Firma boi się incydentu komputerowego, więc z pomocą ubezpieczyciela wykupuje odpowiednią polisę. Do incydentu dochodzi – i to dwukrotnie. Firma chce uzyskać pełne odszkodowanie, lecz ubezpieczyciel odmawia. Kto ma rację?
Zarządzanie ryzykiem informacji to dobrze zbadany obszar. Jednak cyberubezpieczenia to dopiero formujący się rynek, na którym jeszcze nie ukształtowała się dobra praktyka i jego rozwój możemy obserwować przez pryzmat pojedynczych historii – takich jak ta poniżej.
Zawsze czytaj drobny druk
Papier przyjmie wszystko, dlatego warto czytać zapisy drobnym drukiem i te mniej istotne części dokumentu, o czym dosyć boleśnie przekonał się Narodowy Bank Blacksburg w Virginii. Instytucja zanotowała dwa wycieki danych, pod koniec 2016 oraz na początku 2017 roku. Straty z tego tytułu zostały wycenione na prawie 2,5 miliona dolarów. Zarząd banku do momentu rozpoczęcia postępowania odszkodowawczego był optymistycznie nastawiony do sprawy – w końcu dzięki swoim doświadczeniom i analizie ryzyka postanowił wcześniej wykupić cyberubezpieczenie. To miało sprawić, że płynność finansowa banku nie powinna była zbytnio ucierpieć na tym zdarzeniu. Jednak rzeczywistość okazała się całkowicie inna…
Jak przebiegał atak na bank? W dosyć typowy sposób. Dobrze przygotowany phishing i nieuwaga pracownika. Atakujący przesłał fałszywą korespondencję do osób zatrudnionych w banku, a te, nieświadome zagrożenia, otworzyły spreparowany e-mail. Dzięki temu osoba z zewnątrz uzyskała dostęp do zasobów organizacji i tym samym mogła instalować złośliwe oprogramowanie oraz miała dostęp do danych klientów (nazw użytkowników i haseł), danych transakcji (danych kart debetowych/kredytowych) i informacji z bankomatów. Dzięki temu drobnemu incydentowi zostało wykradzionych prawie 600 tysięcy dolarów w 2016 roku oraz prawie 2 miliony dolarów w 2017 roku. Według oświadczenia banku między atakami zostały wdrożone dodatkowe zabezpieczenia, jednak hakerzy dobrze pozacierali ślady z pierwszego ataku i utrzymali swój dostęp do infrastruktury banku, co doprowadziło do drugiego incydentu. Słowa klucze w powyższym akapicie to karta, bankomat i transakcja.
Wydaje się, że jest to typowy przykład elektronicznego przestępstwa, które w polisie było ubezpieczone na osiem milionów dolarów. Nawet definicja zawarta w ogólnych warunkach ubezpieczenia mówi wprost:
Utrata wynikająca bezpośrednio z działania nieautoryzowanych stron (innych niż Pracownik) samodzielnie lub w zmowie z innymi osobami wprowadzających lub zmieniających dane elektroniczne lub programy komputerowe w dowolnym systemie komputerowym … obsługiwanym przez Ubezpieczonego … o ile wpis lub zmiana powodują: (1) transfer własności [np. pieniądze], które zostaną przekazane, wypłacone lub dostarczone, (2) rachunek Ubezpieczonego [Narodowego Banku] lub jego klienta zostanie usunięty, obciążony lub zasilony, lub (3) nieuprawnione lub fikcyjne konto zostanie obciążone lub zasilone.
Jednak zawsze istnieje jakieś „ale”, szczególnie w sektorze ubezpieczeń. Ubezpieczyciel, Everest National Insurance Co, ocenił incydent jako pojedyncze zdarzenie z udziałem kart debetowych/kredytowych i zaproponował wypłatę w wysokości 50 tysięcy dolarów odszkodowania, powołując się na dwa wyłączenia zapisane w umowie:
Straty wynikającej bezpośrednio lub pośrednio z wykorzystania lub rzekomego wykorzystania kredytu, debetu, środków, dostępu lub kart (1) w celu uzyskania kredytu lub środków, lub (2) w uzyskaniu dostępu do zautomatyzowanych urządzeń mechanicznych [bankomatów], które w imieniu Ubezpieczonego, będą wydawać pieniądze, przyjmować depozyty, czeki gotówkowe lub udzielać pożyczek w ciężar karty kredytowej, lub (3) w uzyskiwaniu dostępu do terminali płatniczych, terminali do obsługi klientów i banków lub podobnych elektronicznych terminali w systemach transferu środków.
Stratę obejmującą zautomatyzowane urządzenia mechaniczne [bankomat], które w imieniu Ubezpieczonego wypłacają pieniądze, przyjmują depozyty, czeki gotówkowe, udzielają pożyczek w ciężar karty kredytowej, chyba że takie urządzenia mechaniczne znajdują się w biurze Ubezpieczonego, w którym znajduje się Pracownik, wykonujący obowiązki kasjera bankowego, nawet jeśli możliwy jest dostęp publiczny poza biurem Ubezpieczonego, ale w żadnym przypadku Ubezpieczający nie ponosi odpowiedzialności za stratę (w tym utratę nieruchomości) (1) w wyniku uszkodzeń zautomatyzowanych urządzeń mechanicznych dokonanych na zewnątrz biura, lub (2) w wyniku awarii zautomatyzowanych urządzeń mechanicznych, lub (3) w wyniku niewłaściwego umieszczenia lub tajemniczego, niewytłumaczalnego zniknięcia mienia znajdującego się w jakimkolwiek zautomatyzowanym urządzeniu mechanicznym.
Teoretycznie wygląda to na cyberprzestępstwo, ale z drugiej strony dotyczy kart bankomatowych przez co granica między rodzajem zdarzenia jest bardzo rozmyta, a ubezpieczyciel próbuje wykorzystać ten argument, by obniżyć kwotę odszkodowania. Dodatkowym elementem historii jest to, że oszustwa związane z kartami bankomatowymi są przez ubezpieczycieli wyceniane dużo niżej ze względu na potencjalnie niskie straty (choć akurat to jest pojęciem względnym), a także dużą liczbę zabezpieczeń.
O ryzyku i ubezpieczeniach słów kilka
Wracając do momentu sprzed incydentu, na początek oceny realizacji procesu warto zastanowić się nad ryzykiem przetwarzania danych czy realizacji danej czynności. Stąd niezależnie od wdrożonych zabezpieczeń dobrą praktyką jest szacowanie ryzyka. Wytyczne dla takiej analizy można znaleźć w dedykowanej normie ISO 31000 System Zarządzania Ryzykiem. Czynność jest o tyle istotna, że pozwala przewidzieć potencjalne słabe punkty w łańcuchu bezpieczeństwa, a jednocześnie dokonać chłodnej oceny, co jeszcze można zrobić, by zminimalizować ryzyko strat. Przy okazji można stworzyć scenariusze, które należy wdrożyć w przypadku wpadki. W przypadku tych, które są dla nas na nieakceptowalnym poziomie, można rozważyć przeniesienie ryzyka. Tutaj z pomocą przychodzą firmy ubezpieczeniowe i cyberubezpieczenia.
W Polsce rynek cyberubezpieczeń jest dopiero w fazie rozwoju, jedynie kilka firm świadczy usługi z takiego zakresu – obejmują odpowiedzialność z tytułu np. naruszenia prywatności, bezpieczeństwa sieci, wymuszeń komputerowych, naruszenia danych czy zakłócenia działalności. W ogólnych warunkach ubezpieczenia jest szczegółowo opisany zakres, wraz z wyłączeniami – przykładowo:
Naruszenie Danych oznacza uszkodzenie lub zniszczenie Danych należących do Ubezpieczonego, lub uzyskanie dostępu do nich, za sprawą:
- Złośliwych Czynów Komputerowych;
- Złośliwego Oprogramowania;
- Ataku Hakerskiego;
- Nieuprawnionego Użycia lub Dostępu;
- Ataku DoS;
- Błędu Człowieka;
- Błędu Programistycznego; lub
- Wystąpienia przepięcia, niedostatecznego napięcia lub przerwy w dopływie energii elektrycznej, jeśli miało to wpływ na System Komputery Ubezpieczonego.
Ponadto wszystkie takie ubezpieczenia posiadają wiele wyłączeń, gdyż dopiero po incydencie będzie można oszacować ostateczną wartość strat. Jest to o tyle zrozumiałe, że zdarzenie może pociągnąć za sobą straty na kilkanaście milionów złotych, a polisa została podpisana jedynie na kilka milionów. Jak można się przekonać z powyższej historii – teoria teorią, ale w praktyce wygląda to zupełnie inaczej. Czytajcie drobny druk, by kupić transfer ryzyka, którego potrzebujecie, a nie transfer ryzyka, który chce Wam sprzedać ubezpieczyciel.
Komentarze
Prawda jest taka, że ubezpieczyciel będzie zawsze robił wszystko, aby tylko nie wypłacić odszkodowania lub maksymalnie je zaniżyć. Każdy kto korzystał z polisy OC sprawcy kolizji drogowej lub AC dobrze o tym wie. Ja np. miałem dodatkowo „przyjemność” użerać się z ubezpieczycielem biura rachunkowego (compensa). Straty łącznie na ok. 40.000 zł z winy biura. Ubezpieczyciel robi dosłownie wszystko, aby sprawę skomplikować, zmarnować maksimum naszych zasobów, znaleźć nawet najmniejsze punkty zaczepienia aby wymigać się od uznania szkody. Nie wierzcie sprzedawcom ubezpieczeń w ani jedno ich słowo.
A czy dotyczy to także ubezpieczeń w ramach ZUS?
Trzeba było rozliczać się bezgotówkowo.
Też miałem przygodę z ubezpieczeniem. Nie na takie kwoty bo ledwie 1400 zł ubezpieczenia telefonu, ale i tak. Telefon upadł na ziemię? Twoja wina, bo tobie upadł, nie wypłacamy. Telefon strącił pies kolegi ze stołu? Twoja wina bo nie upilnowałeś. Telefon ci ukradli? Twoja wina bo zostawiłeś go w samochodzie. Telefon ci zabrali? A masz jakieś dowody, że podjąłeś działania w celu jego obrony? Umowy są tak skonstruowane, że zawsze znajdzie się jakiś paragraf i dopiero w sądzie można dochodzić roszczeń. Dlatego przestałem zgadzać się na ubezpieczenia elektroniki przy zakupie, bo skoro nie widać różnicy, to po co przepłacać?
Polać mu… dobrze prawi. Dokładnie tak samo robię. Wydłużanie gwarancji, ubezpieczenia od… ufo… a spróbuj dochodzić roszczeń… koszt dochodzenia będzie wyższy niż roszczenie… utopisz się w odbijaniu piłeczek, redagowaniu kolejnych kretynizmów w pismach… aż odechce się…
Twoje przyklady zdaja sie byc przerysowane (choc nie wiem czy miales taka intencje), ale sa blizsze prawdy niz mozna sie spodziewac. Kiedys analizowalem raport dotyczacy ubezpieczen i tam np. pojawiala sie odpowiedzialnosc kota za uszkodzenie sprzetu ;) Ubezpieczyciel powolywal sie rowniez na mozliwosc przewidzenia wystapienia jakiegos zdarzenia jako przeslanke do wylaczenia odpowiedzialnosci. No ake coz, kazdy orze jak moze :)
Ja z kolei miałem ubezpieczony telewizor w Hestii. Przy czym wybrałem pakiet rozszerzony. Telewizor został uszkodzony z mojej winy (poszła matryca), przyjechali, zabrali, po tygodniu oddali z nowiutką matrycą.