Pentru că au crescut dependenţa digitală, teama de hackeri şi presiunea GDPR, multe companii vor să contracteze o asigurare de risc cibernetic. Riscurile nu sunt însă ușor de evaluat şi nici poliţele nu sunt tocmai ieftine. Ca să plăteşti mai puţin e nevoie să ştii cum stai în realitate, cât de solid este sistemul IT şi ce vulnerabilităţi poţi elimina înainte să te asiguri.

Până acum doi ani, în România, astfel de produse erau neglijate, doar 5% dintre companiile cu mai mult de 10 angajați încheiaseră o poliță de asigurare de risc cibernetic. Ceea ce reprezenta aproape de 5 ori mai puțin decât media UE (de 24%), potrivit datelor Eurostat.
Din 2020, interesul pentru o asigurare de risc cibernetic a crescut rapid, atât ca cerere cât şi ca ofertă, tot mai multe societăți de profil lansând astfel de produse. Descrierile sunt atractive, iar procedura de contractare facilă, însă evaluarea riscurilor pentru obținerea unui cost corect, precum şi a eventualelor pagube pentru obţinerea unei despăgubiri corecte au un nivel mai mare de complexitate.

Conform analizelor Autorității de Supraveghere Financiară (ASF), în prezent oferta standard a societăților înregistrate în România acoperă următoarele riscuri:

  • răspunderea pentru scurgerea de informații (inclusiv pierderea datelor personale colectate) și costurile generate (inclusiv costurile legate de notificări și analiză criminalistică);
  • răspunderea pentru securitatea rețelelor și pentru sistemele compromise (inclusiv cele cauzate de atacurile Dos);
  • costurile cauzate de întreruperea afacerii în urma unui incident informatic;
  • costurile de restaurare a datelor și a aplicațiilor rezultate în urma unui incident de natură să afecteze funcționarea afacerii;
  • răspunderea pentru plăți electronice (inclusiv amenzi și penalități);
  • pierderile generate de furtul de proprietate intelectuală.

Pentru a-și diferenția oferta, unele companii includ în lista riscurilor acoperite și șantajul cibernetic și recompensele solicitate de atacatori – cu aplicabilitate directă în cazul atacurilor ransomware –, costurile cu comunicarea de criză pentru reducerea riscului reputațional sau plata amenzilor primite în urma nerespectării prevederilor GDPR.

Însă, oricât ar fi de extinsă lista, o poliță de asigurare nu înlocuiește măsurile și soluțiile de securitate pe care fiecare companie trebuie să le pună în practică.
Asigurarea nu rezolvă problema tehnică în sine, ci acoperă doar pierderile financiare. Și asta doar în anumite situații, pentru că toate polițele includ o serie de excluderi comune, cum ar fi:

  • pierderile auto-provocate;
  • riscurile rezultate în urma accesării de site-uri și link-uri nesigure;
  • utilizarea de software fără licență;
  • amenințările interne etc.

Cât costă o asigurare de risc cibernetic? O întrebare simplă, cu un răspuns complicat, pentru că valoarea poliței anuale este dictată în mod direct de eficacitatea infrastructurii de securitate existente. Conform ASF, principalii factori luați în considerare la stabilirea prețului asigurării sunt:

  • industria în care activează beneficiarul;
  • dimensiunea companiei;
  • evenimentele precedente;
  • calitatea de procesator de date cu caracter personal.

La acestea se adaugă însă și o evaluare directă a eficienței sistemelor și măsurilor de protecție existente prin efectuarea de teste de penetrabilitate și / sau vulnerabilitate, inspecții de risc etc. Logica e simplă – cu cât infrastructura de securitate este mai rudimentară, cu atât valoarea poliței anuale va fi mai mare și viceversa.

Prin urmare, dacă doreşti să închei o poliță de asigurare de risc cibernetic, dar nu să și plăteşti anual sume exorbitante, PRAS te poate ajuta să:

  • să faci o evaluare corectă a sistemului IT şi a performanței soluțiilor de securitate pe care le deții;
  • să identifici un minim de aplicații necesare pentru îmbunătăţirea protecției şi eliminarea unor vulnerabilităţi;
  • să reduci valoarea poliței de asigurare și să acoperi excluderile;
  • să identifici şi să evaluezi corect daunele în cazul unei incident.

Paleta de servicii pe care le oferim include de la audituri de securitate până la teste de penetrare. Totodată, experienţa şi competențele noastre în dezvoltarea şi administrarea sistemelor ITC sunt o garanţie că putem evalua şi optimiza orice aspect digital al companiei tale.