Baner - Polisa cyber, czyli jak ochronić się przed ryzykiem związanym z cyberatakami Baner - Polisa cyber, czyli jak ochronić się przed ryzykiem związanym z cyberatakami

Polisa cyber, czyli jak ochronić się przed ryzykiem związanym z cyberatakami

Minął rok od wybuchu wojny na Ukrainie. Rok, który zmienił wiele, w tym nasze postrzeganie cyberbezpieczeństwa. Świat usłyszał o cyberatakach za sprawą Anonymous, które wypowiedziało cyberwojnę Rosji. Jednak cyberataki nie stały się dla nas nowością wraz z nagłośnieniem działalności Anonymous, a jedynie pokazały rozmiar zagrożenia oraz możliwości hackerów.

Atak hackerski może spotkać każdego, nie trzeba być politykiem czy znienawidzoną organizacją by stać się ofiarą cyberataku. Za najpopularniejszymi atakami hackerskimi wcale nie stoją ludzie. Wiele ataków wykonywanych jest przez zautomatyzowane programy komputerowe, takie jak boty i oprogramowanie złośliwe (malware), które mogą atakować masowo i bez celu określonej ofiary, w konsekwencji narażone nie są tylko duże firmy, ale także małe i średnie przedsiębiorstwa.

Znaczenie bezpieczeństwa w zakresie cybernetyki

Wraz z rozwojem technologii i popularności działalności online, bezpieczeństwo w zakresie cybernetyki stało się niezwykle ważne dla polskich przedsiębiorstw. Muszą one zagwarantować bezpieczeństwo swoim klientom w kwestii przechowywania informacji i danych osobowych, a także w zakresie realizacji transakcji online. W celu zapewnienia bezpieczeństwa cybernetycznego firmy wdrażają tzw. politykę bezpieczeństwa, która określa procedury związane z cyberbezpieczeństwem. Same procedury jednak są niewystarczające, ważną kwestią są regularne szkolenia pracowników w zakresie cyberbezpieczeństwa, aby byli świadomi zagrożeń i potrafili zabezpieczyć się przed atakami. Bezpieczeństwo w świecie cyfrowym wymaga ciągłej edukacji i zwiększenia świadomości użytkowników. Ponieważ zagrożenia związane z cyberprzestępczością są coraz bardziej zaawansowane i złożone, a cyberprzestępcy wykorzystują coraz bardziej nowoczesne metody i techniki, aby osiągnąć swoje cele.

W ramach edukacji w zakresie cyberbezpieczeństwa, użytkownicy powinni uczyć się, jak chronić swoje urządzenia, jakie zachowania online są ryzykowne i jak rozpoznawać podejrzane sytuacje. Powinni także wiedzieć, jakie są najczęstsze zagrożenia, takie jak phishing, malware, ransomware, ataki DDoS itp. Oprócz tego, firmy powinny szkolić swoich pracowników w zakresie bezpieczeństwa w środowisku pracy, na przykład w zakresie zarządzania hasłami, identyfikacji i autoryzacji użytkowników, zarządzania urządzeniami, bezpiecznego korzystania z e-maili, a także w zakresie reagowania na incydenty bezpieczeństwa. Wszyscy użytkownicy powinni mieć na uwadze, że bezpieczeństwo w świecie cyfrowym jest procesem ciągłym i wymaga uważności i świadomości ze strony wszystkich osób korzystających z sieci.

W lutym br. ukazał się raport KPMG „Barometr cyberbezpieczeństwa” z wynikami badań na temat bieżących trendów oraz podejścia polskich przedsiębiorstw do kwestii ochrony przed cyberprzestępczością. Badaniu poddano 100 polskich firm, reprezentowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji. Zgodnie z przeprowadzonymi badaniami aż 1/3 firm zaobserwowała wzrost intensywności cyberataków na swoje systemy. I chociaż istnieją setki różnych rodzajów cyberataków, najpopularniejszy był atak ransomware. Do ataku ransomware hackerzy używają złośliwego oprogramowania, które szyfruje dane znajdujące się na dysku lub blokuje system. W zamian za odblokowanie systemu należy zapłacić okup. Na szczęście wszystkie badane firmy zdołały poradzić sobie z nim bez płacenia okupu.

Dedykowane produkty ubezpieczeniowe

Naprzeciw cyberbezpieczeństwu wychodzą zakłady ubezpieczeń z dedykowanymi produktami ubezpieczeniowymi. Polisa cyber to rodzaj ubezpieczenia, które chroni przed ryzykiem związanym z cyberatakami i innymi incydentami związanymi z bezpieczeństwem cybernetycznym. Polisa ta może obejmować ochronę przed różnymi rodzajami szkód, w tym kosztami związanymi z naprawą uszkodzeń systemów informatycznych, odzyskiwaniem danych, a także kosztami związanymi z utratą prywatnych lub poufnych informacji klientów. Polisa cyber może również obejmować ochronę przed odpowiedzialnością prawną wynikającą z naruszenia danych osobowych lub przepisów o ochronie prywatności, a także kosztami związanymi z prowadzeniem działań na rzecz odbudowy reputacji i zaufania klientów.

Polisa cyber nie jest jednak dla każdego. Na rynku ubezpieczeń produkt ten nie jest oferowany przez wszystkich ubezpieczycieli, spośród których część w ostatnim czasie zaostrza wymagania co do zabezpieczeń. Z pomocą przychodzi broker, który poszukując ochrony cyber dla swoich klientów niejednokrotnie spotyka się z brakiem elementarnych zabezpieczeń lub wiedzy na ich temat. Brokerzy ubezpieczeniowi pomagają klientom w zrozumieniu złożonych zagadnień związanych z cyberbezpieczeństwem i ubezpieczeniami, takich jak poziomy ochrony, klauzule wyłączenia, weryfikacja warunków ubezpieczenia, a także w wyborze odpowiedniego ubezpieczenia, które najlepiej odpowiada ich potrzebom. Uświadomienie słabości zabezpieczeń jest często wynikiem przeprowadzonej analizy brokera. Niestety poziom świadomości wśród wielu firm nie jest jeszcze na tyle wysoki by z wielkim zapałem inwestowały one w zminimalizowanie ryzyka w swojej organizacji.

Z wyników badania dowiadujemy się, że główną przyczyną jest brak wystarczających budżetów (57%), a także trudności w zatrudnieniu i utrzymaniu wykwalikowanych pracowników (47%). Jednym z rodzajów radzenia sobie z wymienionymi problemami jest outsourcing funkcji i procesów bezpieczeństwa. Na koniec 2022 roku 81% badanych firm powierzyło kwestie bezpieczeństwa danych organizacji zewnętrznym dostawcom. Aż 53% firm oczekiwało wsparcia w reakcji na cyberataki od zewnętrznych podmiotów. Tego typu usługa nie jest tania, dlatego rozwiązaniem jest polisa ubezpieczenia cyber, która swoim zakresem obejmuje pomoc w razie cyberataku. Ograniczona ilość firm informatycznych zajmujących się wsparciem po incydencie hackerskim, przyczynia się do popularności cybezrubezpieczeń. Zakłady ubezpieczeń w razie cyberataku zapewniają profesjonalne wsparcie poszkodowanego. Jednak z wyników badania KPMG wynika, że jedynie 24% ankietowanych przedsiębiorstw posiadało polisę ubezpieczeniową od skutków cyber, a aż 42% miało podpisaną umowę z zewnętrznymi firmami na wypadek konieczności wsparcia przy ewentualnych cyberatakach.

artykuł opublikowany w Gazecie Finansowej z 3-9 marca 2023BIZNES RAPORT – BROKER UBEZPIECZENIOWY ROKU 2022

dr Angelika Kuligowska

broker ubezpieczeniowy w Inter-Broker sp. z o.o.

POWRÓT
Baner - Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital? Baner - Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital?

Wpływ cyfryzacji ubezpieczeń na branżę brokerską. Be digital, ale czy Go digital?

O ile XXI wiek charakteryzuje „przyspieszenie” technologiczne na niespotykaną nigdy wcześniej skalę, o tyle okres pandemii COVID-19, trwającej od ponad dwóch lat, stał się silnym katalizatorem dla tego procesu. Według niektórych opinii osiągnięty już został poziom wykorzystania instrumentów cyfrowych przewidywany dopiero na rok 2030.

Be digital

Trend ten widoczny jest wyraźnie również w branży ubezpieczeniowej – zarówno w zakresie głębokiego sięgania przez zakłady ubezpieczeń do analizy danych wytwarzanych przez klientów, jak i w obszarze digitalizacji procesów obsługi klientów. W podobnym kierunku zmierza również branża brokerska.

Dla przykładu można przywołać przypadek spółki, w której pracuję. Obecna fala epidemii dotknęła ok. 70% jej zasobów pracowniczych. Jednak trwające od ponad 8 lat inwestycje w odpowiednie narzędzia cyfrowe pozwoliły nam nie tylko uniknąć przestoju w działalności, ale sprawiły, że zachowany został właściwy standard obsługi klienta.

Bądź bezpieczny

Pewnym ograniczeniem dla tego cyfrowego optymizmu są jednak dwa poważne zagrożenia, jakie dla branży brokerskiej niesie szybki postęp technologiczny.

Pierwsze związane jest z szeroko pojętym bezpieczeństwa danych, w tym danych osobowych. Wprowadzane w takich rozmiarach do systemów informatycznych bardziej niż kiedykolwiek są one narażone na ryzyko naruszenia ich poufności, dostępności lub integralności. Wstępne analizy zdają się wskazywać, że rok 2021 będzie pod względem takich naruszeń rekordowy.

Na marginesie warto może przypomnieć, że i na polskim rynku brokerskim doszło w 2020 roku do bardzo poważnego incydentu. Jak podawał „Niebezpiecznik”, w przypadku tym miał miejsce potężny wyciek danych, wśród których znalazły się kopie polis, numery PESEL klientów i ich dzieci, informacje o stanie zdrowia, adresy i numery telefonów, a nawet (sic!) plik z hasłami do systemów brokera. Wyciek mógł trwać nawet przez kilka dni. I nawet jeśli jego powodem był wirus, zawsze należy mieć na względzie konieczność wdrażania i ulepszania zabezpieczeń organizacyjnych i technicznych, które zminimalizują tego rodzaju zagrożenia.

W branży brokerskiej nie da się już dzisiaj zaoszczędzić na dobrym informatyku, kompetentnym inspektorze ochrony danych osobowych, a trzeba też przemyśleć zatrudnienie biegłego compliance officera. Zresztą rola tego ostatniego w minimalizacji ryzyka niezgodności działania przedsiębiorstwa z obowiązującymi regulacjami prawnymi zasługuje na odrębny temat. 

Z uwagi na fakt, że działalność brokerska wiąże się z przetwarzaniem ogromnej liczby danych ubezpieczeniowych i osobowych, tak istotne jest, aby narzędzia, przy pomocy których dane te są przetwarzane podlegały permanentnej analizie ryzyka.

Trzeba skończyć z myśleniem, że RODO to tylko doręczenie treści klauzuli i na tym sprawa się kończy. I że ewentualnie wystarczy dokupić „jakiś” program antywirusowy. Ochrona danych bowiem, w tym przede wszystkim osobowych, czy w ogóle szeroko rozumiane cyberbezpieczeństwo to proces ciągły, który w związku z wykładniczym rozwojem zagrożeń domaga się systematycznego weryfikowania odporności systemów na atak.

Z pewnością więc nowy rok powinien przynieść w naszej branży intensyfikację działań prowadzących do wdrożenia odpowiednich środków technicznych, tj. właściwych zabezpieczeń, jak i organizacyjnych, dotyczących monitorowania potencjalnych zagrożeń. I pamiętajmy, że aż w 41% źródłem incydentów jest błąd człowieka (dane za PWC).

W naszej działalności nie można już liczyć wyłącznie na szczęście, wyrażane w stwierdzeniu „jakoś to będzie, mnie to nie spotka”, a dobre przygotowanie na odparcie cyberataków może mieć decydujący wpływ na przetrwanie naszych firm, biorąc pod uwagę wysokość kar administracyjnych oraz utratę reputacji. Zdaje się, że obszar ten wciąż nie stanowi priorytetu w działalności firm brokerskich i tutaj widzę zadanie na cały rok 2022.

Na dodatek działać należy proporcjonalnie, ponieważ rozwiązania minimum mogą już nie wystarczyć. Naszych działań nie można więc ograniczać tylko do tzw. okazji legislacyjnych, gdy wdrażane są jakieś krajowe lub unijne regulacje, jak np. rozporządzenie RODO, czy dyrektywa NIS.

Go digital? Uzasadniony tradycjonalizm

Równie poważnym zagrożeniem, bo niosącym konsekwencje ekonomiczne, jest przeniesienie z powodu pandemii procesu pozyskiwania nowych klientów do internetu. Biorąc pod uwagę branżę ubezpieczeniową, cyfrowe narzędzia sprzedaży sprawdzają się niewątpliwie w odniesieniu do produktów masowych, prostych, nieskomplikowanych, przygotowanych dla klienta indywidualnego.

Broker ubezpieczeniowy nie sprzedaje jednak co do zasady ubezpieczeń – jego oferta obejmuje bowiem przede wszystkim usługi brokerskie (serwis), a więc szeroko rozumiane profesjonalne doradztwo, prowadzące do uzyskania oferty ubezpieczenia, adekwatnej do potrzeb i wymagań klienta. Sam zaś proces pozyskiwania nowych kontrahentów jest stosunkowo trudny i długotrwały. I co istotne – nie da się go przenieść do rzeczywistości cyfrowej.

Nieskuteczne okazują się tutaj nie tylko systemy wykorzystujące sztuczną inteligencję, co jest raczej oczywiste, ale także marketing bezpośredni w formie np. kampanii mailingowych (cold mailing) – przygotowanych nawet przez profesjonalne agencje, czy wykorzystanie social mediów itp. Niewielki efekt przynoszą także najbardziej nawet wyspecjalizowane aplikacje umożliwiające spotkania on-line w czasie rzeczywistym.  

Dzieje się tak dlatego, że usługi brokerskie domagają się bezpośredniego spotkania z potencjalnym kontrahentem, a zawarcie kontraktu najczęściej poprzedzone jest stworzeniem chociażby w minimalnym stopniu wzajemnych relacji, których podstawą jest zaufanie. Z reguły efektu takiego nie można osiągnąć w realiach wirtualnych. Broker bowiem przed sprzedażą usług swojej firmy „sprzedaje” najpierw siebie, a ściślej – swoją osobowość.

Jest to prosta i oczywista zasada dobrej sprzedaży, ale w branży brokerskiej jakby dodatkowo niedająca się zamienić na rozwiązania technologiczne. Zresztą nawet cross-seling lub up-selling prowadzony u dotychczasowych klientów domaga się najczęściej osobistego spotkania, ponieważ nowe propozycje, rozsyłane pocztą elektroniczną, z reguły pozostają bez większego odzewu. I oby było tak jak najdłużej.

Zdajemy sobie sprawę, że kiedyś sztuczna inteligencja będzie mogła niemalże wszystko – nawet rozpatrywać sprawy w sądzie, jak przewidują niektórzy; póki co jednak górą są osobiste relacje i profesjonalizm pośrednika, a to oznacza, że nadal wygrywają kompetencje.      

I tutaj na przeszkodzie staje pandemia oraz związane z nią rygory sanitarne i ludzkie obawy. O ile bowiem w zakresie obsługi klientów z pomocą brokerom przyszły rozwiązania technologiczne (Be digital), o tyle  strach przed transmisją wirusa wywiera negatywny wpływ na możliwości bezpośrednich spotkań. Jest ich decydowanie mniej niż w okresie przed pandemią.

Oczywiście proces pozyskiwania nowych partnerów nie wyklucza możliwości zastosowania technologii cyfrowych na dalszych etapach „dopinania” kontraktu, jednak jego fundamentem pozostanie bezpośrednia interakcja. To wtedy poznajemy potrzeby i problemy klienta, budujemy jego zainteresowanie, a następnie przedstawiamy naszą spersonalizowaną ofertę. Technologie cyfrowe nie są w stanie w decydujący sposób wesprzeć tego etapu w procesie pozyskiwania klientów, z uwagi na specyfikę usług brokerskich.

Podsumowując, uważam że rok 2022 będzie rokiem dalszej ekspansji technologii cyfrowych w branży brokerskiej – nastąpi intensyfikacja trendu Be digital, tj. procesu cyfryzacji działalności brokerów w obszarze wsparcia obsługi. Znikome zastosowanie – wobec specyfiki zawodu – będzie miał trend Go digital, szczególnie w obszarze klientów i ubezpieczeń korporacyjnych.

Jednocześnie rok 2022 musi być poświęcony bardziej niż kiedykolwiek polityce bezpieczeństwa cyfrowego. Pamiętajmy, że poważne incydenty odbiją się negatywnie na zaufaniu do całej branży.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 07/2022 (1183)

Piotr Mikuszewski

Piotr Mikuszewski

dyrektor biura analiz i projektów ubezpieczeniowych
specjalista ds. zamówień publicznych

lider projektu, który doprowadził do uzyskania przez Inter-Broker sp. z o.o. godła promocyjnego „Teraz Polska” w 2021 roku

POWRÓT