ubezpieczenie RODO

Written by

Ubezpieczenie RODO

Bez kategorii| Views: 69

Wejście w życie RODO wymusiło wprowadzenie pewnych zmian w dotychczasowym sposobie prowadzenia biznesów. Niedostosowanie się może być finansowo bolesne w skutkach. Nic więc dziwnego, że wielu  przedsiębiorców zainteresowało się odpowiednimi ubezpieczeniami. Pozwalają one na ograniczenie szkód, w przypadku wystąpienia roszczeń odszkodowawczych związanych z utratą lub ujawnieniem danych i nie tylko. Czym jest takie ubezpieczenie i przed czym w praktyce chroni wyjaśnia prawnik, Michał Molęda.

 

Ubezpieczenie cyber to usługa umożliwiająca sfinansowanie przedsiębiorstwom kosztów związanych z ryzykiem wycieku lub utraty danych, naruszeniem prywatności ich klientów, kontrahentów lub pracowników, bądź innym incydentem informatycznym zagrażającym wiarygodności, dostępności i poufności ich systemów informatycznych.

Ryzyko cyber może być rozpatrywane z różnych perspektyw:

  • ujęcie infromatyczne – wyciek lub utrata danych, nieuprawniony dostęp, incydent informatyczny, cyber-wymuszenie itp.
  • ujęcie techniczne – automatyka przemysłowa, systemy sterowania, logistyka – ryzyko przestoju, szkód rzeczowych i osobowych

 

Ujęcie informatyczne ryzyka cyber

Informatyka to dziedzina nauki zajmująca się przetwarzaniem informacji z użyciem komputerów. Rozważając istotę ryzyka cyber z informatycznej perspektywy dostrzeżemy głównie ryzyka związane z przetwarzaniem danych, ich bezprawnym ujawnieniem, kradzieżą lub utratą, nieuprawnionym dostępem do systemu, cyber-wymuszeniem itd. Źródłem tych zagrożeń mogą być zarówno osoby trzecie (np. hakerzy), jak i pracownicy organizacji. Szkody cyber mogą być skutkiem celowych, umyślnych działań, jak i wynikiem niedbalstwa lub niedostatecznego zabezpieczenia danych. W sytuacji, gdy takie ryzyko się materializuje, negatywnymi konsekwencjami dla organizacji są przede wszystkim odpowiedzialność cywilna czy odpowiedzialność administracyjna a nawet karna. Może również dojść do konieczności poniesienia kosztów związanych z identyfikacją i zarządzeniem incydentem informatycznym oraz ewentualnych kosztów odtworzenia danych.

 

Ujęcie techniczne

W ujęciu technicznym ryzyko cyber wiąże się głównie z ryzykiem braku dostępu do systemu informatycznego organizacji. Może wówczas dojść do przestoju (co generuje koszty), a także do awarii systemu sterowania, potencjalnie powodując szkody rzeczowe lub osobowe. Tak rozumiane ryzyko cyber szczególnie dotyczy branż, gdzie system informatyczny jest niezbędny do utrzymania ciągłości produkcji lub świadczenia usług.

Omawiane w tym artykule warunki ubezpieczenia cyber odpowiadają przede wszystkim informatycznemu, a nie technicznemu ujęciu tego ryzyka. Uwzględniają zakresy obejmujące ochroną ryzyka odpowiedzialności za szkody osób trzecich oraz ryzyka poniesienia szkód własnych.

 

OC za naruszenie prywatności – zakres A

ubezpieczenie RODOW kontekście ryzyk związanych z wyciekiem danych, ubezpieczenie cyber zgodnie z dostępnymi na rynku rozwiązaniami pozwala na objęcie ochroną ubezpieczeniową tych elementów ryzyka, które dotyczą odpowiedzialności za ujawnienie lub utratę danych osobowych lub w inny sposób naruszają prywatności osób fizycznych. Ochrona dotyczyć powinna odpowiedzialności cywilnoprawnej polegającej nie tylko na ewentualnej konieczności zapłacenia zadośćuczynienia lub odszkodowania osobom, których dane zostały bezprawnie ujawnione lub utracone. Musi ona obejmować także koszty rozmaitych działań do których może być zobowiązana organizacja w celu minimalizowania negatywnych konsekwencji wycieku lub utraty danych. Ponadto obejmuje działania, których wykonanie nakazują odpowiednie przepisy dotyczące ochrony danych osobowych – jak m.in.:

  • obowiązek pisemnego poinformowania każdej osoby której dane zostały bezprawnie ujawnione, koszty działań podjętych w celu odtworzenia danych przez organizację
  • koszty usunięcia danych z miejsc w sieci w których znalazły się bez zgody ich dysponenta,
  • koszty infolinii oddanej do dyspozycji poszkodowanym aby mogli uzyskać indywidualne informacje o wycieku ich danych

Wszystkie te cywilnoprawne konsekwencje naruszenia danych obejmowane są ochroną ubezpieczeniową w oparciu o klauzulę A w ubezpieczeniu cyber.

 

Kary administracyjne za naruszenie prywatności – zakres B

Oprócz odpowiedzialności cywilnej organizacja musi czasem liczyć się z rozmaitymi postępowaniami regulacyjnymi, w tym w szczególności prowadzonymi przez organy powołane do ochrony danych osobowych. Nie można wykluczyć także innych postępowań, nawet karnych. Jak wiadomo kodeks karny przewiduje przestępstwa przeciwko bezpieczeństwu informacji, a doprowadzenie do wycieku danych może być także kwalifikowane jako przestępstwo. Konsekwencją postępowań administracyjnych może być nałożenie kar administracyjnych na podstawie odpowiednich przepisów.  Wspomniane powyżej przepisy RODO dopuszczają nakładanie wielomilionowych kar za naruszenie tego Rozporządzenia. Koszty pomocy prawnej w tych postępowaniach oraz ubezpieczalne kary administracyjne są obejmowane ochroną ubezpieczeniową na podstawie klauzuli B ubezpieczenia cyber.

 

Inne konsekwencje wycieku danych – OC zawodowe

Niektóre aspekty ryzyka bezprawnego ujawnienia danych takie jak m.in. szkody wizerunkowe, utrata zaufania klientów, niższe przychody spowodowane utratą klientów, negatywne konsekwencje ujawnienia tajemnic handlowych w związku z wyciekiem danych, nie są obejmowane ochroną w ubezpieczeniu cyber.

Warto zauważyć, że obowiązek zachowania tajemnicy często ciąży na różnych przedsiębiorcach, jak np. obowiązek zachowania tajemnicy bankowej, ubezpieczeniowej, adwokackiej itd. Ryzyko odpowiedzialności cywilnej z powodu naruszenia tego obowiązku często jest obejmowane ochroną ubezpieczeniową na podstawie polisy OC zawodowej.

 

Koszty obsługi incydentu informatycznego – zakres C

ubezpieczenie RODOSzerszym pojęciem niż sam wyciek danych jest incydent informatyczny. Może nim być np. atak hakerski lub pozyskanie informacji o nieuprawnionym dostępie do systemu informatycznego przedsiębiorcy. Polisa cyber wskazuje na kilka typowych w takich wypadkach usług zewnętrznych, z których z reguły konieczne jest skorzystanie, aby zarządzić i poradzić sobie z incydentem. Ochrona ubezpieczeniowa dotyczy pokrycia przez ubezpieczyciela ich kosztów, a często także zapewnienia dostępu do tych usług na życzenie ubezpieczonego.

W pierwszej kolejności są to usługi tzw. informatyki śledczej. Niewiele organizacji może sobie pozwolić na ponoszenie kosztu zatrudnienia na stałe eksperta od bezpieczeństwa teleinformatycznego. Nawet jeżeli firma dysponuje zespołem IT, są to z reguły administratorzy, którzy z uwagi na zakres obowiązków mogą nie posiadać niezbędnej wiedzy i umiejętności do opanowania incydentu. Należy się także liczyć z tym, że incydent może być konsekwencją błędów, zaniedbań lub wręcz umyślnego działania osób z działu IT. Wówczas zewnętrzny partner jest niezbędny, aby właściwie zarządzić incydentem.

Obsługa incydentów jest złożonym procesem który składa się̨ z kilku faz:

  1. Identyfikację ataku (incydentu)
  2. Jego szybkie opanowanie
  3. Analizę jego przyczyn i skutków
  4. Przywrócenie prawidłowego funkcjonowania systemu
  5. Wyciągnięcie wniosków

W przypadku ataków teleinformatycznych nie jest możliwe z góry oszacowanie pracy potrzebnej do skutecznej obsługi incydentu. Każdy incydent musi być wyceniany oddzielne, gdyż rozmiar i typ ataku wpływa na zaangażowanie ekspertów.

Usługa ta z reguły obejmować będzie:

  • Identyfikację skompromitowanych stacji roboczych, serwerów i urządzeń́ sieciowych oraz analizę śladów włamań
  • Określenie metody zabezpieczenia danych oraz samo ich zabezpieczanie
  • Analizę zabezpieczonych danych (pamięci RAM oraz dysków twardych) w celu identyfikacji źródeł, przyczyn zdarzeń oraz ich skutków (tj. określenia do czego intruz miał dostęp), a także metody ataku
  • Odzyskanie plików konfiguracyjnych i innych istotnych informacji na temat intruza
  • Odtworzenie historii działań wykonanych przez atakującego i ofiarę̨ ataku (np. sposób zainfekowania stacji roboczej czy urządzenia mobilnego)
  • Analizę dzienników zdarzeń z innych systemów, które mogły zarejestrować aktywność intruza

Dodać należy, że obsługa incydentu informatycznego to nie tylko praca informatyków śledczych. Należy liczyć się także z koniecznością pokrycia kosztów pomocy prawnej i kosztów ewentualnych innych specjalistycznych usług np. w zakresie public relations, których poniesienie może być konieczne.

 

OC za działanie systemu – zakres D

Polisa cyber powinna także zapewnić ochronę ubezpieczeniową na wypadek odpowiedzialności cywilnej ubezpieczonego z powodu szkody wyrządzonej osobom trzecim, przez niewłaściwe działanie jego systemu informatycznego.

Na pierwszy rzut oka ochrona w tym zakresie wydaje się pokrywać z zakresem A polis cyber, która udziela ochrony ubezpieczeniowej na wypadek odpowiedzialności cywilnej za dopuszczenie do wycieku danych. Jednak postać szkód, za które ubezpieczony może ponosić odpowiedzialność cywilną za szkody wyrządzone przez jego system, może dalece wykraczać poza wyciek danych. Dobrym przykładem jest dopuszczenie do zainfekowania złośliwym oprogramowaniem komputerów (stacji roboczych) klienta, który ze strony internetowej udostępnianej przez ubezpieczonego ściągał pliki (jak np. atak na polskie banki poprzez ściągania przez pracowników banków plików ze strony internetowej Komisji Nadzoru Finansowego).

Konsekwencją takiego zdarzenia może, (ale nie musi) być tylko wyciek danych. Takie zdarzenie może spowodować także inne straty. Mogą to być przykładowo omawiane powyżej koszty pomocy informatyków śledczych, tyle że traktowane nie jako szkoda własna, ale jako szkoda osoby trzeciej. Można za nią przypisać odpowiedzialność na zasadach ogólnych właścicielowi lub operatorowi systemu informatycznego, którego wadliwość lub niewystarczające zabezpieczenie dopuściły do infekcji. Scenariuszy szkodowych może być jednak wiele – zależnie od tego do jakich skutków doprowadzi niepożądane złośliwe oprogramowanie w systemie osoby trzeciej. Może to być przykładowo zaszyfrowanie i w konsekwencji utrata danych, utrata wiarygodności danych i konieczność reinstalacji całego systemu itp.

 

Odpowiedzialność multimedialna – zakres E

ubezpieczenie RODOKompleksowe ujęcie zakresu ochrony w polisach cyber wymaga uwzględniania także ochrony na wypadek odpowiedzialności cywilnej z tytułu publikacji za pomocą środków elektronicznych, a więc przede wszystkim na stronach internetowych, w mediach społecznościowych lub intranecie.

Jak wiadomo, dla niektórych organizacji, które przykładowo zawodowo zajmują się wydawnictwem lub publikacją ryzyko to stanowi podstawowe ryzyko zawodowe. Dlatego wówczas ubezpieczenie powinno być zapewnione na podstawie odrębnej umowy ubezpieczenia OC zawodowego, a nie ubezpieczane „przy okazji” w polisie cyber. Jednak dla większości organizacji nie jest to podstawowe ryzyko zawodowe, a bardzo często nie jest też objęte ochroną ubezpieczeniową na podstawie innych umów ubezpieczenia OC. Z tego powodu takie podmioty mają możliwość objęcia ochroną ubezpieczeniową tego ryzyka w ramach zakresu E – odpowiedzialność multimedialna.

 

Koszty cyber-wymuszenia – zakres F

Cyber-wymuszenie to wiarygodna groźba innej osoby wprowadzenia złośliwego oprogramowania lub zakłócenia pracy systemu informatycznego organizacji, bądź rozpowszechnienia wrażliwych danych organizacji lub danych wrażliwych osób, za których bezpieczeństwo organizacja ponosi odpowiedzialność.

Konieczność poniesienia takiego kosztu stanowi szkodę własną organizacji. Szkoda ta nie jest ujęta w żadnym innym z omawianych powyżej zakresów polisy cyber i może być objęta ochroną na podstawie klauzuli F. Ubezpieczyciel zastrzega zawsze, że wypłata świadczenia z tego tytułu jest możliwa tylko za jego uprzednią zgodą. Prowadzi to często do zarzutów, że ochrona ubezpieczeniowa na podstawie tak sformułowanego postanowienia warunków jest iluzoryczna, gdyż ubezpieczyciel zawsze może kwestionować konieczność zapłaty okupu przestępcy lub wskazywać, że groźba nie jest wiarygodna. Pamiętać jednak należy, że ubezpieczyciel ponosi wspólnie z ubezpieczonym ryzyko konsekwencji zrealizowania groźby, co może wiązać się z koniecznością uruchomienia innych zakresów polisy cyber. Z tego powodu ubezpieczyciel powinien kalkulować sens ekonomiczny udzielenia zgody na pokrycie kosztu okupu. W praktyce w przypadku cyber-wymuszenia konieczne jest zatrudnienie ekspertów z zakresu informatyki śledczej, których koszt jest objęty ochroną na podstawie zakresu C (koszty obsługi incydentu informatycznego). Po rozeznaniu groźby mogą oni wyrazić opinię wraz z uzasadnieniem, którą ubezpieczyciel bierze pod uwagę podejmując decyzję o zgodzie lub braku zgody na zwrot ubezpieczonemu poniesionych kosztów cyber-wymuszenia.

 

Koszty odtworzenia danych i koszty przestoju – zakres G

Koszty odtworzenia danych i koszty przestoju mogą być przedmiotem odrębnego ubezpieczenia majątkowego albo ubezpieczenia cyber. Ochrona ubezpieczeniowa udzielana na podstawie tego zakresu obejmować powinna koszty odtworzenia danych oraz utracony zysk w związku z przestojem wywołanym incydentem informatycznym. Zakres ten może być interesujący dla podmiotów, które nie wykupują ubezpieczenia utraty zysku, a jednocześnie charakter ich działalności powoduje, że awaria systemu może długotrwale ich sparaliżować.

 

Michał Molęda, autor jest prawnikiem. Omówiony w artykule zakres ochrony odnosi się do ubezpieczenia Leadenhall Cyber plasowanego na rynku Lloyd’s.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Ubezpieczenie RODO

czas na przeczytanie: 8 min