Leadenhall Cyber Manual dla pośredników

Transkrypt

1 Ochrona bezpieczeństwa informacji Wsparcie ekspertów informatyki śledczej Pomoc prawna i monitoring zaufania klientów Ochrona w zakresie roszczeń w postępowaniach cywilnoprawnych oraz regulacyjnych Leadenhall Cyber Manual dla pośredników

2 ani jeden z obszarów objętych polisą Cyber nie jest skutecznie chroniony żadnym innym ubezpieczeniem dostępnym na rynku! Całe spektrum cyber-zagrożeń jest - w ramach polis OC i majątkowych - konsekwentnie wyłączane, jako niedostatecznie rozpoznane, a do tego złożone i wymagające w zakresie likwidacji szkód. Ubezpieczenie Cyber - ale nie takie z nazwy, tylko faktycznie oferujące światowy standard ochrony - jest więc obecnie jedynym ubezpieczeniowym panaceum na największe zagrożenia cyfrowego świata. Świata, przed którym nie ma przecież w XXI wieku żadnej ucieczki Michał Molęda Wiceprezes Zarządu Leadenhall Polska Główny Underwriter

3 Ryzyko Cyber - o co w nim chodzi? Rozwój technologii - zwłaszcza informatyzacja usług - powoduje, że wiele obszarów biznesu przenosi się do świata cyfrowego i stają się od niego całkowicie zależne. W cyfrowej rzeczywistości istnieją zagrożenia, z którymi należy liczyć się nie mniej, niż z tymi znanymi ze świata realnego. Są one od tych drugich mniej intuicyjne, bardziej wyrafinowane, a przez to wręcz groźniejsze. tak phishingowy * 23% 35% 39% Najważniejsze z nich związane są z przetwarzaniem danych np. bezprawnym ich ujawnieniem, kradzieżą lub utratą 18% oraz z dostępem do systemu informatycznego przez osoby nieuprawnione, w tym z cyber-wymuszeniami. 17% Dla każdej firmy źródłem tych zagrożeń mogą być osoby trzecie (np. hakerzy), jej dostawcy, kontrahenci, a także pracownicy. Szkody cyber bywają wynikiem działań celowych, skutkiem niedbalstwa pracowników lub niedostatecznego zabezpieczenia systemu informatycznego i przechowywanych danych. Wykorzystanie informacji w formie papierowej Wykorzystanie socjotechniki Przyczyna nieznana 7% 13% 13% Gdy ryzyko Cyber zmaterializuje się, jego konsekwencje mogą przybrać oblicze: Odszkodowawcze zarówno w zakresie odpowiedzialności cywilnej wobec osób, których dane zostały naruszone, jak też odpowiedzialności administracyjnej (np. postępowanie za naruszenie przepisów RODO), Ekonomiczne obejmujące koszty obsługi incydentu informatycznego (informatyki śledczej, powiadomienia osób, których dane zostały naruszone, odtworzenie utraconych danych, wdrożenie właściwych zabezpieczeń itp.), Reputacyjne oznaczające utratę zaufania klientów i kontrahentów oraz konieczność pokrycia kosztów zarządzania marką i wizerunkiem firmy. 90% 80% 70% 60% 50% 40% 30% 20% 79% 62% 38% 37% 10% Polisa Cyber ma za zadanie ułatwić Ubezpieczonemu sfinansowanie kosztów i strat związanych z powyższymi obszarami. 0% ktualni pracownicy taki hakerskie Wzorem rozwiązań stosowanych od lat w US polisa Leadenhall Cyber ma charakter pakietowy - składa się z siedmiu omówionych dalej sekcji ubezpieczeniowych, oznaczonych literami od do G. 3

4 SEKCJ Odpowiedzialność cywilna za naruszenie prywatności Na terenie niewielkiego zakładu utylizacji odpadów pracownicy znaleźli karty pacjentów miejscowego ośrodka zdrowia. Zawierały one nazwiska i pełną historię medyczną - czyli dane wyjątkowo wrażliwe. Sprawa została nagłośniona przez lokalne media i spowodowała ogromne wzburzenie opinii publicznej. Osoby, których dane zostały ujawnione zgłosiły roszczenie przeciwko placówce medycznej o naruszenie dóbr osobistych oraz naruszenie tajemnicy lekarskiej. Naruszenie prywatności jest powszechnie utożsamiane z wyciekiem danych osób fizycznych. Danych, za których ochronę odpowiada osoba lub instytucja, której je powierzono. W rzeczywistości prawnej pojęcie to może być znacznie szersze i oznaczać naruszenie jakiejkolwiek regulacji dotyczącej ochrony prywatności. Jest to przede wszystkim Rozporządzenie Europejskie o ochronie danych osobowych (RODO), ale też wszystkie inne (lokalne) ustawy o ochronie danych osobowych. Sekcja naszej polisy ubezpiecza odpowiedzialność cywilną z tytułu roszczeń wynikających z każdego z powyższych obszarów. Odszkodowanie obejmie przede wszystkim należne zadośćuczynienie i odszkodowanie dla osób fizycznych poszkodowanych przez bezprawny wyciek lub naruszenie ich danych. Nie ma przy tym znaczenia czy dane przechowywane były w formie cyfrowej czy papierowej. Ponadto polisa pokryje koszty rozmaitych działań, które Ubezpieczony jest zobowiązany podjąć w celu zmniejszenia skutków wycieku lub utraty danych. Są to między innymi: obowiązek pisemnego poinformowania każdej osoby, której dane zostały bezprawnie ujawnione, działania podjęte w celu odtworzenia utraconych lub skompromitowanych danych, usunięcie danych z miejsc w sieci, w których znalazły się bez zgody osoby, której dane dotyczą. Koszty te mogą być niebagatelne, nierzadko przewyższające samo roszczenie. WŻNE! Z zakresu ochrony wyłączona jest odpowiedzialność za szkody spowodowane ujawnieniem tajemnic handlowych i naruszeniem praw własności przemysłowej. 4

5 SEKCJ B Odpowiedzialność administracyjna za naruszenie prywatności Gdy dochodzi do wycieku danych osobowych lub innego naruszenia prywatności osób fizycznych, organy państwowe powołane do ich ochrony mogą wszcząć postępowanie regulacyjne. Urząd Ochrony Danych Osobowych oraz Prokuratura coraz częściej z tej możliwości korzystają. Konsekwencją postępowania może być wydanie decyzji zobowiązującej winnego do konkretnego działania i/lub nałożenie na niego finansowej kary administracyjnej. Kary przewidziane w Europejskim Rozporządzeniu o ochronie danych osobowych (w skrócie RODO) mogą być ogromne: do 4% łącznego przychodu Ubezpieczonego lub 20mln EUR w zależności, która z tych kwot jest większa! Sekcja B pokrywa koszty obrony w tego typu postępowaniach regulacyjnych. Obejmie także - z zachowaniem zapisów warunków ubezpieczenia - refundację nałożonych kar administracyjnych. WŻNE! Polisa nie obejmie konsekwencji umyślnego naruszenia prawa. Umyślność musi zostać jednak ustalona prawomocnym wyrokiem sądu. W warunkach ubezpieczenia natomiast zawarta jest klauzula reprezentantów znacznie ograniczająca ten zapis; grono osób których wyłączenie umyślności dotyczy, zawężone jest do ścisłego kierownictwa ubezpieczanego podmiotu. W jednym z portali internetowych doszło do kradzieży danych kont pocztowych wraz z częścią korespondencji użytkowników. Zarząd spółki prowadzącej portal sam powiadomił o tym organy ścigania oraz Urząd Ochrony Danych Osobowych. Na podstawie zawiadomienia Urząd wszczął kontrolę, która wykazała liczne uchybienia i zaniedbania w zakresie środków technicznych i organizacyjnych, służących bezpieczeństwu przetwarzanych danych. Skutkowało to zastosowaniem wobec spółki właściciela portalu przewidzianych prawem środków administracyjnych. Na spółkę nałożono obowiązek poprawy procedur bezpieczeństwa. Gdyby nowe przepisy RODO już działały uchybienia te skutkowałyby nałożeniem kary administracyjnej w wysokości kilkudziesięciu tysięcy złotych. B 5

6 SEKCJ C Koszty obsługi incydentu informatycznego tak hakerski na system sterujący pracą magazynu i obsługą zamówień średniej wielkości fabryki spowodował całkowite zatrzymanie produkcji. Tym samym firma nie była w stanie zrealizować zamówień odbiorców, co spowodowało nie tylko straty finansowe, ale też ogromy uszczerbek na wizerunku. W celu przywrócenia dostępu do systemu, a w konsekwencji wznowienia produkcji, zakład zmuszony był skorzystać z usługi informatyki śledczej. Ponadto musiał zatrudnić czołową agencję PR, która natychmiast podjęła tzw. monitoring zaufania kontrahentów i klientów oraz kosztowne, aczkolwiek niezbędne działania wizerunkowe. Incydent informatyczny to pojęcie znacznie szersze od wycieku danych. Może nim być każdy atak hakerski lub wręcz proste stwierdzenie faktu, iż nieuprawniona osoba miała dostęp do systemu informatycznego firmy i jej danych. Polisa Cyber pokrywa koszty usług niezbędnych do odpowiedniego zarządzenia obsługą takiego incydentu. Ubezpieczyciel nie tylko zrefunduje te koszty, lecz co ważniejsze - na życzenie Ubezpieczonego - zapewni odpowiednie usługi. Dobrym przykładem jest tzw. informatyka śledcza. Niewiele firm zatrudnia ekspertów z kompetencjami w tym zakresie. Własny dział IT tworzą najczęściej administratorzy sieci, którzy z uwagi na zakres codziennych obowiązków nie mają z reguły wystarczających umiejętności do opanowania incydentu. Jeżeli do tego zachodzi podejrzenie, że incydent jest konsekwencją błędów, zaniedbań lub wręcz umyślnego działania pracowników - współpraca z zewnętrznymi specjalistami jest absolutnie niezbędna. C B Zapewniana w ramach naszej polisy Cyber usługa informatyki śledczej obejmuje: identyfikację skompromitowanych stacji roboczych, serwerów i innych urządzeń sieciowych oraz zabezpieczenie śladów włamań, określenie najlepszej metody zabezpieczenia danych oraz samo ich zabezpieczanie, analizę zebranych danych (pamięci RM i dysków) w celu ustalenia źródeł, skutków i metody ataku, odzyskanie plików konfiguracyjnych i innych istotnych informacji na temat intruza, odtworzenie historii działań atakującego i ofiary ataku (np. dla ustalenia sposobu zainfekowania), analizę dzienników zdarzeń z tych systemów zewnętrznych, które także mogły zarejestrować aktywność intruza. Inne obszary obsługi incydentu, których koszty refunduje Ubezpieczyciel, mogą być zlecone: kancelariom prawnym zdolnym sprawnie obsłużyć pozwy (także zbiorowe), agencjom Public Relations. 6

7 SEKCJ D Odpowiedzialność cywilna za naruszenie bezpieczeństwa informacji u osób trzecich Sekcja ta zapewnia ubezpieczonemu ochronę, gdy niewłaściwe działanie jego systemu informatycznego lub nienależyte korzystanie przez niego z systemu zewnętrznego wyrządzi szkodę osobom trzecim. Skutkiem może być powstały u osoby trzeciej wyciek danych lub inne jego straty. Szkodą mogą być omawiane już w sekcji C usługi informatyków śledczych, ale traktowane nie jako szkoda własna ubezpieczonego, ale jako szkoda osoby trzeciej. Inne roszczenia mogą dotyczyć pokrycia kosztów agencji PR lub kancelarii prawnej, które osoba trzecia w związku z wyciekiem musi ponieść. Polisa pokryje takie roszczenie, za które odpowiedzialność na zasadach ogólnych można przypisać ubezpieczonemu, czyli kiedy jest on właścicielem lub operatorem systemu informatycznego, którego wadliwość lub niewystarczające zabezpieczenia doprowadziły do wycieku. Ubezpieczenie obejmie także koszty obrony przed nieuzasadnionymi roszczeniami. Przykładem tego może być naruszenie lub wyciek - z winy Ubezpieczonego - danych przechowywanych w systemie osoby trzeciej: wyciek danych z systemu PESEL, do którego dostęp ma urząd gminy, wyciek z bazy NFZ, z której korzysta placówka medyczna. Urząd Gminy ma dostęp on-line do centralnej bazy PESEL. Wymiana informacji między urzędem a bazą następuje poprzez wtyczki zainstalowane na stacjach roboczych urzędu. Zgodnie z wytycznymi RODO urząd ma obowiązek wdrożenia technicznych i organizacyjnych środków gwarantujących bezpieczeństwo tych danych. Jeden z urzędników po zakończeniu pracy nie wylogował się z bazy centralnej, co spowodowało, że osoby trzecie miały dostęp do przechowywanych w nim informacji skutkujący wyciekiem dużej ilości danych osobowych. dministrator bazy centralnej wystąpił do urzędu z roszczeniem za naruszenie bezpieczeństwa informacji. Liczba scenariuszy szkodowych jest nieograniczona. Zależą one głównie od tego jakie skutki wywołało niepożądane działanie Ubezpieczonego lub złośliwe oprogramowanie, którym zainfekował on system osoby trzeciej. Może to być zaszyfrowanie - i w konsekwencji całkowita utrata - danych lub utrata ich wiarygodności, a nawet konieczność ponownej instalacji całego systemu. D C B 7

8 SEKCJ E Odpowiedzialność multimedialna Sklep internetowy specjalizował się w sprzedaży suplementów diety i lekarstw bez recepty. Do promocji produktów używał m.in. swojego konta na Facebooku. Korzystał przy tym z różnych grafik, zdjęć oraz fragmentów wypowiedzi znanych autorytetów z danej dziedziny medycyny. Wobec firmy zostały skierowane dwa roszczenia. Pierwsze od autora badań, którego wyniki były publikowane na koncie w celu potwierdzenia jakości oferowanego produktu. Drugie od fotografa, którego zdjęcie było wykorzystane do promocji konta. Żaden z nich nie był zapytany przez sklep o zgodę na wykorzystanie tych materiałów. Oba roszczenia opiewały na kwotę blisko zł. Zakres ochrony w polisie Cyber nie byłby pełny, gdyby nie obejmował odpowiedzialności cywilnej Ubezpieczonego z tytułu czynów popełnionych przez niego w wyniku publikacji za pomocą środków elektronicznych, a więc na stronach internetowych, w mediach społecznościowych lub w intranecie. Odpowiedzialność taka obejmuje ochroną czyny polegające na: Zniesławieniu, znieważeniu i pomówieniu, Naruszeniu prawa do prywatności, Naruszeniu praw autorskich, Naruszeniu prawa do domeny lub znaku towarowego, Dopuszczenie się plagiatu. WŻNE! Podmiotom, dla których publikacje multimedialne to podstawowy obszar działalności (a więc i ryzyka) ten zakres ochrony nie jest oferowany. Dotyczy to na przykład wydawnictw czy portali internetowych. Dla takich podmiotów ryzyko to powinno zostać ubezpieczone dedykowaną polisą OC z tytułu prowadzonej działalności zawodowej. Ubezpieczonym, dla których obszar ten nie stanowi podstawowej działalności umożliwiamy objęcie go ochroną w ramach Sekcji E w ramach zakresu fakultatywnego. C D B E 8

9 SEKCJ F Koszty cyber-wymuszenia Cyber-wymuszenie polega na: wprowadzeniu - lub wiarygodnej groźbie wprowadzenia - złośliwego oprogramowania lub zakłócenia pracy systemu informatycznego ubezpieczonego, rozpowszechnieniu - lub wiarygodnej groźbie rozpowszechniania - danych osób, za których bezpieczeństwo odpowiada Ubezpieczony. Następnie cyber-przestępca - w zamian za zaprzestanie dalszych działań lub za przywrócenie dostępu do systemu lub danych tam przechowywanych - żąda zapłacenia określonej kwoty wyrażonej w kryptowalucie. Tak wymuszona płatność stanowi szkodę własną Ubezpieczonego. Polisa obejmie ją ochroną po wyborze Sekcji F - jest ona fakultatywna. Kwota wymuszonej na Ubezpieczonym płatności zostanie zrefundowana, tylko wtedy, gdy Ubezpieczyciel wyraził uprzednio na to zgodę. Decyzja o udzieleniu takiej zgody podejmowana jest w oparciu o szczegółową analizę sytuacji oraz opinię ekspertów z zakresu informatyki śledczej. W średniej wielkości biurze rachunkowym w połowie stycznia doszło do włamania do systemu księgowego, z którego korzystało biuro i zablokowania dostępu do znajdujących się tam danych. Haker zażądał okupu za przywrócenie dostępu w wysokości 500 USD (płatne Bitcoinem). Właścicielka biura zgłosiła ten fakt do Ubezpieczyciela, który na podstawie analizy sytuacji i ryzyka roszczeń za nierozliczone w terminie operacje podatkowe zgodził się na refundację kosztu. F D C E B 9

10 SEKCJ G Koszty odtworzenia danych i utracony zysk tak hakerski (typu ransomware) na sklep internetowy z ekologicznymi kosmetykami doprowadził do zaszyfrowania danych w systemie zamówień i rozliczeń. Spowodowało to brak możliwości rejestracji zakupów i realizacji płatności, a tym samym przerwę w działalności skutkującą utratą zysku. Haker zażądał 1000 USD (płatnych Bitcoinem) za przywrócenie dostępu do systemu i odszyfrowanie danych. Właściciel odmówił zapłaty i złożył zawiadomienie do prokuratury. Blokada systemu spowodowała konieczność zamknięcia na pewien czas witryny w celu jej lepszego zabezpieczenia, odtworzenia danych oraz zaktualizowania statusu zamówień. Koszty odtworzenia danych i koszty przestoju bywają przedmiotem odrębnego ubezpieczenia majątkowego jednak tylko wtedy, gdy są skutkiem fizycznej utraty lub uszkodzenia mienia (komputerów, nośników). Objęcie ich ochroną także wówczas, gdy przyczyna ma charakter software owy a nie sprzętowy jest dla wielu przedsiębiorców nie mniej istotne. Sekcja G pokryje przede wszystkim szkodę własną Ubezpieczonego polegającą na koszcie odtworzenia jego własnych, utraconych danych. Obejmie też, wymieniony w warunkach katalog kosztów, które Ubezpieczony zmuszony będzie ponosić mimo przestoju przedsiębiorstwa i związany z tym brak przychodów. Zakres ten będzie szczególnie interesujący dla tych przedsiębiorstw, w których charakter działalności przesądza o tym, że to naruszenie bezpieczeństwa ich systemów, a nie pożar czy zalanie komputerów może spowodować długotrwały przestój. C D F B E G 10

11 LEDENHLL CYBER Prosta droga do ubezpieczenia Cyber Przygotowanie oferty opieramy na zestawie niezbędnych informacji. Współpraca z Lloyd s - wiodącym światowym rynkiem ubezpieczeń Cyber - pozwoliła na maksymalne ograniczenie liczby pytań. Pragniemy w ten sposób umożliwić dostęp do szybkiego uzyskania oferty małym i średnim przedsiębiorstwom (do 100 mln zł obrotu). Skomplikowane, techniczne kwestionariusze stanowią dla nich dużą barierę. Dla obliczenia składki potrzebujemy jedynie: kwoty przychodu ubezpieczonego za ostatnie 12 miesięcy, szacunkowej liczby posiadanych przez niego rekordów danych osobowych (rekord = 1 osoba fizyczna), rodzaju branży, w której prowadzi działalność. Należy jednak mieć świadomość, że polisę mogą zawrzeć wyłącznie te podmioty, które spełniają minimalne wymagania dotyczące bezpieczeństwa danych i systemów informatycznych: korzystają na wszystkich stacjach roboczych z oprogramowania antywirusowego i firewall aktualizowanego co najmniej raz na kwartał, tworzą co najmniej raz na tydzień kopie bezpieczeństwa (bez znaczenia, czy wykonują je same, czy zlecają to podmiotom zewnętrznym), posiadają i przestrzegają procedur kontroli dostępu i korzystania z systemów, w tym procedury aktualizacji posiadanego oprogramowania. WŻNE! W tabeli poniżej wymienione są te obszary działalności, do których nasza oferta Cyber nie jest kierowana. UDOSTĘPNINIE: OBSŁUG N RZECZ OSÓB TRZECICH: POZOSTŁE: Internetu Mediów społecznościowych Treści pornograficznych Płatności Windykacja należności Tworzenie oprogramowania Centrum przetwarzania danych Produkcja i naprawa sprzętu oraz komponentów elektronicznych Jeśli wnioskowana jest sekcja fakultatywna G, Ubezpieczony musi posiadać dodatkowo pisemny Plan Ciągłości Działania. Dodatkowo wymagamy, żeby dane osobowe i poufne przechowywane na nośnikach i urządzeniach mobilnych wynoszonych poza siedzibę ubezpieczonego były szyfrowane na poziomie dysku. Oznacza to konieczność korzystania z oprogramowania szyfrującego (zakupionego lub systemowego np. funkcja BitLocker w Windows 10). Wobec braku szyfrowania, wyłączymy z zakresu ochrony szkody i roszczenia związane z wyciekiem tych danych. Powyższe informacje wystarczą do błyskawicznego uzyskania wiążącej oferty Cyber w systemie transakcyjnym Leadenhall. 11

12 Leadenhall Polska S.. ul. Domaniewska Warszawa tel.: , Leadenhall Polska S.. stanowi część Grupy Leadenhall, w skład której wchodzi także Leadenhall Underwriting Limited z siedzibą w Londynie. Leadenhall Polska S.. jest Coverholderem rynku Lloyd s zarejestrowanym pod numerem CTM. Jako coverholder Leadnehall Polska S.. posiada pełnomocnictwa do zawierania i wykonywania umów ubezpieczenia w imieniu Lloyd s. Niniejszy przewodnik opracowano wyłącznie do celów ogólnoinformacyjnych. Leadenhall Polska S.. nie składa żadnych oświadczeń ani nie udziela żadnych gwarancji dotyczących dokładności lub kompletności publikacji (w tym w najszerszym dopuszczalnym zakresie, oświadczeń i gwarancji o charakterze dorozumianym). Leadenhall Polska S.. nie odpowiada, w tym finansowo, za straty lub szkody jakiegokolwiek rodzaju poniesione w wyniku działań lub zaniechań na podstawie treści zawartych w niniejszym przewodniku lub w związku z nim. Niniejszy przewodnik nie stanowi części oświadczeń składanych przez Leadenhall Polska S.. w związku z wykonywaniem pełnomocnictw do zawierania i wykonywania umów ubezpieczenia w imieniu Lloyd s lub innych ubezpieczycieli. 12