02.10.2017

Ubezpieczenia od ryzyk cybernetycznych na tle przepisów RODO

Współcześnie trudno sobie wyobrazić jakąkolwiek działalność bez dostępu do Internetu, czy szerzej - cyberprzestrzeni. Praktycznie każdy podmiot - firmy, sektor publiczny czy inne organizacje - korzysta obecnie z cyfrowych form komunikacji oraz różnorodnych rozwiązań informatycznych.  Każdy również gromadzi i przetwarza niezbędne do funkcjonowania dane - w tym dane osobowe. Jak szeroki obszar obejmuje to pojęcie?  Najprostszy przykład - dane osobowe pracowników i klientów.

Powszechna świadomość istniejących zagrożeń w sieci stale wzrasta, lecz tendencja wzrostowa dotycząca liczby infekcji i sposobów jakie wykorzystują hakerzy rośnie jeszcze dynamiczniej. Rok 2017 pod względem skali i skutków ataków jest wyjątkowy. W maju doszło do największego ataku hackerskiego w historii, który zasięgiem objął 150 państw. W jego wyniku zostały sparaliżowane urzędy, szpitale i inne instytucje publiczne, z komputerów nie mogły też korzystać miliony użytkowników. We wrześniu poinformowano o wycieku z amerykańskiego systemu ubezpieczeń zdrowotnych wrażliwych danych osobowych 143 mln Amerykanów, czyli niemal połowy obywateli. W Polsce sektor bankowy uznaje się za jeden z dysponujących najwyższym poziom zabezpieczeń. Tymczasem pod koniec września, pojawiła się na nielegalnej giełdzie hackerskiej w sieci TOR, oferta sprzedaży tysięcy danych czterech banków w Polsce: Credit Agricole, Idea Bank, ING Bank Śląski oraz mBank. Każdy wpis zawiera takie informacje jak: numer rachunku, stan konta, numer pesel, imię i nazwisko właściciela, adres, numer telefonu oraz adres e-mail.

Listę zagrożeń w cyberprzestrzeni trudno uznać za zamkniętą, ale wśród najczęstszych incydentów są:


  • ataki z użyciem szkodliwego oprogramowania (malware, wirusy, robaki, trojany, keyloggery, itp.), 
  • ataki socjotechniczne (np. phishing, czyli wyłudzanie poufnych informacji przez podszywanie się pod godną zaufania osobę lub instytucję),
  • blokowanie dostępu do usług i danych, 
  • kradzieże, wyłudzenia, modyfikacje bądź niszczenie danych,
  • kradzieże tożsamości,
  • spam (niechciane lub niepotrzebne wiadomości elektroniczne).

W celu zwiększenia poziomu bezpieczeństwa Unia Europejska przyjęła nowe przepisy dotyczące ochrony danych osobowych. Począwszy od maja 2018 r., w jednolitej formie, zaczną obowiązywać we wszystkich krajach członkowskich. Krajowa implementacja tych przepisów w formie Nowej Ustawy o ochronie danych osobowych, obejmie zmianami ponad 130 innych ustaw. 

Proponowane zapisy powinny wzbudzić zainteresowanie przedsiębiorców, ale także jednostek administracji różnego szczebla. Dotyczyć one będą wszystkich, bez względu na wielkość. Zmiana ta niesie za sobą poważne sankcje, jakimi będą objęte podmioty, które nieskutecznie będą chronić dane osobowe. Trzeba zauważyć, że potencjalne kary są dotkliwe!
Organy państwowe będą mogą nakładać kary za m.in. "brak zastosowania odpowiednich do ryzyk i zagrożeń środków organizacyjnych i technicznych, zabezpieczających przetwarzanie danych w tym braku szyfrowania."*

Ich wysokość może wynieść odpowiednio do 10 000 000 euro i do 20 000 000 euro, a w przypadku przedsiębiorstw nie więcej niż odpowiednio do 2% lub 4% światowego obrotu.

Od czasu pojawienia na rynku ubezpieczeń ryzyka cybernetycznego przedsiębiorstwa po raz pierwszy mają możliwość przenieść część ryzyka związanego z przechowywaniem i użytkowaniem danych, atakami hackerskimi czy działaniem systemów informatycznych na ubezpieczyciela. Globalne i krajowe trendy wskazują, iż coraz więcej podmiotów sięga po tego typu rozwiązania. Firmy są bowiem coraz bardziej świadome zarówno zagrożeń związanych z atakiem, jak i korzyści, które otrzymają dzięki ubezpieczeniom. Tym bardziej, że część z produktów daje możliwość objęcia ochroną roszczeń z tytułu sankcji ze strony organów nadzoru państwowego.

Zespół Kancelarii Proffman Broker 26 września uczestniczył w szkoleniu produktowym: Ubezpieczenie CYBER w Lloyd's na tle przepisów RODO organizowanym przez Leadenhall Polska S.A. Cieszymy się z wprowadzenia na rynek najnowszych rozwiązań  z zakresu CyberRisk  i możliwość oferowania naszym Klientom jeszcze lepszych form ochrony.

Dziękujemy Panu Tomaszowi Domalewskiemu - Dyrektorowi Sprzedaży Leadenhall Polska S.A. - za przeprowadzenie interesującego spotkania i podzielenie się aktualną wiedzą w zakresie zagrożeń cybernetycznych i nadchodzących zmian legislacyjnych oraz dostępnych form ochrony ubezpieczeniowej.

----------------------------

*Podstawa prawna:
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.U. UE L 119 z 4 maja 2016 r.)


Proffman