Single Blog

Cyberpolisa, czyli ubezpieczenie od ryzyk cybernetycznych, coraz częściej pojawia się w firmach jako element ochrony przed skutkami cyberataków. Dla wielu właścicieli firm brzmi to rozsądnie: „jeśli dojdzie do ataku ransomware, ubezpieczyciel pokryje koszty”.

Problem polega na tym, że cyberpolisa nie jest magiczną tarczą. To umowa, która zwykle zawiera warunki, ograniczenia, obowiązki po stronie firmy i wyłączenia odpowiedzialności. Jeżeli firma nie spełnia wymagań zapisanych w polisie albo nie potrafi tego udowodnić po incydencie, wypłata odszkodowania może zostać ograniczona albo odmówiona.

W praktyce oznacza to jedno: sama polisa cyber nie zastępuje realnego cyberbezpieczeństwa.

Czym jest cyberpolisa?

Cyberpolisa to ubezpieczenie, które może obejmować wybrane skutki incydentów cybernetycznych, takie jak:

• atak ransomware,
• przestój działalności po cyberataku,
• koszty odzyskiwania danych,
• koszty obsługi incydentu,
• odpowiedzialność cywilną wobec klientów lub kontrahentów,
• koszty prawne i komunikacyjne,
• wsparcie specjalistów od cyberbezpieczeństwa, prawa lub PR.

Zakres ochrony zależy jednak od konkretnej umowy, OWU, sumy ubezpieczenia, podlimitów oraz spełnienia obowiązków przez ubezpieczonego.

I tu zaczyna się problem.

Właściciel firmy często widzi tylko kwotę ubezpieczenia. Na przykład: „mamy polisę na 500 000 zł”. Ale nie sprawdza, czy firma faktycznie spełnia warunki techniczne i organizacyjne wymagane przez ubezpieczyciela.

Dlaczego cyberpolisa może nie zadziałać po ransomware?

Atak ransomware polega na zaszyfrowaniu danych lub zablokowaniu dostępu do systemów firmy. Przestępcy żądają okupu za odszyfrowanie danych albo grożą ich publikacją.

Po takim incydencie firma zgłasza szkodę do ubezpieczyciela. Ubezpieczyciel nie wypłaca jednak pieniędzy automatycznie. Najpierw bada, czy:

• incydent mieści się w zakresie ochrony,
• firma podała prawdziwe informacje przy zawieraniu polisy,
• firma spełniała wymagane zabezpieczenia,
• szkoda została zgłoszona w wymaganym terminie,
• firma współpracowała przy likwidacji szkody,
• koszty zostały poniesione zgodnie z procedurą,
• nie wystąpiło wyłączenie odpowiedzialności.

Brutalna prawda jest taka: po ataku ransomware ubezpieczyciel będzie patrzył nie tylko na sam atak, ale również na to, jak firma była przygotowana przed atakiem.

Najczęstsze powody odmowy wypłaty lub ograniczenia odszkodowania

1. Brak MFA, czyli uwierzytelniania wieloskładnikowego

MFA, znane też jako 2FA, to dodatkowe potwierdzenie logowania, np. przez aplikację mobilną, klucz sprzętowy albo kod.

Jeżeli firma deklarowała, że ma MFA, ale w praktyce nie było ono włączone dla poczty, VPN, Microsoft 365, kont administratorów lub dostępu zdalnego, ubezpieczyciel może potraktować to jako niespełnienie warunków ochrony.

Największy błąd właścicieli firm? Myślą, że MFA „jest włączone”, bo kilka osób z niego korzysta. To za mało. Trzeba wiedzieć:

• czy MFA obejmuje wszystkich użytkowników,
• czy obejmuje konta administracyjne,
• czy obejmuje dostęp zdalny,
• czy obejmuje pocztę firmową,
• czy da się to udokumentować.

Jeżeli nie da się tego pokazać na dowodach, dla ubezpieczyciela może to nie istnieć.

2. Brak aktualnych i testowanych kopii zapasowych

Backup to nie folder na NAS-ie. Backup to proces.

Firma musi wiedzieć:

• co jest backupowane,
• jak często,
• gdzie są przechowywane kopie,
• czy kopie są odseparowane od głównego środowiska,
• czy backup jest odporny na zaszyfrowanie,
• kiedy ostatnio wykonano test odtworzenia danych,
• ile realnie potrwa przywrócenie pracy firmy.

Jeżeli ransomware zaszyfruje serwer i jednocześnie kopie zapasowe, cyberpolisa nie rozwiąże problemu operacyjnego. Firma nadal stoi.

Dlatego backup powinien być projektowany pod scenariusz awarii, błędu ludzkiego i ransomware. Warto rozważyć zasadę 3-2-1-1-0, czyli kilka kopii, różne nośniki, kopia poza główną lokalizacją, kopia offline lub niemodyfikowalna oraz brak błędów w testach.

Więcej o tym obszarze: Backup danych dla firm.

3. Nieaktualne systemy i brak zarządzania podatnościami

Jeżeli firma działa na starych, niewspieranych systemach, nie instaluje aktualizacji bezpieczeństwa albo nie kontroluje podatności, ubezpieczyciel może uznać, że ryzyko było znane i zaniedbane.

Typowe problemy:

• stare serwery Windows bez aktualizacji,
• przestarzałe urządzenia sieciowe,
• nieaktualne firewalle,
• stare wersje systemów ERP,
• publicznie dostępne usługi RDP,
• brak aktualizacji firmware,
• brak ewidencji sprzętu i oprogramowania.

To nie jest „problem informatyka”. To jest ryzyko biznesowe.

Jeżeli firma przez lata odkładała modernizację, a potem została zaatakowana przez znaną podatność, ubezpieczyciel może bardzo dokładnie sprawdzać, czy organizacja dochowała należytej staranności.

4. Fałszywe lub nieprecyzyjne informacje we wniosku ubezpieczeniowym

Przy zakupie cyberpolisy firma zwykle odpowiada na pytania dotyczące zabezpieczeń. Problem zaczyna się wtedy, gdy ktoś zaznacza „tak”, mimo że nie ma pewności.

Przykładowe pytania:

• Czy firma stosuje MFA?
• Czy backup jest regularnie testowany?
• Czy firma posiada procedurę reagowania na incydenty?
• Czy dostęp administratorów jest ograniczony?
• Czy systemy są regularnie aktualizowane?
• Czy firma prowadzi szkolenia pracowników?
• Czy działa monitoring bezpieczeństwa?

Jeżeli odpowiedzi były zbyt optymistyczne, a po incydencie okaże się, że rzeczywistość wyglądała inaczej, firma sama dostarcza ubezpieczycielowi argumentów do ograniczenia odpowiedzialności.

Dlatego przed zakupem cyberpolisy warto zrobić techniczną weryfikację środowiska IT. Nie po to, żeby „ładnie wyglądać w ankiecie”, tylko po to, żeby nie podpisać nieprawdy.

Pomóc może w tym doradztwo IT i audyt bezpieczeństwa.

5. Brak dokumentacji zabezpieczeń

W cyberbezpieczeństwie obowiązuje prosta zasada: jeśli nie masz dowodu, będzie trudno wykazać, że coś było zrobione.

Po ataku ransomware firma powinna być w stanie pokazać:

• politykę backupu,
• raporty z backupów,
• wyniki testów odtworzeniowych,
• listę użytkowników i uprawnień,
• konfigurację MFA,
• historię aktualizacji,
• potwierdzenia szkoleń,
• procedurę reagowania na incydenty,
• rejestr dostępu administratorów,
• dokumentację infrastruktury,
• logi z systemów bezpieczeństwa.

Bez dokumentacji firma jest w słabej pozycji. Nawet jeśli technicznie „coś było”, po incydencie trzeba to udowodnić.

6. Zbyt późne zgłoszenie incydentu

Polisa zwykle określa, jak i kiedy należy zgłosić szkodę. Często wymagane jest niezwłoczne powiadomienie ubezpieczyciela oraz współpraca w procesie likwidacji szkody.

Błąd firm polega na tym, że najpierw próbują „same ogarnąć temat”, płacą komuś za działania ratunkowe, negocjują, przywracają systemy, usuwają ślady, a dopiero później informują ubezpieczyciela.

To może być problem, bo ubezpieczyciel może oczekiwać:

• zgłoszenia incydentu określoną ścieżką,
• zachowania materiału dowodowego,
• konsultacji przed poniesieniem określonych kosztów,
• zgody na konkretne działania,
• współpracy z wyznaczonymi specjalistami.

Dlatego firma powinna mieć procedurę: kto decyduje, kto zgłasza, do kogo dzwonimy, czego nie wolno robić, jakie dowody zabezpieczamy.

7. Samodzielne uznanie odpowiedzialności lub zawarcie ugody

W niektórych polisach problemem może być uznanie odpowiedzialności, zawarcie ugody albo zobowiązanie się do pokrycia szkody bez wcześniejszej zgody ubezpieczyciela.

Przykład: po incydencie firma szybko pisze do klienta, że „bierzemy pełną odpowiedzialność i pokryjemy wszystkie straty”. Biznesowo może to wyglądać dobrze, ale formalnie może utrudnić późniejszą likwidację szkody.

To nie znaczy, że firma ma milczeć. Oznacza to, że komunikacja po incydencie powinna być kontrolowana przez osoby odpowiedzialne za IT, zarząd, prawnika i ubezpieczyciela.

8. Brak procedury reagowania na incydent

Procedura reagowania na incydent nie jest dokumentem „do szuflady”. To instrukcja działania w sytuacji, gdy firma ma chaos, stres, presję czasu i ryzyko utraty danych.

Dobra procedura powinna odpowiadać na pytania:

• kto podejmuje decyzje,
• kto kontaktuje się z ubezpieczycielem,
• kto kontaktuje się z prawnikiem,
• kto zabezpiecza dowody,
• kto komunikuje się z klientami,
• kto decyduje o odłączeniu systemów,
• kto uruchamia plan awaryjny,
• gdzie są kontakty do dostawców IT,
• jakie systemy przywracamy jako pierwsze.

Bez procedury firma działa impulsywnie. A działania impulsywne po ransomware często zwiększają straty.

9. Brak monitoringu i wykrywania zagrożeń

Cyberpolisa może pokryć część skutków incydentu, ale nie wykryje ataku na wczesnym etapie.

A ransomware rzadko zaczyna się od natychmiastowego szyfrowania danych. Często wcześniej dochodzi do:

• przejęcia konta,
• rozpoznania sieci,
• eskalacji uprawnień,
• wyłączenia zabezpieczeń,
• kradzieży danych,
• usunięcia kopii zapasowych,
• dopiero na końcu szyfrowania.

Jeżeli firma nie monitoruje infrastruktury, może zauważyć problem dopiero wtedy, gdy jest za późno.

W tym obszarze warto rozważyć monitoring infrastruktury IT oraz rozwiązania typu EDR, MDR i XDR.

10. Niejasny zakres odpowiedzialności między firmą, IT i ubezpieczycielem

W wielu firmach nie wiadomo, kto za co odpowiada.

Właściciel myśli, że informatyk „ogarnia bezpieczeństwo”. Informatyk myśli, że właściciel zaakceptował ryzyko. Księgowość myśli, że polisa wszystko pokryje. Ubezpieczyciel patrzy w OWU.

Efekt? Po ataku zaczyna się szukanie winnego.

Dlatego firma powinna mieć jasno określone:

• kto odpowiada za backup,
• kto odpowiada za aktualizacje,
• kto odpowiada za MFA,
• kto zarządza kontami administratorów,
• kto prowadzi dokumentację,
• kto sprawdza zgodność z wymaganiami polisy,
• kto kontaktuje się z ubezpieczycielem po incydencie.

Cyberbezpieczeństwo nie może działać na zasadzie „ktoś się tym zajmie”.

Cyberpolisa a ransomware: czego właściciel firmy nie powinien zakładać?

Najgorsze założenia to:

• „Mamy polisę, więc jesteśmy zabezpieczeni”.
• „Backup robi się automatycznie, więc jest dobrze”.
• „Informatyk na pewno ma wszystko pod kontrolą”.
• „Nasza firma jest za mała, żeby ktoś nas atakował”.
• „Ubezpieczyciel zapłaci, bo przecież od tego jest polisa”.
• „Jak coś się stanie, będziemy wtedy reagować”.

To są słabe założenia. I drogie.

Cyberpolisa może być ważnym elementem zarządzania ryzykiem, ale tylko wtedy, gdy firma ma podstawowy poziom bezpieczeństwa, dokumentację i procedury.

Co sprawdzić przed zakupem lub odnowieniem cyberpolisy?

Przed podpisaniem albo odnowieniem cyberpolisy warto wykonać prosty przegląd środowiska IT.

Lista kontrolna dla właściciela firmy

Sprawdź, czy Twoja firma ma:

• włączone MFA dla poczty, VPN, Microsoft 365 i kont administratorów,
• regularny backup danych,
• testy odtworzenia backupu,
• kopię zapasową odseparowaną od głównej infrastruktury,
• aktualne systemy operacyjne i aplikacje,
• kontrolę nad kontami administratorów,
• listę użytkowników i ich uprawnień,
• procedurę przyjęcia i odebrania dostępów pracownikowi,
• monitoring serwerów, sieci i usług,
• zabezpieczenie poczty przed phishingiem,
• EDR lub inne zaawansowane zabezpieczenie stacji roboczych i serwerów,
• procedurę reagowania na incydent,
• dokumentację infrastruktury,
• potwierdzenia szkoleń użytkowników,
• osobę odpowiedzialną za kontakt z ubezpieczycielem.

Jeżeli na większość punktów odpowiedź brzmi „nie wiem”, to cyberpolisa nie jest Twoim największym problemem. Największym problemem jest brak kontroli nad ryzykiem IT.

Cyberpolisa nie naprawi firmy po ataku

Ubezpieczenie może pomóc finansowo, ale nie zastąpi:

• działającego backupu,
• sprawnego odtworzenia systemów,
• zabezpieczonej poczty,
• kontroli dostępów,
• monitoringu,
• reakcji na incydent,
• dokumentacji,
• odpowiedzialnego zarządzania IT.

Po ataku ransomware liczą się godziny. Jeżeli firma nie ma procedur, nie wie, gdzie są kopie, nie ma kontaktów do dostawców, nie zna priorytetów systemów i nie wie, kto podejmuje decyzje, to nawet najlepsza polisa nie przywróci sprzedaży, produkcji ani obsługi klientów.

Jak przygotować firmę, żeby cyberpolisa miała sens?

Najlepsze podejście to nie kupować polisy „na ślepo”, ale przygotować firmę do spełnienia wymagań ubezpieczeniowych.

W praktyce warto wykonać:

1. Audyt bezpieczeństwa IT
   Sprawdzenie rzeczywistego stanu infrastruktury, backupu, dostępów, aktualizacji i zabezpieczeń.
2. Przegląd wymagań cyberpolisy
   Porównanie wymagań ubezpieczyciela z faktycznym stanem firmy.
3. Wdrożenie brakujących zabezpieczeń
   MFA, backup odporny na ransomware, EDR, monitoring, aktualizacje, segmentacja sieci.
4. Przygotowanie dokumentacji
   Procedury, raporty, rejestry, potwierdzenia konfiguracji i testów.
5. Test odtworzenia po awarii
   Sprawdzenie, czy firma realnie potrafi wrócić do pracy po zaszyfrowaniu danych.
6. Procedurę reagowania na incydent
   Jasny plan działania: kto, co, kiedy i w jakiej kolejności.
7. Regularny przegląd bezpieczeństwa
   Cyberbezpieczeństwo nie jest jednorazowym projektem. To proces.

Podsumowanie

Cyberpolisa to dobre narzędzie, ale nie może być jedyną strategią ochrony firmy przed ransomware.

Ubezpieczenie pomaga wtedy, gdy firma potrafi wykazać, że działała odpowiedzialnie: miała zabezpieczenia, procedury, backup, dokumentację i kontrolę nad infrastrukturą IT.

Jeżeli firma nie ma MFA, nie testuje backupów, działa na starych systemach, nie ma procedury reagowania na incydent i nie potrafi udowodnić swoich zabezpieczeń, to cyberpolisa może dawać tylko złudne poczucie bezpieczeństwa.

Najlepszy moment na sprawdzenie gotowości firmy jest przed atakiem, nie po nim.

Jeżeli chcesz sprawdzić, czy Twoja firma spełnia podstawowe wymagania bezpieczeństwa i czy cyberpolisa faktycznie ma szansę zadziałać w praktyce, warto zacząć od audytu IT oraz przeglądu backupu, dostępów i procedur.

Sprawdź:

• Doradztwo IT i audyt ISO 27001
• Backup danych dla firm
• Rozwiązania bezpieczeństwa IT: EDR, MDR, XDR
• Monitoring infrastruktury IT
• Administracja systemami i monitoring IT

FAQ