Firma farmaceutyczna Merck & Co wygrała swoją sprawę dotyczącą pokrycia strat poniesionych podczas ataku Not Petya, uzyskując od swojego ubezpieczyciela wypłatę w wysokości 1,4 mld dolarów. Wcześniej firma wstrzymywała wypłatę świadczenia, powołując się na politykę wyłączenia pewnych czynników.
W 2017 roku Not Petya sparaliżowała systemy IT i firmy na całym świecie, dotknęła swoimi działaniami globalnych gigantów przemysłowych, takich jak na przykład firmę logistyczną Moeller Maersk. Fala infekcji rozpoczęła się na Ukrainie, jednak uważano, że była ona pochodzenia rosyjskiego. W ataku ucierpiała również firma Merck, która doświadczyła zainfekowania ponad 40.000 komputerów w swojej sieci. W obecnej sytuacji napięcia na granicy rosyjsko-ukraińskiej eksperci przewidują ataki cybernetyczne jako pierwszy etap ataku wojsk Federacji Rosyjskiej. Czy powtórzy się scenariusz z 2017 roku? Firmy ubezpieczeniowe już odmówiły gwarancji dla lotów cywilnych nad terytorium Ukrainy.
Ubezpieczyciel firmy argumentował, że przeprowadzona inwazja była aktem wojny, co zazwyczaj podlega wykluczeniu jeśli chodzi o wypłatę ubezpieczenia. Zarówno ta, jak i podobne sprawy o podobnym charakterze, jak na przykład firmy spożywczej Mondelez, były bacznie obserwowane przez ekspertów ds. cyberbezpieczeństwa. Gdyby decyzja o nie wypłaceniu świadczenia została utrzymana, znacznie zmniejszyłaby się przydatność ubezpieczeń firm na rzecz cyberbezpieczeństwa.
Sąd argumentował, że roszczenie ubezpieczeniowe nie może tak łatwo zostać anulowane. Podstawą tego działania były paragrafy, które w umowie wyraźnie wskazywały na wyłączenie fizycznych działań wojennych, jednak nie było tam mowy o cyberatakach. Jak napisał jeden z sędziów “[…] ubezpieczyciel nie zrobił nic w kwestii zmiany zapisów w umowie, należało najpierw poinformować ubezpieczonego o chęci wykluczenia cyberataków z umowy, a następnie wprowadzić zmiany. Mimo sposobności taka sytuacja nie miała miejsca”.
Firmy nie mogą polegać wyłącznie na ubezpieczeniu od ryzyka cybernetycznego – o ile w ogóle są w stanie takie uzyskać
Polisy z ubezpieczenia firmy mogą pokryć straty poniesione podczas cyberataków. Po 2017 roku sytuacja zmieniła się jednak dość diametralnie. Wówczas firmy ubezpieczeniowe udzielały ochrony bez wielu warunków wstępnych, oferując szeroki wachlarz możliwości pokrycia strat i działań naprawczych po ewentualnym incydencie. Ceny takich ubezpieczeń nie były wysokie, co powodowało, że wiele firm sięgało po tego typu świadczenia.
W dzisiejszym świecie pełnym cyberzagrożeń coraz trudniej uzyskać polisę ubezpieczeniową dla swojej firmy. Wzrost liczby incydentów typu ransomware oraz stale rosnące koszty cyberataków sprawiły, że przedsiębiorstwa ubezpieczeniowe ostrożniej dobierają swoich klientów. Bez dobrej podstawy w zakresie cyberbezpieczeństwa w firmie, potencjalny klient nie ma szans na uzyskanie jakiejkolwiek ochrony w ramach polisy od ryzyka cybernetycznego. Ponad to, dzisiaj praktykuje się również określenie potencjalnego procentu strat i wyrządzonych szkód, aby zmniejszyć możliwość wypłacenia świadczenia na rzecz poszkodowanego.
Firmy, które posiadają takie ubezpieczenia, są zazwyczaj lepiej przygotowane na wypadek cyberataku. Ta sytuacja potwierdza to, co eksperci w dziedzinie cyberbezpieczeństwa mówili już od dawna: Nie ma prostej recepty na poprawę cyberbezpieczeństwa. Samo wykupienie ubezpieczenia nie pomoże, podobnie jak wyłącznie czysto techniczne podejście do ochrony. Kierownictwo powinno zaangażować się w tę kwestię wprowadzając odpowiednie procesy w firmie, zapewniając szkolenia ze świadomości zagrożeń IT swoim pracownikom i umożliwić skuteczne działanie z pojawiającymi się problemami wewnętrznemu działowi IT. Oznacza to nic innego, jak inwestycje we własne kadry i ich ciągłe szkolenie z zasad bezpieczeństwa.