W czasie pandemii życie w dużej mierze przeniosło się do sieci, a przestępcy to wykorzystują. Rosnące straty z powodu cyberataków sprawiły, że firmy poszukują ochrony ubezpieczeniowej, asekuratorzy zaś podnoszą stawki za cyberpolisy.

Ataki cybernetyczne nie są wyłącznie ryzykami cyfrowymi. Komputery sterują produkcją i ataki mogą mieć poważne konsekwencje dla przemysłu. W czasie pandemii transformacja cyfrowa przyspieszyła, ale wzrosła także podatność na zagrożenia systemowe. Praca zdalna również ujawniła słabość zabezpieczeń w wielu organizacjach.

Ataki cybernetyczne istniały od dawna, jednak w ostatnim czasie zwiększyła się ich liczba. Nasilił się też lęk przed możliwymi stratami i wzrosła świadomość konsekwencji cyberataków. Z informacji Munich Re wynika, że globalne straty gospodarcze spowodowane cyberprzestępczością sięgnęły w 2021 r. 6 bln dolarów, czyli od 2015 r. wzrosły dwukrotnie, a do 2025 r. przekroczą wartość 10 bln dolarów.

Na całym świecie rosną obawy przed cyberatakami, a w niektórych regionach ryzyko to wyprzedza nawet ryzyko klimatyczne (np. w USA ryzyko cybernetyczne wysunęło się na pierwsze miejsce w rankingu zagrożeń). W raporcie AXA Future Risks 2021 ryzyko cybernetyczne stoi zaraz za ryzykiem klimatycznym, które w ostatnich latach zdecydowanie wysunęło się na prowadzenie. Badanie przeprowadzone na grupie 23 tys. osób wykazało, że z powodu gwałtownego przyspieszenia transformacji cyfrowej oraz olbrzymiego wzrostu liczby ataków cybernetycznych nasiliły się obawy związane z ryzykiem cybernetycznym.

W Ogólnoświatowym Badaniu Bezpieczeństwa Informacji EY (GISS – Global Information Security Survey) aż 43 proc. ekspertów ds. bezpieczeństwa informacji (CISO) jeszcze nigdy tak bardzo nie martwiło się o zdolność firm do odpierania cyberzagrożeń. Aż 77 proc. badanych jest zdania, że w ostatnich 12 miesiącach nastąpił wzrost liczby ataków typu ransomware. Ankietowani zauważyli, że pandemia ujawniła luki w szeroko rozumianym ekosystemie obejmującym łańcuch zależności firm.

Oprogramowanie coraz złośliwsze

Ataki z użyciem złośliwego oprogramowania odpowiadały za 80 proc. szkód cybernetycznych zgłoszonych w Europie kontynentalnej w ubiegłym roku (w porównaniu z 70 proc. w 2019 r.). Liczba szkód spowodowanych przez ransomware w ostatnim roku wzrosła ponaddwukrotnie – wynika z raportu The Changing Face of Cyber Claims 2021, opracowanego przez brokera ubezpieczeniowego Marsh we współpracy z Microsoft, kancelarią prawną CMS oraz Kivu, globalną firmą specjalizującą się w cyberbezpieczeństwie. Ataki typu ransomware stanowiły 32 proc. wszystkich szkód odnotowanych w 2020 r. – ponaddwukrotnie więcej, niż miało to miejsce w latach 2016–2020 (14 proc.). Liczba szkód cybernetycznych w ostatnim roku na terenie Europy kontynentalnej wzrosła o 8 proc. Raport Marsh powstał na podstawie analizy szkód z polis cybernetycznych zarządzanych przez Marsh w Europie kontynentalnej w latach 2016–2020.

Najbardziej dotknięte atakami branże to instytucje finansowe, produkcja, telekomunikacja, media i technologie oraz usługi profesjonalne. Liczba zdarzeń szkodowych w tych sektorach znacząco wzrosła w poprzednim roku, przy czym aż trzy z nich odnotowały trzycyfrowy wzrost incydentów cybernetycznych: produkcja (104 proc.), telekomunikacja, media i technologie (153 proc.) i usługi profesjonalne (200 proc.).

Na przełomie marca i kwietnia 2020 r., w momencie wybuchu pandemii w Europie, cyberprzestępcy błyskawicznie wykorzystali poczucie niepokoju, aby dokonać ataków. Używali znanych już metod i złośliwego oprogramowania, bazując na ludzkiej ciekawości i zapotrzebowaniu na aktualne informacje na temat COVID-19. Przykładowo podszywali się pod zaufane źródła, takie jak Światowa Organizacja Zdrowia (WHO) czy krajowe organizacje ochrony zdrowia, w celu skłonienia użytkowników do klikania złośliwych linków i pobierania załączników. Ataki związane z COVID-19 stanowią jednak niewielki procent. Cyberprzestępcy szybko dostosowują swoje przynęty do aktualnych tematów i bardzo sprawnie radzą sobie z wykorzystywaniem ludzkich słabości, lęków oraz luk w zabezpieczeniach.

Więcej ataków to droższe polisy

Rosnąca liczba ataków cybernetycznych to także większe koszty dla ubezpieczycieli i ryzyko kolejnych. Przestępcy idą też z duchem czasu i zmieniają sposób działania, pojawiają się również nowe zagrożenia, a stare metody są modyfikowane. Dla asekuratorów wyzwaniem jest nadążanie za tym. Ubezpieczyciele muszą dopasowywać ofertę do zmieniających się zagrożeń i mimo zarzutów, że czasem zostają w tyle, zainteresowanie cyberpolisami szybuje w górę. Według Global Data światowy rynek cyberubezpieczeń w 2020 r. był wart 7 mld dolarów pod względem składki przypisanej brutto, a do 2025 r. jego wartość ma wzrosnąć do 20,6 mld dolarów, na co wpływ ma rosnące zagrożenie cyberatakami w wyniku pandemii.

Pojawiają się zarzuty, że branża ubezpieczeniowa, ubezpieczając wypłaty okupu, napędza ataki ransomware. Asekuratorzy podkreślają jednak, że ich odpowiedzialność nie ogranicza się do tego zakresu, rekompensują też wiele innych strat związanych z atakami cybernetycznymi, np. mające związek z odpowiedzialnością ubezpieczonego wobec innych podmiotów czy ze stratami wynikającymi z przerw w produkcji. To dwie strony tego samego medalu i trudno jednoznacznie ocenić rolę asekuratorów w walce z przestępczością cybernetyczną. Bez nich jednak przedsiębiorcy gorzej radziliby sobie ze skutkami ataków.

Zwiększające się szkody sprawiają, że ceny cyberpolis idą w górę. Z raportu Marsh wynika, że z powodu rosnącej częstotliwości i dotkliwości cyberataków stawki ubezpieczeń cybernetycznych w I kwartale 2021 r. były średnio o 38,7 proc. wyższe dla wszystkich branż w porównaniu z 36,6 proc. w IV kwartale 2020 r. Nic nie wskazuje, żeby wzrost cen miał się zatrzymać. Jak komentuje Anna Pluta, lider Praktyki Cybernetycznej Marsh, intensyfikacja zagrożeń generuje więcej szkód i tym samym wpływa na utrzymujący się wzrost cen składek. Z perspektywy ubezpieczycieli znaczenie ma ocena dojrzałości w zakresie bezpieczeństwa cybernetycznego i wdrożonych w firmie rozwiązań. Pandemia pokazała, że szybkie decyzje, wymuszające nowe rozwiązania umożliwiające pracę zdalną, nie zawsze szły w parze z inwestycjami w obszar cybersecurity.

Według raportu S&P Global Ratings „Cyber Risks In A New Era: Reinsurers Could Unlock The Cyber Insurance Market” („Ryzyka cybernetyczne w nowej erze: Reasekuratorzy mogą odblokować rynek ubezpieczeń cybernetycznych”) ceny na rynku reasekuracji i ubezpieczeń cybernetycznych mogą gwałtownie wzrosnąć w latach 2021–2023, nawet dwukrotnie w stosunku do obecnego poziomu.

Z punktu widzenia przedsiębiorstw nie tylko rosnące ceny ubezpieczeń są problemem. Coraz trudniej jest o polisę, gdyż asekuratorzy stosują coraz ostrzejszą ocenę ryzyka, a ich wymogi znacząco się podniosły w ubiegłym roku. Im więcej szkód i im wyższe ich koszty, tym mniejszy apetyt ubezpieczycieli na dane ryzyko i wyższe wymogi stosowanych zabezpieczeń wobec klientów. Po okresie wysokich limitów ochrony i niezmiennych stawek coraz częściej pojawiają się ograniczenia, np. wprowadzanie sublimitów ochrony dla cyberryzyk czy zwiększanie udziałów własnych. I choć popularność tych produktów wciąż rośnie, a nawet dogania pod tym względem tradycyjne polisy ogniowe, cyberbezpieczenia nie będą panaceum na bolączki związane z atakami. Z jednej strony organizacje same muszą jak najlepiej chronić się przed atakami, a z drugiej – coraz częściej pojawiają się głosy na temat konieczności wprowadzania rozwiązań systemowych z udziałem państwa.


Regina Skibińska

 



TPL_BACKTOTOP