Kluczowe wyzwania, związane z cyberbezpieczeństwem oraz odpowiedzialność kierownictwa firm w tym obszarze były tematem konferencji, w której 28 listopada br. w siedzibie Generali Polska w Warszawie uczestniczyli brokerzy, współpracujący z ubezpieczycielem.
Trudności z przekonaniem firm do ubezpieczeń od cyberzagrożeń wynikają z dwóch głównych przyczyn. Pierwszą z nich jest brak pełnego zrozumienia tematyki cybezbezpieczeństwa w organizacjach, który często przejawia się w bagatelizowaniu zagrożeń. Wiele firm uważa, że nie są one atrakcyjnym celem dla zaawansowanych ataków typu ATP, zapominając, że głównym motywem działania cyberprzestępców są pieniądze. Drugim istotnym problemem jest niewystarczające przygotowanie organizacji na potencjalne zagrożenia. Nawet jeśli świadomość zagrożeń istnieje, firmy często nie są dostatecznie zabezpieczone, przez co wdrożenie ubezpieczeń w tym zakresie jest trudne.
– Chcemy zwrócić uwagę, że obszar cyberbezpieczeństwa to również odpowiedzialność kierownictwa firmy. Uważamy, że większe zainteresowanie zarządzających tą tematyką może zwiększyć skłonność firm do zawierania ubezpieczeń od cyberzagrożeń – mówi Marcin Gajkowski, Dyrektor Działu Ubezpieczeń Odpowiedzialności Cywilnej, Generali Polska.
Nowoczesna strategia biznesowa
Integracja skutecznej polityki cyberbezpieczeństwa z celami biznesowymi chroni zasoby firmy oraz przyczynia się do innowacji i wzrostu.
– Przedsiębiorstwa, które wdrażają silne programy bezpieczeństwa, zdobywają przewagę konkurencyjną, budują zaufanie klientów i interesariuszy. Rola zarządu w zakresie cyberbezpieczeństwa jest kluczowa. Decyzje związane z ochroną danych nie mogą być wyłącznie obowiązkiem działu IT. Regularne raportowanie ryzyk oraz włączanie działań związanych z bezpieczeństwem w strategie zarządu podnosi świadomość w organizacji, integrując podejście do ochrony danych w codzienne operacje. Nie możemy również zapominać o kulturze bezpieczeństwa. Pracownicy są często najsłabszym ogniwem w łańcuchu zabezpieczeń, dlatego ich edukacja jest niezwykle ważna. Regularne szkolenia oraz ćwiczenia, takie jak testy phishingowe, zwiększają ich czujność i świadomość zagrożeń – wyjaśnia Arkadiusz Terlikowski, Dyrektor Zarządzający ds. IT, Generali Polska
Firmy powinny opracować jasne dokumenty dotyczące ochrony danych, które precyzyjnie określają, jakie działania są akceptowalne. Dzięki temu pracownicy lepiej rozumieją swoje obowiązki w zakresie ochrony danych. Przykłady takich polityk obejmują zasady tworzenia haseł, korzystania z urządzeń osobistych (BYOD) czy plany reakcji na incydenty. Kolejnym istotnym krokiem jest regularne monitorowanie i ocena wdrożonych rozwiązań. Przeglądy polityk bezpieczeństwa, audyty i testy penetracyjne pozwalają na ocenę skuteczności ochrony oraz dostosowywanie strategii do nowych zagrożeń. Inwestycje w cyberbezpieczeństwo są nieodzownym elementem strategii ochrony danych. Regularne nakłady na systemy bezpieczeństwa pozwalają uniknąć niespodziewanych kosztów i utrzymać ochronę danych na odpowiednim poziomie.
Mechanizmy współczesnych cyberzagrożeń
– W obliczu rosnącego zagrożenia cyberprzestępczością, kluczowe jest zrozumienie, że atakujący kierują się możliwościami osiągnięcia zysku, wykorzystując słabo zabezpieczone systemy – zarówno biznesowe, jak i osób prywatnych. Nie możemy oddzielać tych dwóch sfer, ponieważ zaniedbania w jednej mogą prowadzić do poważnych konsekwencji w drugiej. Dlatego firmy muszą inwestować w bezpieczeństwo systemów, a osoby prywatne – w ochronę swoich danych i świadome zarządzanie swoją prywatnością – opowiada Jakub Bojanowski, autor książki „Zdążyć przed hakerem. Jak przygotować firmę na cyberatak”, jeden z prelegentów konferencji zorganizowanej przez Generali Polska.
Współczesne cyberprzestępstwa, takie jak ransomware, phishing czy wycieki danych, stanowią rosnące zagrożenie dla firm na całym świecie. Ataki ransomware nie tylko paraliżują działanie przedsiębiorstw poprzez szyfrowanie danych, ale również coraz częściej wymuszają okupy przekraczające milion dolarów. Równie poważnym problemem są oszustwa e-mailowe, takie jak Business Email Compromise, które według FBI generują straty sięgające 13 miliardów dolarów rocznie. Wycieki danych osobowych, nawet jeśli nie zawsze mają bezpośrednią wartość, są często wykorzystywane do szantażu lub dalszych ataków, podkreślając potrzebę wdrażania skutecznych strategii ochrony przed cyberzagrożeniami .
Natomiast Piotr Welenc, ekspert z firmy BW Advisory, podzielił się podczas konferencji doświadczeniami w zakresie ITGRC oraz przybliżył tematykę roli Security Operations Center i nowych regulacji, w tym DORA i NIS. Michał Balwiński oraz Marta Prokopiuk – liderzy praktyki ubezpieczeń D&O oraz Cyber w Generali Polska w panelu dyskusyjnym, prowadzonym przez Marcina Gajkowskiego przybliżyli aspekty związane z tym, jak ubezpieczenia cyber powinny być postrzegane przez organizacje i ich zarządy.
– Wierzymy, że konferencja dostarczy brokerom argumentów, które pomogą im skuteczniej przekonywać klientów do podejmowania działań w zakresie cyberbezpieczeństwa. Uważamy, że firmy, które nie są jeszcze gotowe na cyberzagrożenia, powinny w pierwszej kolejności skupić się na budowaniu swojej gotowości. Dlatego chcemy umożliwić uczestnikom naszego spotkania, czerpanie wiedzy merytorycznej od ekspertów zajmujących się obszarem cybersecurity. Natomiast firmy, które osiągnęły już odpowiedni poziom przygotowania, mogą bardziej świadomie rozważać potrzebę ubezpieczenia, ponieważ całkowite wyeliminowanie ryzyka i uniknięcie cyberincydentów jest niemożliwe – podkreśla Marcin Gajkowski.
Organizator konferencji, Generali Polska, ma w swojej ofercie CyberRED – kompleksowe ubezpieczenie, które jest odpowiedzią na rosnące zagrożenia cybernetyczne. Program zapewnia firmom ochronę przed konsekwencjami cyberataków, zawierając m.in. złagodzenie skutków ataku, pokrycie kosztów przestoju spowodowanego incydentami, wsparcie ekspertów cybersecurity, a także pomoc prawną i finansową w przypadku naruszenia przepisów o ochronie danych osobowych.