sekretarka posiadała firmową kartę do opłacania drobnych usług i nie chcąc angażować księgowej, z którą nie miała dobrych relacji pracowniczych, postanowiła sama odpowiedzieć na wiadomość z banku. Po kilku dniach bezskutecznie próbowała użyć karty firmowej.  Po rozmowie z konsultantem z infolinii bankowej dowiedziała się, że w ciągu ostatnich kilku dni dokonano kilkunastu różnych operacji, wypłacając wszystkie dostępne środki z konta, do którego przypisana była jej karta.

Manipulacja

Powyższy przykład obrazuje, w jaki sposób działa phishing, jedno z najbardziej powszechnych cyber przestępstw. Mechanizm wyłudzenia danych opiera się w tym przypadku na znalezieniu słabego punktu użytkownika sieci. Cyber przestępcy nie usiłują złamać systemu zabezpieczeń. Skupiają się raczej na uśpieniu czujności użytkownika, rutynie, naiwności czy nawet złej komunikacji wśród pracowników. Zdarza się, że fałszywe wiadomości do złudzenia przypominają informacje z istniejących firm czy organizacji (banków, agencji rządowych, internetowych systemów płatności, firm kurierskich)– zawierają prawdziwe logotypy i obowiązującą szatę graficzną. Ich celem jest nakłonienie odbiorcy do podania danych (mogą to być dane osobowe, dane kart płatniczych lub dane do logowania) przeważnie w celu aktualizacji, zatwierdzenia czy usunięcia błędu. Kliknięcie w załączony link przekierowuje użytkownika na fałszywą stronę, z poziomu której nakłania się go do ujawnienia danych. Ze względu na powszechność i skuteczność phishingu wyodrębniono trzy jego specjalizacje.

Spersonalizowany

Tak zwany spear phishing kierowany jest na konkretną osobę lub firmę. Poprzedza go proces zbierania informacji na temat celu cyber ataku. Dobrze przygotowany cyber przestępca jest niezwykle skuteczny w wyłudzeniu informacji i może stanowić poważne zagrożenie dla przedsiębiorstwa. Znanym przykładem spersonalizowanego phishingu był cyber atak na konto emailowe Hilary Clinton.

Klonowanie

To przykład kopiowania treści i wyglądu prawdziwych maili. Fałszuje się załączniki lub linki oraz adres nadawcy tak, aby wyglądały na oryginalne.

Whaling

Kierowany jest, używając kolokwializmu, na „grubą rybę” a więc na managerów wyższego szczebla czy duże przedsiębiorstwa branży biznesowej. Wymaga precyzyjnego przygotowania ze strony cyber przestępcy w zdobyciu szczegółowych informacji na temat wybranego celu. Często są to sfałszowane wiadomości pochodzące z kancelarii prawniczych czy urzędów państwowych, nakłaniające do instalacji złośliwego oprogramowania, które ściąga poufne dane firmowe.

Jak rozpoznać phishing?

Przede wszystkim trzymaj się zasady ograniczonego zaufania w stosunku do wszelkich wiadomości mailowych typu:

  • „Jeśli nie podasz swoich danych osobowych, Twoje konto zostanie NIEODWRACALNIE ZABLOKOWANE!”
  • „Aby aktualizować konto, kliknij w link, podaj dane użytkownika i hasło”
  • „Witaj. Prosimy o niezwłoczne opłacenie zaległej faktury. Pobierz fakturę.”

Zwróć uwagę na poszczególne elementy wiadomości:

  •  link (nie klikaj ale najedź na niego myszką, powinna pokazać się pełna nazwa),
  •  sposób zapisania załączonych plików (dlaczego faktura zapisana w pliku .rar?),
  •  błędy w pisowni,
  •  jakość grafiki,
  •  adres domeny (drobne zmiany np. zamiast .gov jest .com).

Nie klikaj w linki i załączniki podejrzanie wyglądających wiadomości.

Konsekwencje

Przedsiębiorstwo stające się ofiarą cyber ataku narażone jest na:

  • koszty wynikające z przekazania danych logowania do kont,
  • utratę know how, poufnych informacji firmowych,
  • koszty naprawy szkody powstałej w wyniku incydentu,
  • utratę reputacji,
  • koszty odszkodowań,
  • utratę danych osobowych klientów,
  • przestój w działalności,
  • koszty kar administracyjnych,
  • utratę płynności finansowej,
  • koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych.

Zabezpiecz się

Liczba cyber ataków z wykorzystaniem phishingu stale rośnie.  W III kwartale 2018 roku wykryto ponad 137 mln prób odwiedzenia stron phishingowych, co stanowi ponad połowę liczby odnotowanej w całym roku 2017. Na rynku polskim dostępne są dobrej jakości produkty ubezpieczeniowe zabezpieczające firmy na wypadek cyber ataku. Właściwie dobrana ochrona powinna stanowić element zarządzania ryzykiem zwłaszcza w  przypadku przedsiębiorstw korzystających z systemów teleinformatycznych , specjalistycznych oprogramowań, zintegrowanych rozwiązań informatycznych. Także firmy przetwarzające dane osobowe swoich klientów, szczególnie jeśli są to dane wrażliwe powinny zabezpieczyć się odpowiednią polisą od skutków cyber ataków.

 

NASTĘPNY

ubezpieczenie cyber polisa cyber przetwarzanie danych osobowych

Czy moja firma przetwarza dane osobowe?

Przetwarzanie danych osobowych

Każdy obywatel Rzeczypospolitej Polskiej posiada konstytucyjnie zagwarantowane prawo do prywatności i ochrony jego danych. Prawo to ponadto normowane jest przez szereg ustaw i rozporządzeń, których przepisy obowiązują podmioty przetwarzające dane osobowe. Firma prowadząc swoją działalność za pomocą Internetu, np. generując bazy adresowe klientów na komputerach podłączonych do sieci, prowadząc akcje meilingowe, newsletterowe czy smsowe przetwarza dane osobowe. To istotne, aby przedsiębiorcy mieli świadomość, że podlegają wówczas uregulowaniom prawnym a nieścisłości i uchybienia w kwestii bezpieczeństwa posiadanych danych podlegają karom.

Kary

O nałożeniu kary i jej wysokości decyduje Prezes Urzędu Ochrony Danych Osobowych. Wysokość grzywien ustalona została w dwóch progach – do 10 mln euro lub 2% rocznego obrotu oraz do 20 mln euro lub 4% rocznego obrotu. Od tego do jakiego progu odwoła się UODO zależy rodzaj naruszenia przepisów prawa o ochronie danych osobowych. Poza karami finansowymi ustawa przewiduje również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych. W jakich sytuacjach przedsiębiorstwo może naruszyć normy przetwarzania danych?

Umowa powierzenia przetwarzania danych osobowych

Jeśli przedsiębiorca zleci firmie zewnętrznej np. informatycznej czy księgowej realizację usług, wymagających przekazania danych osobowych zobowiązany jest do sporządzenia umowy powierzenia przetwarzania danych osobowych. W przeciwnym wypadku może liczyć się z nałożeniem kary do wysokości pierwszego progu.

Zgłoszenie incydentu wycieku danych

W firmie prawniczej doszło do cyber kradzieży medycznych dokumentacji przekazywanych przez klientów na potrzeby procesowe. Administrator danych w ciągu 72 godzin nie zgłosił powyższego incydentu organowi nadzorczemu. W takim wypadku na kancelarię prawniczą może zostać nałożona kara do wysokości pierwszego progu.

Bezpieczeństwo danych

Pracownik agencji reklamowej zabrał do domu służbowy laptop, na którym zapisał tabelę z danymi klientów – imię i nazwisko oraz dane teleadresowe. Pracodawca nie zadbał jednak o zabezpieczenie sprzętu pracowniczego i nie zakodowano firmowych laptopów. Podczas drogi do domu pracownikowi agencji skradziono komputer z danymi klientów. Nie przestrzeganie zasady bezpieczeństwa przetwarzanych danych, z jakim mamy do czynienia w tym przypadku również karane jest grzywną pierwszego progu.

Zasada celowości

Firma gromadziła dane klientów na potrzeby zawarcia i realizacji umowy o świadczenie usług. Jeden z klientów nie wyraził zgody na przetwarzanie jego danych osobowych dla celów marketingowych. Po wygaśnięciu umowy, otrzymywał jednak oferty reklamowe od firmy. W tym przypadku mamy do czynienia z naruszeniem zasady celowości. Pierwotnym celem przetwarzania danych było bowiem zawarcie umowy z klientem. Po wygaśnięciu umowy natomiast, bez zgody klienta dalsze przetwarzanie danych do innych celów jest niezgodne z ustawą. Gdyby UODO nałożył karę grzywny na firmę, jej wysokość określałby w niniejszym przypadku próg drugi.

Zgoda na przetwarzanie danych

Sklep internetowy sprzedający zabawki zbiera od klientów zgody na przetwarzanie danych osobowych w celach marketingowych w połączeniu ze zgodą na przesyłanie informacji handlowych drogą elektroniczną. Klient może więc zaznaczyć obie zgody jednocześnie lub żadnej z nich. To praktyka nie zgodna z prawem, bowiem klient pozbawiony jest możliwości wyrażenia zgody na przetwarzanie jego danych osobowych w jednym konkretnym celu w sposób jednoznaczny. W takie sytuacji UODO nakłada grzywnę do wysokości drugiego progu.

Od czego zależy wysokość kary?

Jak czytamy w rozporządzeniu RODO, wysokość kar uzależniona jest od kilku czynników:

  • charakteru (umyślne czy nieumyślne) i czasu trwania naruszenia prawa,
  • skali poszkodowanych osób,
  • rozmiarów szkody poniesionych przez klientów,
  • wcześniejszych naruszeń prawa o ochronie danych osobowych przez kontrolowaną firmę.

Co ważne, inspektorzy UODO za każde uchybienie mogą nałożyć odrębną karę.

Przetwarzanie danych

Z powyższego wynika zatem, jak istotne znaczenie ma fakt uświadomienia sobie przez przedsiębiorcę, że realizując swoja działalność, dokonuje opartego na ściśle określonych zasadach prawa przetwarzania danych. Jeśli zatem firma wykonuje jedną lub kilka z poniższych czynności:

  • zbiera,
  •  utrwala,
  •  organizuje,
  •  porządkuje,
  •  przechowuje,
  •  adaptuje,
  •  modyfikuje,
  •  pobiera,
  •  przegląda,
  •  wykorzystuje,
  •  ujawnia poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  •  dopasowuje, łączy,
  •  ogranicza,
  •  usuwa i niszczy

dane osobowe swoich klientów, zwłaszcza jeśli dokonuje je w systemach informatycznych, to przetwarza dane osobowe.

Zabezpieczenie

Firmy przetwarzające dane osobowe narażone są na ryzyko kosztów nie tylko kar administracyjnych. To także koszty cyber ataków, zadośćuczynień i odszkodowań, naprawy zaistniałych incydentów, odzyskania reputacji czy przestojów w działalności. Ze względu na nieustanny rozwój cyber przestępczości, w zasadzie nie istnieją rozwiązania dające 100 % pewność ochrony przed naruszeniem bezpieczeństwa przetwarzanych danych. Dlatego racjonalnym rozwiązaniem jest zabezpieczenie się na okoliczność kosztów odpowiednią polisą od ryzyk cybernetycznych.

 

NASTĘPNY

ubezpieczenie cyber ryzyko cyber ataku dane osobowe dane wrażliwe

Dane osobowe

Definicja

Ustawa o ochronie danych osobowych (UODO) z 1997 roku definiuje dane osobowe jako wszelkie informacje (imię i nazwisko, numer identyfikacyjny, jeden lub kilka specyficznych czynników określających cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne), które dotyczą zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. RODO uściśla powyższą definicję dodając do czynników umożliwiających identyfikację: dane o lokalizacji, identyfikator internetowy oraz czynnik określający cechy genetyczne. Jak należy rozumieć nowe terminy wprowadzone przez RODO?

Geodane

Dane o lokalizacji odnoszą się do informacji wytwarzanych przez użytkowników aplikacji mobilnych. Są to wszelkie informacje wskazujące położenie geograficzne urządzenia użytkownika publicznej usługi łączności elektronicznej (wg regulacji PECR). Obejmują one również informacje o wymiarach urządzenia, kierunku przemieszczania się użytkownika, czasie rejestracji danych o lokalizacji. Geodane pozyskiwane z wbudowanych w urządzenia nadajników GPS, Bluetootha czy Wi-Fi połączone z konkretnym użytkownikiem mogą stanowić identyfikator osoby fizycznej, np. częste wizyty w szpitalu onkoligicznym, generowane przez aplikacje do zamawiania przejazdów. Jakie urządzenia i aplikacje mogą tworzyć dane o lokalizacji? To między innymi wszelkie aplikacje mapowe, pogodowe, do łączenia kierowców i pasażerów i połączone z nimi smartfony i tablety czy krokomierze połączone z aplikacjami fitness.

Identyfikator internetowy

To wszelkie identyfikatory przypisane użytkownikom przez ich urządzenia, aplikacje, narzędzia, protokoły, etykiety RFID itp., które pozostawiają ślady obecności użytkownika. W połączeniu z unikatowymi identyfikatorami i innymi danymi pozyskiwanymi przez serwery mogą tworzyć profile, służące do identyfikowania osób fizycznych. Gdzie spotykamy się z identyfikatorem internetowym? Popularne identyfikatory to adresy IP komputerów, pliki cookie, kody kreskowe na zakupionych produktach lub przyklejone na walizkach, chipy wszyte w ubrania.

Dane genetyczne

To wyjątkowe, niepowtarzalne informacje o fizjologii i stanie zdrowia osoby fizycznej, od której pobrano próbkę biologiczną. Pozwalają nie tylko na jednoznaczną identyfikację konkretnej osoby ale także na pozyskanie informacji na temat cech jej rodziny. Dane genetyczne pobierane są podczas badań, w tym także prenatalnych i mogą być gromadzone dla celów naukowych w tzw. biobankach. Ze względu na ich wartość ekonomiczną dane genetyczne stają się przedmiotem zainteresowań biznesu, jako potencjalny czynnik minimalizacji ryzyka działalności.

Obok danych genetycznych na uwagę zasługują także dane biometryczne, umożliwiające jednoznaczną identyfikację osoby, od której zostały pobrane. Należą do nich skany linii papilarnych, rysów twarzy czy siatkówki oka. Są to dane, których pobranie od niedawna możliwe jest wyłącznie za dobrowolną zgodą osoby fizycznej.

Kryterium danych osobowych

Zarówno ustawa o ochronie danych osobowych, jak i RODO za główne kryterium uznania informacji umożliwiających identyfikację osoby fizycznej za daną osobową przyjmuje proces i kontekst ich przetwarzania. Ustala się zatem, że dane osobowe to te informacje, które umożliwiają identyfikację niewielkim nakładem pracy – kosztem i czasem, uwzględniając dostępną w momencie ich przetwarzania technologię oraz postęp technologiczny. Kryterium nie jest więc sztywne i opiera się na racjonalnych i prawdopodobnych czynnikach obiektywnych.

Dane wrażliwe

To szczególna kategoria danych osobowych, których przetwarzanie jest zabronione, poza wyjątkami określonymi szczegółowo w ustawie. Jakie informacje są sensytywne?

  • dane ujawniające pochodzenie rasowe lub etniczne,
  • poglądy polityczne,
  • dane genetyczne,
  • przekonania religijne lub światopoglądowe,
  • dane biometryczne,
  • przynależność do związków zawodowych,
  • informacje dotyczące stanu zdrowia.

Ustawa zakłada, że informacje wrażliwe mogą być przetwarzane tylko w uzasadnionych przypadkach, nie naruszających interesu osoby, której dotyczą lub jeśli osoba wyraziła wyraźną dobrowolną zgodę na ich przetwarzanie. Przypadki te wymieniono enumeratywnie w ust. 2 art. 9 RODO.

Przetwarzanie danych osobowych

Definicja przetwarzania danych osobowych wprowadzona przez ustawę z 1997 roku w zasadzie nie zmieniła się po regulacji RODO. Bardziej szczegółowo dookreślono czynności dokonywane na danych osobowych, jakie uznaje się za przetwarzanie. Są to:

  • zbieranie,
  • utrwalanie,
  • organizowanie,
  • porządkowanie,
  • przechowywanie,
  • adaptowanie,
  • modyfikowanie,
  • pobieranie,
  • przeglądanie,
  • wykorzystywanie,
  • ujawnianie poprzez przesyłanie, rozpowszechnianie lub innego rodzaju udostępnianie,
  • dopasowanie, łączenie,
  • ograniczanie,
  • usuwanie i niszczenie.

Jeśli przedsiębiorstwo przetwarza dane osobowe, jest zobowiązane przetwarzać je zgodnie z określonymi ustawowo zasadami. Przede wszystkim musi zapewnić danym osobowym klientów optymalną ochronę oraz zatrudniać administratora danych osobowych, odpowiedzialnego za przestrzeganie przepisów o ochronie. Istotne jest również, aby przetwarzać dane wyłącznie w zakresie, w jakim jest to niezbędne. Ponadto przetwarzanie danych osobowych przez przedsiębiorstwo wymaga spełnienia określonych ustawowo warunków:

  • zgody osoby, której dotyczą,
  • przetwarzania danych w sytuacji, gdy jest to niezbędne do: spełnienia obowiązku prawa, realizacji określonych prawem zadań dla dobra publicznego, realizacji prawnie usprawiedliwionych celów wykonywanych przez administratorów  lub odbiorców danych (np. marketing bezpośredni własnych produktów lub usług czy dochodzenie roszczeń z tytułu prowadzonej działalności), realizacji umowy, której stroną jest osoba, której dane zawiera umowa.

Kary

Jeśli przedsiębiorstwa przetwarzające dane osobowe klientów nie przestrzegają przepisów ustawy np. nie zachowując właściwej ochrony lub nie posiadając zgody klientów na przetwarzanie ich danych, muszą liczyć się z konsekwencjami prawnymi. RODO znacząco rozbudowało zakres kar w stosunku do ustawy z 1997 roku. Za naruszenia prawa przepisów o ochronie danych osobowych ustawa przewiduje kary pieniężne w dwóch progach w zależności od rodzaju naruszeń – pierwszy próg to 10 milionów euro lub 2% rocznego obrotu. Taka grzywna może być przyznana za niezgłoszenie naruszeń organowi nadzorczemu lub osobie, której dane dotyczą.  Drugi próg to 20 mln euro lub 4% rocznego obrotu firmy, jako grzywna na przykład za uniemożliwienie skorzystania z „prawa do bycia zapomnianym”. Poza karami finansowymi prawo zakłada również kary pozbawienia wolności do lat 2 i do lat 3 w przypadku danych wrażliwych.

Cyber atak

Przedsiębiorstwo przetwarzające dane osobowe powinno również liczyć się z przestępczością cybernetyczną. Wymuszenie czy kradzież danych osobowych mogą być w skutkach bardziej dotkliwe niż kary, jakie zakłada RODO. Cyber przestępczość jest w zasadzie nieprzewidywalna, ewoluuje wraz z rozwojem zabezpieczeń. Przykłady ze świata pokazują, że nawet największe firmy nie są w stanie zabezpieczyć się przed cyber atakiem. Nie oznacza to, że na kradzież danych narażone są wyłącznie  duże przedsiębiorstwa. Wprost przeciwnie, mała i średnia przedsiębiorczość znacznie częściej staje się celem ataku. Dzieje się tak, ponieważ firmy z sektora MŚP korzystają z przestarzałych lub nieskutecznych rozwiązań zabezpieczających. Zbyt mało firm stosuje także zasady polityki bezpieczeństwa.  Co istotne skutkiem cyber ataku jest nie tylko utrata dobrego imienia i zaufania klientów ale także zaburzenie płynności finansowej firmy.

Cyber ubezpieczenie

Przestój w działalności, koszty przywrócenia bezpiecznego stanu, odzyskania utraconych danych czy kary nałożone przez Urząd Ochrony Danych Osobowych generują niebagatelne straty. Przedsiębiorstwa racjonalnie zarządzające ryzykiem, zabezpieczają się na okoliczności przestępczości cybernetycznej właściwą cyber polisą.

 

NASTĘPNY

ubezpieczenie cyber ryzyko zarządzanie ryzykiem cyber przestępstwo RODO utrata danych osobowych

Cyber ryzyko w Twojej firmie

O ryzyku i ochronie bezpieczeństwa informacji

Na początek zadajmy sobie kilka pytań:
1. Czy Twoja firma przechowuje dane osobowe albo dane „wrażliwe”, które trzeba chronić?
2. Czy ich ujawnienie mogłoby narazić kogoś na szkodę lub stanowiłoby naruszenie prawa?
3. Czy dane te tworzą wartość Twojej firmy, a ich utrata lub ujawnienie może stanowić szkodę?
4. Czy Twoja firma wykorzystuje system informatyczny, do którego brak dostępu lub którego utrata wiarygodności może spowodować przestój lub znacząco utrudnić funkcjonowanie firmy?
5. Czy wiarygodność Twojej firmy jest ważna dla Twoich klientów?
6. Czy do promocji swoich usług lub produktów wykorzystujesz nowe technologie (np. media społecznościowe, stronę internetową, mailing)?

Odpowiedź TAK na którekolwiek z wyżej postawionych pytań powinna skłonić Cię do przemyślenia zakupu ubezpieczenia Cyber.
Nawet wtedy, gdy na stałe zatrudniasz specjalistę w zakresie informatyki śledczej.

Zarządzanie ryzykiem

Jak ważnym zagadnieniem jest bezpieczeństwo informatyczne przedsiębiorstw, łatwo się zorientować nie tylko z bieżących doniesień prasowych, ale także z analizy tego, w jakim stopniu procesy w firmie są zależne od IT – od komunikacji, przez dostęp do zasobów cyfrowych, po organizację procesów biznesowych. Ile danych osób trzecich w związku z prowadzoną działalnością przyjmujemy, stając się za nie odpowiedzialnymi – od danych osobowych po poufne informacje handlowe.
Ubezpieczenie cyber nie zastąpi kompleksowego zarządzania bezpieczeństwem informacji, stanowi jednak jego istotny element.

Hybrydowy charakter polisy cyber

Ubezpieczenie Cyber jest dzisiaj najszybciej rozwijającą się gałęzią ubezpieczeń na świecie, pokrywającą w jednej polisie:

– odpowiedzialność cywilną za wyciek lub utratę danych,
– odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym,
– odpowiedzialność cywilną i koszty reakcji w razie naruszenia bezpieczeństwa własnych komputerów, skutkujące usunięciem lub zmianą danych, wysyłaniem szkodliwego wirusa, odmową wykonania należnej komuś usługi itp.,
– koszty obrony oraz kary w przypadku naruszenia prawa do prywatności,
– koszt odtworzenia danych i zysk utracony przez ubezpieczonego na skutek przerwy w działalności spowodowanej awarią systemu IT.

Jest to zatem ubezpieczenie o charakterze hybrydowym, zawierające w sobie elementy pokrycia third party loss i first party loss. To ubezpieczenie uwzględniające ryzyko odpowiedzialności cywilnej, ubezpieczenie niektórych kosztów własnych, ubezpieczenie odpowiedzialności z tytułu kar o charakterze administracyjnym, ubezpieczenie kosztów odtworzenia danych, a także utracony zysk wynikający z awarii systemu informatycznego ubezpieczonego, uniemożliwiającej prowadzenie działalności w określonym okresie.

Termin cyber kojarzy się z zagrożeniem wyłącznie ‘elektronicznym’ lub ‘internetowym’, dotyczącym danych cyfrowych i systemów IT. W rzeczywistości ubezpieczenie dawać powinno znacznie szerszą ochronę, obejmując ujawnienie lub utratę danych poufnych, korespondencji i dokumentów w innych formatach – na papierze i nośnikach analogowych. Ubezpieczenie cyber ma za zadanie zapewnić dostęp ubezpieczonemu do specjalistycznego know-how agencji public relations, ekspertów ds. ochrony danych oraz systemów IT i kryminalistyki informatycznej (cyber forensics), prawników z zakresu prawa medialnego, prawa pracy, prawa telekomunikacyjnego oraz ochrony danych osobowych.

Elementy ochrony

W typowym ubezpieczeniu cyber spotykamy z reguły następujące elementy ochrony ubezpieczeniowej:

Ubezpieczenie odpowiedzialności cywilnej i kosztów obrony w sprawach o naruszenie prywatności
obejmujące nie tylko odpowiedzialność za nielegalny wyciek danych osobowych (w tym danych wrażliwych) oraz firmowych danych poufnych, lecz także odpowiedzialność wynikającą z wszelkiego naruszenia prawa do prywatności, prawa do wizerunku, itp.

Kary administracyjne za naruszenie prywatności

ubezpieczenie umożliwia zwrot kosztów poniesionych w związku z nałożeniem kar i grzywien administracyjnych lub cywilnych, będących konsekwencją postępowań regulacyjnych o naruszenie prywatności. Dotyczy to także pogwałcenia prawa dotyczącego ochrony danych, w szczególności Ustawy o ochronie danych osobowych – w tym kar nałożonych przez GIODO. Pokryte powinny być także koszty obrony w takich postępowaniach.

Koszty naruszenia bezpieczeństwa informacji

W tym zakresie ubezpieczenie cyber umożliwia zwrot wydatków poniesionych na skutek naruszenia bezpieczeństwa danych osobowych – tak klientów, jak i pracowników ubezpieczonego. Naruszenie danych może polegać na ich utracie, ujawnieniu, uszkodzeniu, kradzieży, wycieku itd.
Z reguły powinien być pokryty zwrot kosztów poniesionych na:

– agencję PR wynajętą do zapobieżenia lub ograniczenia szkód w wizerunku,
– badania z zakres

u kryminalistyki informatycznej oraz obsługę prawną służącą ustaleniu obowiązków ubezpieczonego wynikających z przepisów o ochronie danych,
– wymagane prawem powiadomienie dotkniętych zagrożeniem klientów, a także monitorowanie i podtrzymanie poziomu ich zaufania.

Odpowiedzialność cywilna i koszty obrony w sprawach o naruszenie bezpieczeństwa informacji
Zakres ten obejmuje odpowiedzialność za:

– brak możliwości korzystania z systemu IT ubezpieczonego przez klientów i inne uprawnione osoby trzecie,
– bezprawny dostęp do tego systemu, jego wykorzystanie lub dopuszczenie do fałszywej z niego komunikacji (np. phishing), umożliwiające zainfekowanie, kradzież, wykasowanie lub uszkodzenie danych bądź umożliwiające atak na system lub usługę sieciową osoby trzeciej w celu uniemożliwienia ich działania,
– dopuszczenie do rozsyłania wirusa z systemu IT ubezpieczonego.

Odpowiedzialność multimedialna

Zakres ten z reguły obejmuje ochronę w przypadku zarzutów o:

– zniesławienie, znieważenie i oszczerstwo,
– pogwałcenie prawa do prywatności, naruszenie praw autorskich i innych praw własności intelektualnej (z wyłączeniem jednak naruszenia praw patentowych) podczas publikowania treści w formie elektronicznej (przez strony internetowe, media społecznościowe, e-mailing, newslettery itp.) oraz nieelektronicznej. Można powiedzieć, że w tym zakresie jest to ubezpieczenie OC zawodowej wydawcy, gdyż obecnie prawie każdy publikuje i udostępnia osobom trzecim rozmaite treści, narażając się przy tym na ryzyko.

Cyber wymuszenie

Jest to element zakresu ochrony ubezpieczeniowej podobny do ubezpieczenia kidnap & ransom (K&R), ale w zakresie bezpieczeństwa informacji. Zakres ten powinien zapewnić środki finansowe na przeciwdziałanie celowemu:

– wprowadzeniu szkodliwego wirusa do systemu IT ubezpieczonego,
– przerwaniu pracy tego systemu,
– zniekształcaniu, niszczeniu lub rozpowszechnianiu danych osobowych lub poufnych informacji firmowych przez działającą umyślnie osobę trzecią.

Zakres ten obejmuje:

– koszty oceny tego zagrożenia i adekwatnej reakcji na nie (honoraria specjalistów ds. zarządzania kryzysowego),
– refundację wymuszonej oraz uzasadnionej ekonomicznie płatności na rzecz osoby faktycznie mogącej dokonać powyższych czynów.

Utracony zysk i koszty odtworzenia danych

Ochrona ubezpieczeniowa dotyczy utraconego zysku i kosztów poniesionych na skutek naruszenia bezpieczeństwa prowadzącego do:

– zakłócenia pracy systemu IT lub jego awarii,
– braku możliwości dostępu i korzystania z niego przez uprawnione osoby trzecie. Pokrywa także koszty przywrócenia lub odtworzenia zasobów cyfrowych do stanu bezpośrednio sprzed szkody.

 

NASTĘPNY

ubezpieczenie cyber ryzyko zarządzanie ryzykiem cyber przestępstwo RODO utrata danych osobowych

Cyber ryzyko w Twojej firmie

O ryzyku i ochronie bezpieczeństwa informacji

Na początek zadajmy sobie kilka pytań:
1. Czy Twoja firma przechowuje dane osobowe albo dane „wrażliwe”, które trzeba chronić?
2. Czy ich ujawnienie mogłoby narazić kogoś na szkodę lub stanowiłoby naruszenie prawa?
3. Czy dane te tworzą wartość Twojej firmy, a ich utrata lub ujawnienie może stanowić szkodę?
4. Czy Twoja firma wykorzystuje system informatyczny, do którego brak dostępu lub którego utrata wiarygodności może spowodować przestój lub znacząco utrudnić funkcjonowanie firmy?
5. Czy wiarygodność Twojej firmy jest ważna dla Twoich klientów?
6. Czy do promocji swoich usług lub produktów wykorzystujesz nowe technologie (np. media społecznościowe, stronę internetową, mailing)?

Odpowiedź TAK na którekolwiek z wyżej postawionych pytań powinna skłonić Cię do przemyślenia zakupu ubezpieczenia Cyber.
Nawet wtedy, gdy na stałe zatrudniasz specjalistę w zakresie informatyki śledczej.

Zarządzanie ryzykiem

Jak ważnym zagadnieniem jest bezpieczeństwo informatyczne przedsiębiorstw, łatwo się zorientować nie tylko z bieżących doniesień prasowych, ale także z analizy tego, w jakim stopniu procesy w firmie są zależne od IT – od komunikacji, przez dostęp do zasobów cyfrowych, po organizację procesów biznesowych. Ile danych osób trzecich w związku z prowadzoną działalnością przyjmujemy, stając się za nie odpowiedzialnymi – od danych osobowych po poufne informacje handlowe.
Ubezpieczenie cyber nie zastąpi kompleksowego zarządzania bezpieczeństwem informacji, stanowi jednak jego istotny element.

Hybrydowy charakter polisy cyber

Ubezpieczenie Cyber jest dzisiaj najszybciej rozwijającą się gałęzią ubezpieczeń na świecie, pokrywającą w jednej polisie:

– odpowiedzialność cywilną za wyciek lub utratę danych,
– odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym,
– odpowiedzialność cywilną i koszty reakcji w razie naruszenia bezpieczeństwa własnych komputerów, skutkujące usunięciem lub zmianą danych, wysyłaniem szkodliwego wirusa, odmową wykonania należnej komuś usługi itp.,
– koszty obrony oraz kary w przypadku naruszenia prawa do prywatności,
– koszt odtworzenia danych i zysk utracony przez ubezpieczonego na skutek przerwy w działalności spowodowanej awarią systemu IT.

Jest to zatem ubezpieczenie o charakterze hybrydowym, zawierające w sobie elementy pokrycia third party loss i first party loss. To ubezpieczenie uwzględniające ryzyko odpowiedzialności cywilnej, ubezpieczenie niektórych kosztów własnych, ubezpieczenie odpowiedzialności z tytułu kar o charakterze administracyjnym, ubezpieczenie kosztów odtworzenia danych, a także utracony zysk wynikający z awarii systemu informatycznego ubezpieczonego, uniemożliwiającej prowadzenie działalności w określonym okresie.

Termin cyber kojarzy się z zagrożeniem wyłącznie ‘elektronicznym’ lub ‘internetowym’, dotyczącym danych cyfrowych i systemów IT. W rzeczywistości ubezpieczenie dawać powinno znacznie szerszą ochronę, obejmując ujawnienie lub utratę danych poufnych, korespondencji i dokumentów w innych formatach – na papierze i nośnikach analogowych. Ubezpieczenie cyber ma za zadanie zapewnić dostęp ubezpieczonemu do specjalistycznego know-how agencji public relations, ekspertów ds. ochrony danych oraz systemów IT i kryminalistyki informatycznej (cyber forensics), prawników z zakresu prawa medialnego, prawa pracy, prawa telekomunikacyjnego oraz ochrony danych osobowych.

Elementy ochrony

W typowym ubezpieczeniu cyber spotykamy z reguły następujące elementy ochrony ubezpieczeniowej:

Ubezpieczenie odpowiedzialności cywilnej i kosztów obrony w sprawach o naruszenie prywatności
obejmujące nie tylko odpowiedzialność za nielegalny wyciek danych osobowych (w tym danych wrażliwych) oraz firmowych danych poufnych, lecz także odpowiedzialność wynikającą z wszelkiego naruszenia prawa do prywatności, prawa do wizerunku, itp.

Kary administracyjne za naruszenie prywatności

ubezpieczenie umożliwia zwrot kosztów poniesionych w związku z nałożeniem kar i grzywien administracyjnych lub cywilnych, będących konsekwencją postępowań regulacyjnych o naruszenie prywatności. Dotyczy to także pogwałcenia prawa dotyczącego ochrony danych, w szczególności Ustawy o ochronie danych osobowych – w tym kar nałożonych przez GIODO. Pokryte powinny być także koszty obrony w takich postępowaniach.

Koszty naruszenia bezpieczeństwa informacji

W tym zakresie ubezpieczenie cyber umożliwia zwrot wydatków poniesionych na skutek naruszenia bezpieczeństwa danych osobowych – tak klientów, jak i pracowników ubezpieczonego. Naruszenie danych może polegać na ich utracie, ujawnieniu, uszkodzeniu, kradzieży, wycieku itd.
Z reguły powinien być pokryty zwrot kosztów poniesionych na:

– agencję PR wynajętą do zapobieżenia lub ograniczenia szkód w wizerunku,
– badania z zakres

u kryminalistyki informatycznej oraz obsługę prawną służącą ustaleniu obowiązków ubezpieczonego wynikających z przepisów o ochronie danych,
– wymagane prawem powiadomienie dotkniętych zagrożeniem klientów, a także monitorowanie i podtrzymanie poziomu ich zaufania.

Odpowiedzialność cywilna i koszty obrony w sprawach o naruszenie bezpieczeństwa informacji
Zakres ten obejmuje odpowiedzialność za:

– brak możliwości korzystania z systemu IT ubezpieczonego przez klientów i inne uprawnione osoby trzecie,
– bezprawny dostęp do tego systemu, jego wykorzystanie lub dopuszczenie do fałszywej z niego komunikacji (np. phishing), umożliwiające zainfekowanie, kradzież, wykasowanie lub uszkodzenie danych bądź umożliwiające atak na system lub usługę sieciową osoby trzeciej w celu uniemożliwienia ich działania,
– dopuszczenie do rozsyłania wirusa z systemu IT ubezpieczonego.

Odpowiedzialność multimedialna

Zakres ten z reguły obejmuje ochronę w przypadku zarzutów o:

– zniesławienie, znieważenie i oszczerstwo,
– pogwałcenie prawa do prywatności, naruszenie praw autorskich i innych praw własności intelektualnej (z wyłączeniem jednak naruszenia praw patentowych) podczas publikowania treści w formie elektronicznej (przez strony internetowe, media społecznościowe, e-mailing, newslettery itp.) oraz nieelektronicznej. Można powiedzieć, że w tym zakresie jest to ubezpieczenie OC zawodowej wydawcy, gdyż obecnie prawie każdy publikuje i udostępnia osobom trzecim rozmaite treści, narażając się przy tym na ryzyko.

Cyber wymuszenie

Jest to element zakresu ochrony ubezpieczeniowej podobny do ubezpieczenia kidnap & ransom (K&R), ale w zakresie bezpieczeństwa informacji. Zakres ten powinien zapewnić środki finansowe na przeciwdziałanie celowemu:

– wprowadzeniu szkodliwego wirusa do systemu IT ubezpieczonego,
– przerwaniu pracy tego systemu,
– zniekształcaniu, niszczeniu lub rozpowszechnianiu danych osobowych lub poufnych informacji firmowych przez działającą umyślnie osobę trzecią.

Zakres ten obejmuje:

– koszty oceny tego zagrożenia i adekwatnej reakcji na nie (honoraria specjalistów ds. zarządzania kryzysowego),
– refundację wymuszonej oraz uzasadnionej ekonomicznie płatności na rzecz osoby faktycznie mogącej dokonać powyższych czynów.

Utracony zysk i koszty odtworzenia danych

Ochrona ubezpieczeniowa dotyczy utraconego zysku i kosztów poniesionych na skutek naruszenia bezpieczeństwa prowadzącego do:

– zakłócenia pracy systemu IT lub jego awarii,
– braku możliwości dostępu i korzystania z niego przez uprawnione osoby trzecie. Pokrywa także koszty przywrócenia lub odtworzenia zasobów cyfrowych do stanu bezpośrednio sprzed szkody.

NASTĘPNY

ubezpieczenie cyber ryzyko zarządzanie ryzykiem cyber przestępstwo RODO utrata danych osobowych

Cyber ryzyko w Twojej firmie

O ryzyku i ochronie bezpieczeństwa informacji

Na początek zadajmy sobie kilka pytań:
1. Czy Twoja firma przechowuje dane osobowe albo dane „wrażliwe”, które trzeba chronić?
2. Czy ich ujawnienie mogłoby narazić kogoś na szkodę lub stanowiłoby naruszenie prawa?
3. Czy dane te tworzą wartość Twojej firmy, a ich utrata lub ujawnienie może stanowić szkodę?
4. Czy Twoja firma wykorzystuje system informatyczny, do którego brak dostępu lub którego utrata wiarygodności może spowodować przestój lub znacząco utrudnić funkcjonowanie firmy?
5. Czy wiarygodność Twojej firmy jest ważna dla Twoich klientów?
6. Czy do promocji swoich usług lub produktów wykorzystujesz nowe technologie (np. media społecznościowe, stronę internetową, mailing)?

Odpowiedź TAK na którekolwiek z wyżej postawionych pytań powinna skłonić Cię do przemyślenia zakupu ubezpieczenia Cyber.
Nawet wtedy, gdy na stałe zatrudniasz specjalistę w zakresie informatyki śledczej.

Zarządzanie ryzykiem

Jak ważnym zagadnieniem jest bezpieczeństwo informatyczne przedsiębiorstw, łatwo się zorientować nie tylko z bieżących doniesień prasowych, ale także z analizy tego, w jakim stopniu procesy w firmie są zależne od IT – od komunikacji, przez dostęp do zasobów cyfrowych, po organizację procesów biznesowych. Ile danych osób trzecich w związku z prowadzoną działalnością przyjmujemy, stając się za nie odpowiedzialnymi – od danych osobowych po poufne informacje handlowe.
Ubezpieczenie cyber nie zastąpi kompleksowego zarządzania bezpieczeństwem informacji, stanowi jednak jego istotny element.

Hybrydowy charakter polisy cyber

Ubezpieczenie Cyber jest dzisiaj najszybciej rozwijającą się gałęzią ubezpieczeń na świecie, pokrywającą w jednej polisie:

– odpowiedzialność cywilną za wyciek lub utratę danych,
– odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym,
– odpowiedzialność cywilną i koszty reakcji w razie naruszenia bezpieczeństwa własnych komputerów, skutkujące usunięciem lub zmianą danych, wysyłaniem szkodliwego wirusa, odmową wykonania należnej komuś usługi itp.,
– koszty obrony oraz kary w przypadku naruszenia prawa do prywatności,
– koszt odtworzenia danych i zysk utracony przez ubezpieczonego na skutek przerwy w działalności spowodowanej awarią systemu IT.

Jest to zatem ubezpieczenie o charakterze hybrydowym, zawierające w sobie elementy pokrycia third party loss i first party loss. To ubezpieczenie uwzględniające ryzyko odpowiedzialności cywilnej, ubezpieczenie niektórych kosztów własnych, ubezpieczenie odpowiedzialności z tytułu kar o charakterze administracyjnym, ubezpieczenie kosztów odtworzenia danych, a także utracony zysk wynikający z awarii systemu informatycznego ubezpieczonego, uniemożliwiającej prowadzenie działalności w określonym okresie.

Termin cyber kojarzy się z zagrożeniem wyłącznie ‘elektronicznym’ lub ‘internetowym’, dotyczącym danych cyfrowych i systemów IT. W rzeczywistości ubezpieczenie dawać powinno znacznie szerszą ochronę, obejmując ujawnienie lub utratę danych poufnych, korespondencji i dokumentów w innych formatach – na papierze i nośnikach analogowych. Ubezpieczenie cyber ma za zadanie zapewnić dostęp ubezpieczonemu do specjalistycznego know-how agencji public relations, ekspertów ds. ochrony danych oraz systemów IT i kryminalistyki informatycznej (cyber forensics), prawników z zakresu prawa medialnego, prawa pracy, prawa telekomunikacyjnego oraz ochrony danych osobowych.

Elementy ochrony

W typowym ubezpieczeniu cyber spotykamy z reguły następujące elementy ochrony ubezpieczeniowej:

Ubezpieczenie odpowiedzialności cywilnej i kosztów obrony w sprawach o naruszenie prywatności
obejmujące nie tylko odpowiedzialność za nielegalny wyciek danych osobowych (w tym danych wrażliwych) oraz firmowych danych poufnych, lecz także odpowiedzialność wynikającą z wszelkiego naruszenia prawa do prywatności, prawa do wizerunku, itp.

Kary administracyjne za naruszenie prywatności

ubezpieczenie umożliwia zwrot kosztów poniesionych w związku z nałożeniem kar i grzywien administracyjnych lub cywilnych, będących konsekwencją postępowań regulacyjnych o naruszenie prywatności. Dotyczy to także pogwałcenia prawa dotyczącego ochrony danych, w szczególności Ustawy o ochronie danych osobowych – w tym kar nałożonych przez GIODO. Pokryte powinny być także koszty obrony w takich postępowaniach.

Koszty naruszenia bezpieczeństwa informacji

W tym zakresie ubezpieczenie cyber umożliwia zwrot wydatków poniesionych na skutek naruszenia bezpieczeństwa danych osobowych – tak klientów, jak i pracowników ubezpieczonego. Naruszenie danych może polegać na ich utracie, ujawnieniu, uszkodzeniu, kradzieży, wycieku itd.
Z reguły powinien być pokryty zwrot kosztów poniesionych na:

– agencję PR wynajętą do zapobieżenia lub ograniczenia szkód w wizerunku,
– badania z zakres

u kryminalistyki informatycznej oraz obsługę prawną służącą ustaleniu obowiązków ubezpieczonego wynikających z przepisów o ochronie danych,
– wymagane prawem powiadomienie dotkniętych zagrożeniem klientów, a także monitorowanie i podtrzymanie poziomu ich zaufania.

Odpowiedzialność cywilna i koszty obrony w sprawach o naruszenie bezpieczeństwa informacji
Zakres ten obejmuje odpowiedzialność za:

– brak możliwości korzystania z systemu IT ubezpieczonego przez klientów i inne uprawnione osoby trzecie,
– bezprawny dostęp do tego systemu, jego wykorzystanie lub dopuszczenie do fałszywej z niego komunikacji (np. phishing), umożliwiające zainfekowanie, kradzież, wykasowanie lub uszkodzenie danych bądź umożliwiające atak na system lub usługę sieciową osoby trzeciej w celu uniemożliwienia ich działania,
– dopuszczenie do rozsyłania wirusa z systemu IT ubezpieczonego.

Odpowiedzialność multimedialna

Zakres ten z reguły obejmuje ochronę w przypadku zarzutów o:

– zniesławienie, znieważenie i oszczerstwo,
– pogwałcenie prawa do prywatności, naruszenie praw autorskich i innych praw własności intelektualnej (z wyłączeniem jednak naruszenia praw patentowych) podczas publikowania treści w formie elektronicznej (przez strony internetowe, media społecznościowe, e-mailing, newslettery itp.) oraz nieelektronicznej. Można powiedzieć, że w tym zakresie jest to ubezpieczenie OC zawodowej wydawcy, gdyż obecnie prawie każdy publikuje i udostępnia osobom trzecim rozmaite treści, narażając się przy tym na ryzyko.

Cyber wymuszenie

Jest to element zakresu ochrony ubezpieczeniowej podobny do ubezpieczenia kidnap & ransom (K&R), ale w zakresie bezpieczeństwa informacji. Zakres ten powinien zapewnić środki finansowe na przeciwdziałanie celowemu:

– wprowadzeniu szkodliwego wirusa do systemu IT ubezpieczonego,
– przerwaniu pracy tego systemu,
– zniekształcaniu, niszczeniu lub rozpowszechnianiu danych osobowych lub poufnych informacji firmowych przez działającą umyślnie osobę trzecią.

Zakres ten obejmuje:

– koszty oceny tego zagrożenia i adekwatnej reakcji na nie (honoraria specjalistów ds. zarządzania kryzysowego),
– refundację wymuszonej oraz uzasadnionej ekonomicznie płatności na rzecz osoby faktycznie mogącej dokonać powyższych czynów.

Utracony zysk i koszty odtworzenia danych

Ochrona ubezpieczeniowa dotyczy utraconego zysku i kosztów poniesionych na skutek naruszenia bezpieczeństwa prowadzącego do:

– zakłócenia pracy systemu IT lub jego awarii,
– braku możliwości dostępu i korzystania z niego przez uprawnione osoby trzecie. Pokrywa także koszty przywrócenia lub odtworzenia zasobów cyfrowych do stanu bezpośrednio sprzed szkody.

NASTĘPNY

ubezpieczenie cyber ryzyko zarządzanie ryzykiem cyber przestępstwo RODO utrata danych osobowych

Cyber ryzyko w Twojej firmie

O ryzyku i ochronie bezpieczeństwa informacji

Na początek zadajmy sobie kilka pytań:
1. Czy Twoja firma przechowuje dane osobowe albo dane „wrażliwe”, które trzeba chronić?
2. Czy ich ujawnienie mogłoby narazić kogoś na szkodę lub stanowiłoby naruszenie prawa?
3. Czy dane te tworzą wartość Twojej firmy, a ich utrata lub ujawnienie może stanowić szkodę?
4. Czy Twoja firma wykorzystuje system informatyczny, do którego brak dostępu lub którego utrata wiarygodności może spowodować przestój lub znacząco utrudnić funkcjonowanie firmy?
5. Czy wiarygodność Twojej firmy jest ważna dla Twoich klientów?
6. Czy do promocji swoich usług lub produktów wykorzystujesz nowe technologie (np. media społecznościowe, stronę internetową, mailing)?

Odpowiedź TAK na którekolwiek z wyżej postawionych pytań powinna skłonić Cię do przemyślenia zakupu ubezpieczenia Cyber.
Nawet wtedy, gdy na stałe zatrudniasz specjalistę w zakresie informatyki śledczej.

Zarządzanie ryzykiem

Jak ważnym zagadnieniem jest bezpieczeństwo informatyczne przedsiębiorstw, łatwo się zorientować nie tylko z bieżących doniesień prasowych, ale także z analizy tego, w jakim stopniu procesy w firmie są zależne od IT – od komunikacji, przez dostęp do zasobów cyfrowych, po organizację procesów biznesowych. Ile danych osób trzecich w związku z prowadzoną działalnością przyjmujemy, stając się za nie odpowiedzialnymi – od danych osobowych po poufne informacje handlowe.
Ubezpieczenie cyber nie zastąpi kompleksowego zarządzania bezpieczeństwem informacji, stanowi jednak jego istotny element.

Hybrydowy charakter polisy cyber

Ubezpieczenie Cyber jest dzisiaj najszybciej rozwijającą się gałęzią ubezpieczeń na świecie, pokrywającą w jednej polisie:

– odpowiedzialność cywilną za wyciek lub utratę danych,
– odpowiedzialność cywilną za naruszenie dóbr osobistych i praw własności intelektualnej w przekazie cyfrowym,
– odpowiedzialność cywilną i koszty reakcji w razie naruszenia bezpieczeństwa własnych komputerów, skutkujące usunięciem lub zmianą danych, wysyłaniem szkodliwego wirusa, odmową wykonania należnej komuś usługi itp.,
– koszty obrony oraz kary w przypadku naruszenia prawa do prywatności,
– koszt odtworzenia danych i zysk utracony przez ubezpieczonego na skutek przerwy w działalności spowodowanej awarią systemu IT.

Jest to zatem ubezpieczenie o charakterze hybrydowym, zawierające w sobie elementy pokrycia third party loss i first party loss. To ubezpieczenie uwzględniające ryzyko odpowiedzialności cywilnej, ubezpieczenie niektórych kosztów własnych, ubezpieczenie odpowiedzialności z tytułu kar o charakterze administracyjnym, ubezpieczenie kosztów odtworzenia danych, a także utracony zysk wynikający z awarii systemu informatycznego ubezpieczonego, uniemożliwiającej prowadzenie działalności w określonym okresie.

Termin cyber kojarzy się z zagrożeniem wyłącznie ‘elektronicznym’ lub ‘internetowym’, dotyczącym danych cyfrowych i systemów IT. W rzeczywistości ubezpieczenie dawać powinno znacznie szerszą ochronę, obejmując ujawnienie lub utratę danych poufnych, korespondencji i dokumentów w innych formatach – na papierze i nośnikach analogowych. Ubezpieczenie cyber ma za zadanie zapewnić dostęp ubezpieczonemu do specjalistycznego know-how agencji public relations, ekspertów ds. ochrony danych oraz systemów IT i kryminalistyki informatycznej (cyber forensics), prawników z zakresu prawa medialnego, prawa pracy, prawa telekomunikacyjnego oraz ochrony danych osobowych.

Elementy ochrony

W typowym ubezpieczeniu cyber spotykamy z reguły następujące elementy ochrony ubezpieczeniowej:

Ubezpieczenie odpowiedzialności cywilnej i kosztów obrony w sprawach o naruszenie prywatności
obejmujące nie tylko odpowiedzialność za nielegalny wyciek danych osobowych (w tym danych wrażliwych) oraz firmowych danych poufnych, lecz także odpowiedzialność wynikającą z wszelkiego naruszenia prawa do prywatności, prawa do wizerunku, itp.

Kary administracyjne za naruszenie prywatności

ubezpieczenie umożliwia zwrot kosztów poniesionych w związku z nałożeniem kar i grzywien administracyjnych lub cywilnych, będących konsekwencją postępowań regulacyjnych o naruszenie prywatności. Dotyczy to także pogwałcenia prawa dotyczącego ochrony danych, w szczególności Ustawy o ochronie danych osobowych – w tym kar nałożonych przez GIODO. Pokryte powinny być także koszty obrony w takich postępowaniach.

Koszty naruszenia bezpieczeństwa informacji

W tym zakresie ubezpieczenie cyber umożliwia zwrot wydatków poniesionych na skutek naruszenia bezpieczeństwa danych osobowych – tak klientów, jak i pracowników ubezpieczonego. Naruszenie danych może polegać na ich utracie, ujawnieniu, uszkodzeniu, kradzieży, wycieku itd.
Z reguły powinien być pokryty zwrot kosztów poniesionych na:

– agencję PR wynajętą do zapobieżenia lub ograniczenia szkód w wizerunku,
– badania z zakres

u kryminalistyki informatycznej oraz obsługę prawną służącą ustaleniu obowiązków ubezpieczonego wynikających z przepisów o ochronie danych,
– wymagane prawem powiadomienie dotkniętych zagrożeniem klientów, a także monitorowanie i podtrzymanie poziomu ich zaufania.

Odpowiedzialność cywilna i koszty obrony w sprawach o naruszenie bezpieczeństwa informacji
Zakres ten obejmuje odpowiedzialność za:

– brak możliwości korzystania z systemu IT ubezpieczonego przez klientów i inne uprawnione osoby trzecie,
– bezprawny dostęp do tego systemu, jego wykorzystanie lub dopuszczenie do fałszywej z niego komunikacji (np. phishing), umożliwiające zainfekowanie, kradzież, wykasowanie lub uszkodzenie danych bądź umożliwiające atak na system lub usługę sieciową osoby trzeciej w celu uniemożliwienia ich działania,
– dopuszczenie do rozsyłania wirusa z systemu IT ubezpieczonego.

Odpowiedzialność multimedialna

Zakres ten z reguły obejmuje ochronę w przypadku zarzutów o:

– zniesławienie, znieważenie i oszczerstwo,
– pogwałcenie prawa do prywatności, naruszenie praw autorskich i innych praw własności intelektualnej (z wyłączeniem jednak naruszenia praw patentowych) podczas publikowania treści w formie elektronicznej (przez strony internetowe, media społecznościowe, e-mailing, newslettery itp.) oraz nieelektronicznej. Można powiedzieć, że w tym zakresie jest to ubezpieczenie OC zawodowej wydawcy, gdyż obecnie prawie każdy publikuje i udostępnia osobom trzecim rozmaite treści, narażając się przy tym na ryzyko.

Cyber wymuszenie

Jest to element zakresu ochrony ubezpieczeniowej podobny do ubezpieczenia kidnap & ransom (K&R), ale w zakresie bezpieczeństwa informacji. Zakres ten powinien zapewnić środki finansowe na przeciwdziałanie celowemu:

– wprowadzeniu szkodliwego wirusa do systemu IT ubezpieczonego,
– przerwaniu pracy tego systemu,
– zniekształcaniu, niszczeniu lub rozpowszechnianiu danych osobowych lub poufnych informacji firmowych przez działającą umyślnie osobę trzecią.

Zakres ten obejmuje:

– koszty oceny tego zagrożenia i adekwatnej reakcji na nie (honoraria specjalistów ds. zarządzania kryzysowego),
– refundację wymuszonej oraz uzasadnionej ekonomicznie płatności na rzecz osoby faktycznie mogącej dokonać powyższych czynów.

Utracony zysk i koszty odtworzenia danych

Ochrona ubezpieczeniowa dotyczy utraconego zysku i kosztów poniesionych na skutek naruszenia bezpieczeństwa prowadzącego do:

– zakłócenia pracy systemu IT lub jego awarii,
– braku możliwości dostępu i korzystania z niego przez uprawnione osoby trzecie. Pokrywa także koszty przywrócenia lub odtworzenia zasobów cyfrowych do stanu bezpośrednio sprzed szkody.

 

NASTĘPNY