Aż 90 proc. firm zatrudniających powyżej 100 pracowników korzystało z cyfrowego ubezpieczenia w 2023 roku. Opracowany przez firmę Sophos raport wskazuje, że najczęstszym powodem zakupu takiej usługi jest ogólna świadomość wpływu skutków cyberataków na działalność gospodarczą. Zdarza się jednak, że polisa nie pokrywa wszystkich kosztów usunięcia szkód po incydencie naruszenia bezpieczeństwa. W 2023 roku firmy ubezpieczeniowe wypłacały średnio 63 proc. wysokości roszczenia.
Kolejny rok z rzędu odsetek firm posiadających polisę na wypadek cyberataku pozostaje na poziomie minimum 90 proc. Najwyższy jest on w branży energetycznej, naftowej, gazowej i użyteczności publicznej (97 proc.). Na drugim biegunie znalazł się sektor rządowy oraz firmy z branży IT, technologicznej i telekomunikacyjnej, w których cyberubezpieczenie posiadało w 2023 roku 81 proc. podmiotów.
Na skróty:
Chęć ochrony wymusza zmiany
Raport Sophos wykazał, że firmy rozumieją istotę posiadania cyfrowego ubezpieczenia i zwiększają poziom ochrony danych, aby zapewnić sobie możliwość korzystania z niego. Dzięki temu w 2023 roku 76 proc. podmiotów zakwalifikowało się do ubezpieczenia, a 67 proc. uzyskało lepsze ceny polisy. Z kolei 30 proc. przedsiębiorstw w tej sposób zapewniło sobie korzystniejsze warunki umowy.
– Dane pokazują, że to właśnie chęć uzyskania cyberubezpieczenia zmusza firmy do wdrażania podstawowych środków bezpieczeństwa, co ma szerszy, bardziej pozytywny wpływ na biznes. Jednakże, chociaż posiadanie cyfrowej polisy jest korzystne dla firm, stanowi ono tylko jeden z elementów strategii przeciwdziałania skutkom cyberataków. Przedsiębiorstwa nadal muszą pracować nad wzmacnianiem poziomu swojej ochrony. Incydent naruszenia bezpieczeństwa może mieć poważny wpływ na firmę zarówno z operacyjnego, jak i reputacyjnego punktu widzenia, a samo posiadanie cyfrowego ubezpieczenia tego nie zmienia – podkreśla Chester Wisniewski, dyrektor ds. technologii w firmie Sophos.
Spośród 5 tys. ankietowanych menedżerów odpowiedzialnych za sprawy IT i cyberbezpieczeństwa, 99 proc. firm, które poprawiły poziom swoich zabezpieczeń w celu otrzymania ubezpieczenia, stwierdziło, że dzięki inwestycjom uzyskały również szersze korzyści w postaci lepszej ochrony i mniejszej liczby alertów.
Rosną koszty cyberataków
Badanie ujawniło również, że zazwyczaj całkowity rachunek odzwierciedlający koszty odzyskiwania danych po cyberatakach przewyższa wartość wykupionej polisy. Tylko jeden procent respondentów, których firmy zgłosiły roszczenie, odzyskał od ubezpieczyciela całość kosztów związanych z usuwaniem skutków incydentu. W ciągu ostatniego roku wzrosły one o 50 proc., osiągając średnio 2,73 miliona dolarów.
– Dane Sophos wielokrotnie pokazywały, że znaczna część cyfrowych incydentów, z którymi borykają się firmy, wynika z braku wdrożenia podstawowych praktyk, takich jak bieżące łatanie luk w zabezpieczeniach. Najnowszy raport Sophos wykazał, że główną przyczyną ataków były skradzione dane uwierzytelniające. Mimo to prawie połowa firm nie korzysta z uwierzytelniania wieloskładnikowego – wskazuje Chester Wisniewski.
Polisa od…?
Jak wynika z badania, sam fakt posiadania przez firmę ubezpieczenia na wypadek cyberataku nie zawsze oznacza, że pracownicy wiedzą, jakie zapisy są zawarte w dokumencie. Przedstawiciele 40 proc. firm, które posiadają taką polisę, uważają, że obejmuje ona płatność okupu, ale nie jest tego pewnych. Z kolei 41 proc. uważa, że ubezpieczenie obejmuje utratę dochodów w wyniku cyberataku, ale też nie jest tego pewnych.
– Wyniki te są powodem do niepokoju z kilku powodów. Po pierwsze, firmy ryzykują, że nie uzyskają ochrony, której potrzebują. Istotne jest, aby wszystkie strony w przedsiębiorstwie miały jasność co do tego, jakie warunki mają znaleźć się w polisie, a potrzeby te powinny stanowić podstawę do zakupu ubezpieczenia. Po drugie, firmy ryzykują, że nie otrzymają wsparcia, którego oczekują w przypadku roszczenia. Radzenie sobie z poważnym cyfrowym incydentem to stresujący czas dla wszystkich zaangażowanych stron. Odkrycie w momencie ataku, że zakres oczekiwanego wsparcia nie został w całości uwzględniony w polisie ubezpieczeniowej, dodatkowo komplikuje, opóźnia i zwiększa koszty działań naprawczych – tłumaczy Chester Wisniewski.
Posiadanie cyfrowego ubezpieczenia staje się dziś normą w wielu branżach. Firmy, które inwestują w zabezpieczenia, nie tylko poprawiają swoją pozycję ubezpieczeniową, ale również czerpią z tego korzyści operacyjne. Zwiększenie poziomu ochrony danych zmniejsza ryzyko ich naruszenia w przypadku cyberataku, a to przekłada się na większą płynność biznesową i brak zakłócania działalności firmy. Niemniej, aby zapewnić pełną ochronę, przedsiębiorstwa muszą dokładnie dopasować warunki polisy do specyficznych potrzeb i potencjalnych zagrożeń, z jakimi mogą się spotkać.
O badaniu
Raport „Cyber Insurance and Cyber Defenses 2024: Lessons from IT and Cybersecurity Leaders” powstał na bazie wyników ankiety na grupie 5 tys. specjalistów IT z 14 krajów, którą przeprowadziła niezależna agencja badawcza na zlecenie firmy Sophos. Respondenci reprezentujący firmy różnej wielkości (od 100 do 5 tys. pracowników) pochodzili z Europy, obu Ameryk oraz Azji i wysp Pacyfiku. Przychody badanych firm wahały się od mniej niż 10 mln dolarów do ponad 5 mld dolarów. Ankieta została przeprowadzona w styczniu i lutym 2024 roku.
