Dr PAWEŁ SIKORA

Zapłata okupu jako przedmiot ubezpieczenia cyber

I. Wprowadzenie do tematyki ubezpieczenia ryzyk cybernetycznych

Każdy z nas chroni to co posiada. Do domu kupujemy drzwi i okna odporne na włamanie. Do tego zawieramy umowę ubezpieczenia. Ta ostatnia ma nam zapewnić kompensatę szkód, gdy inne zabezpieczenia zawiodą. Jednak obok świata materialnego istnieje coraz bogatszy świat wirtualny. Podobnie jak w domu i w cyfrowym świecie przetrzymujemy nasze fotografie, książki, ulubioną muzykę, prywatną korespondencję, czy środki finansowe. To na cyfrowych nośnikach przechowujemy owoce naszej aktywności zawodowej – artykuły, notatki, opracowania. Tu trzymamy wszystkie hasła, piny, loginy, e-maile, adresy ulubionych strony internetowe i inne obecnie już niezbędne do życia dane. Podmioty korporacyjne realizując cele gospodarcze (produkcja, usługi), czy nawet pozagospodarcze, w poszukiwaniu wyższej efektywności lub choćby tylko próbując przetrwać czas pandemii przeniosły znaczną część swojej aktywności w świat cyfrowy.

Dobra zgromadzone w formie elektronicznej mogą zostać nam nagle odebrane, zniszczone, wykradzione, skopiowane, czy ujawnione. Utrata zawartości komputera, czy profilu na stronie „www” jest nie mniej dotkliwa niż kradzież portfela. Dla przedsiębiorstwa przepływ informacji jest jak krwioobieg dla organizmu – w razie zakłócenia natychmiast obumiera, i to niezależnie czy jest większe, czy mniejsze.

Zagrożenia cyfrowe nie są już tylko problemem pojedynczej osoby, czy przedsiębiorstwa. Problem ten ma najwyższy priorytet na poziomie państwowym czy ponadnarodowym. Nad jego rozwiązaniem pracują rządowe agencje, organizacje międzynarodowe, organa ścigania, wojsko, jak i podmioty komercyjne. Ma on szczególne znaczenie w okresie konfliktów zbrojnych, gdyż oprócz wojny tradycyjnej toczy się również wojna cyfrowa.

Zgodnie z klasycznym podziałem: to co posiadamy obejmuje ochroną ubezpieczenie mienia (tj. aktywów), zaś naszą działalność asekuruje ubezpieczenie odpowiedzialności cywilnej (tj. pasywów). W ramach ubezpieczenia aktywów kompensujemy nie tylko bezpośrednio doznany uszczerbek, ale również spodziewane a nieosiągnięte wskutek zdarzenia szkodowego zyski. Dokładnie według takiego samego schematu została zbudowana kompleksowa umowa ubezpieczenia ryzyk cybernetycznych (polisa cyber). Szkody własne ubezpieczonego (ang. First Party Insurance) obejmowane są jej pierwszą częścią (sekcją I). Część druga polisy cyber obejmuje szkody osób trzecich (ang. Third Party), czyli jest ubezpieczeniem odpowiedzialności cywilnej (sekcja II). Na polskim rynku nie wykształciła się jeszcze samodzielna trzecia część polisy cyber obejmująca szkodę z tytułu przerwy w działalności (ang. Business Interruption), nazywaną również utratą zysku. Tę obejmuje sekcja I w postaci klauzuli rozszerzającej.

Lektura OWU ubezpieczycieli cyber pozwala zauważyć, że ich twórcy odwołują się do pojęć zaczerpniętych z języka informatycznego oraz języka prawniczego, tyle że pochodzącego z innych niż nasze kontynentalne systemy prawa (zwykle z systemu common law). Anglosaska nomenklatura wynika z faktu, że ubezpieczenie to powstało na początku tego wieku w Stanach Zjednoczonych. Zaś oferty naszych krajowych ubezpieczycieli są nawiązaniem do wzorców amerykańskich.

W niniejszym artykule zajmiemy się jedynie ubezpieczeniem szkód własnych powstałych ze zdarzenia cyber, ze szczególnym uwzględnieniem problematyki okupu z cyber-wymuszeń.

II. Przedmiotu ubezpieczenia cyber w zakresie szkód własnych

Określenie czym jest ubezpieczenie w ogólności sprawia problemy za względu na multi-dyscyplinarność tego mechanizmu. Prawnicy zwykli traktować ubezpieczenie jako umowę zobowiązaniową. Inaczej podchodzi się do ubezpieczeń w nauce finansów, ekonomii czy zarządzania. Przyjmując prawniczy sposób rozumienia ubezpieczeń możemy posłużyć się normami zawartymi w kodeksie cywilnym (tytuł XXVII) zwłaszcza z części dotyczącej ubezpieczeń majątkowych.

Co do przedmiotu umowy ubezpieczenia majątkowego brzmienie art 821 k.c. odwołuje się do dominującej teorii interesu. Interes ubezpieczeniowy można zdefiniować bardzo wąsko – jako prawo na materialnych tworach przyrody (głównie na rzeczy) lub też znacznie szerzej – jako wszelkie wartości mające znaczenie dla jednostki. Tenże interes ubezpieczeniowy (art. 821 k.c.) powinien być legalny i mieć mierzalną wartość pieniężną.

W zakresie szkód własnych (to jest doznawanych przez samego ubezpieczonego) trudność określenia przedmiotu ubezpieczenia wynika z faktu, że ataki pochodzące z sieci internetowej nie powodują uszczerbku na rzeczy, tym samym naruszenia interesu rozumianego wąsko. Uszczerbku doznają za to inne składniki naszego mienia (a tym samym interesy), takie jak: wartości niematerialne i prawne, dobra osobiste, czy aktywa finansowe.

Wartości niematerialne i prawne zwykle utożsamia się z własnością intelektualną. Jest to skojarzenie poprawne i przydatne do określenia przedmiotu ubezpieczenia cyber, jednak zbyt wąskie. Po pierwsze z tego powodu, że tylko niewielka część treści jakie zamieszczamy w sieci, czy na nośnikach komputerów spełnia ustawowe definicję własności intelektualnej (np.: autorskiej, przemysłowej). Po drugie – atak cybernetyczny kończy się często spenetrowaniem zawartości naszych katalogów bez ich kopiowania, czy przesyłania dalej. Trudno w takim przypadku stwierdzić naruszenie własności intelektualnej, gdyż to wymaga zaistnienia uszczerbku lub choćby bezprawnie uzyskanej korzyści.

Określenie przedmiotu ubezpieczeń cybernetycznych jako naruszenie dóbr osobistych w zakresie szkód własnych (art 23 k.c.), czy szerzej: prywatności, mogło by dotyczyć jedynie małego zakresu ubezpieczenia (np.: utrata wizerunku). Pojawia się też pytanie o istnienie prywatności innych podmiotów niż osoby fizyczne. Można mieć też wątpliwość na ile koncepcja dóbr osobistych jest elastyczna w przypadku katalogu dóbr świata wirtualnego.

Do określenia przedmiotu ubezpieczenia cyber w niektórych OWU ubezpieczycieli używa się czasem pojęcia „bezpieczeństwo sieci i systemów informatycznych”. Podobnego zwrotu używa ustawodawca. Uznanie bezpieczeństwa za interes ubezpieczeniowy budzi poważne wątpliwości (choć odpowiada potocznemu rozumieniu mechanizmu ubezpieczeń). Bezpieczeństwo oznacza stan naszego samopoczucia (czujemy się bezpieczni). Jego naruszenie zaś trudno uznać za przedmiot ubezpieczenia i powiązać z obowiązkiem odszkodowawczym (na przykład spenetrowanie plików).

III. Próba zdefiniowania przedmiotu ubezpieczenia cyber w zakresie szkód własnych

Pojęcie ubezpieczenia nieodłącznie wiąże się z pojęciem ryzyko. Obecne „burzliwe czasy” wymagają profesjonalnego obchodzenia się z ryzykiem. W ramach systemów zarządzania ryzykiem jednym z jego elementów jest transfer ryzyka na ubezpieczyciela. Kiedyś pod pojęciem ryzyka w znaczeniu ubezpieczeniowym rozumieliśmy np.: huragan, pożar, powódź czy kradzież. Obecnie wspomniane systemy definiują ryzyko znacznie szerzej, np. system ISO 31.000 – jako każdy czynnik, który może zakłócić osiągniecie celów przedsiębiorstwa (risk – effect of uncertainty on objectives). Tak rozumianym ryzykiem są wszelkie niespodziewane i nieplanowane koszty, jakie mogą zagrozić wynikowi finansowemu organizacji (przedsiębiorstwa).

Wszelkie zdarzenia związane z naruszeniem infrastruktury informatycznej są klasyfikowane jako cyber risk (też: cyber-crime risk), zaś wszelkie koszty z nich wynikające mogą podlegać transferowi na ubezpieczycieli poprzez zastosowanie ubezpieczenia cyber. Jednak ubezpieczyciele nie definiują zakresu ubezpieczenia cyber w sposób syntetyczny. Starają się jasno i wyraźnie określać jakie konkretnie koszty chcą ponosić. Tak sformułowany przedmiot ubezpieczenia upodabnia je do usługi assistance. Ubezpieczyciel uzgadnia z poszkodowanym jakie usługi wykonana lub sfinansuje w razie zdarzenia losowego. I tak w przypadku ubezpieczenia cyber będą to:

  • koszty informatyki śledczej, tj. działań pozwalających ustalić fakt i sposób przeprowadzenia ataku z sieci,
  • koszty odtworzenia danych, odblokowania dostępu, zakupu nowego oprogramowania, by powrócić do dawnej aktywności, funkcjonalności i sprawności systemu IT,
  • koszty wdrożenia systemu zabezpieczeń przed podobnymi zdarzeniami w przyszłości.
  • W tej samej formule ubezpieczyciele gotowi są do ponoszenia kosztów pośrednio wynikających ze zdarzenia cyber, np.:
  • koszty naprawy utraconego wizerunku, tj. opinii, przywrócenia zaufania klientów lub kontrahentów,
  • koszty zawiadomienia o naruszeniu danych osobowych, tj. obowiązków wynikających z aktów prawnych w tym np. dotyczących danych osobowych (RODO),
  • koszty porad prawnych, tj. zatrudnienia kancelarii wyspecjalizowanych w tego rodzaju naruszeniach,
  • koszty zawiadomień, kar i grzywien nakładanych przez regulatorów,
  • koszty zarządzania kryzysowego, tj. pracy agencji PR,

Szkodami pośrednimi (następczymi, rykoszetowymi) są również szkody w postaci utraconych zysków wynikające ze zdarzenia cyber, którego skutkiem jest zatrzymanie lub spowolnienie pracy systemów IT, takie jak:

  • ponoszenie kosztów stałych związanych z przerwą w działalności lub jej spowolnieniem (np. czynsze najmu, podatki),
  • strata własna z tytułu utraconych zysków wynikających z przerwy lub ze spowolnienia działalności,
  • koszty pracy w godzinach nadliczbowych i inne koszty podejmowane w celu przywrócenia funkcjonalności systemu.

Szczególne znaczenie dla konstrukcji ubezpieczenia cyber ma świadczenie na koszty okupu z tytułu zaszyfrowania naszych danych (ang. ransom). Zagadnieniu temu poświęcimy nieco więcej uwagi, ze względu na jego ogromną wagę oraz watpliwości natury prawnej.

IV Ubezpieczenie okupu płaconego hakerom

Ogólne warunki firm ubezpieczeniowych (OWU) definiują zdarzenie polegające na żądaniu okupu przez hakerów jako „cyber wymuszenie”. Scenariusz cyber wymuszenia zakłada najczęściej przesłanie przy pomocy poczty e-mail na komputer ofiary oprogramowania szyfrującego. W celu zmylenia użytkownika wiadomość e-mail udaje standardową – zwykle otrzymywaną ze znanych nam źródeł (np.: rachunek za usługi IT, informacja o przesyłce). Otwarcie załącznika powoduje uruchomienie oprogramowania, które instaluje się samodzielnie i szyfruje zawartość komputera (ransomware). Oprogramowanie emituje komunikaty o zaszyfrowaniu danych i o konieczności „zakupienia” klucza pozwalającego na ich odszyfrowanie. Walutą jaką posługują się przestępcy są zwykle bitcoiny lub inne pseudo-waluty oparte o technologię blockchain (łańcucha bloków).

Zakresem pokrycia ubezpieczeniowego objęte są wszelkie koszty związane z odzyskaniem dostępu do systemu, czy też zaszyfrowanych danych. Przede wszystkim konieczna jest natychmiastowa konsultacja z podmiotem posiadającym fachową wiedzę i doświadczenie w tego rodzaju zdarzeniach. Firmy ubezpieczeniowe wchodząc na rynek ubezpieczeń cyber zadbały o zatrudnienie specjalistów lub o zawarcie umów z podmiotami zewnętrznymi. Przy czym model amerykański różni się nieco od modelu kontynentalnego. W USA poszkodowany atakiem ransomware może zwrócić się do wybranego przez siebie podmiotu zamieszczonego na liście otrzymanej od ubezpieczyciela. Europejscy ubezpieczyciele proponują raczej pomoc podmiotu współpracującego lub własnego pracownika.

Niezależnie od proponowanego modelu „pomocy awaryjnej” ma ona na celu przede wszystkim podjęcie decyzji – czy w danym przypadku racjonalne jest zapłacenie okupu, czy też nie. W przypadku gdy zapłata uznana zostanie za najlepsze rozwiązanie konsultant może podjąć się dodatkowo: negocjowania okupu, jego przesłania, a w końcu odszyfrowania danych otrzymanym kluczem. Decyzja o braku celowości płacenia okupu związana jest zwykle z działaniami konsultanta, które same winny doprowadzić do odszyfrowania danych lub ich odtworzenia z kopii bezpieczeństwa.

Dodatkowymi warunkami uzyskania pokrycia kosztów ataku ransomware z ubezpieczenia może być powiadomienie organów ścigania o całym zdarzeniu, włączenie do sprawy informatyków śledczych, zachowanie tajemnicy czy minimalizowanie szkody. W przypadku naruszenia powyższych powinności (z winy kwalifikowanej) ubezpieczyciel może dokonać potrącenia lub nawet odmówić wypłaty odszkodowania.

Wracając do głównego nurtu naszych rozważań wypada w końcu odpowiedzieć na pytanie: czy wypłata świadczenia ubezpieczeniowego z tytułu ataku ransomware może w ogóle być przedmiotem ubezpieczenia majątkowego? Bez wątpienia zapłata okupu jest formą straty finansowej, czyli stanowi uszczerbek na mieniu. Podstawowy problem jaki się pojawia to kwestia legalności. Jak już wcześniej wspomnieliśmy art 821 k.c. stanowi, że przedmiotem ubezpieczenia może być jedynie interes legalny. Wyłudzenie okupu zapewne szybko znajdzie odpowiednią normę prawa karnego (np.: art. 269, 269a, 269b k.k.). Jednak płacenie okupu w Polsce nie jest czynem karalnym. Co oczywiście nie oznacza, że zachowanie takie nie wzbudza wątpliwości natury moralnej. Podnosi się, że płacenie okupu cyberprzestępcom znacząco napędza ich przestępczy biznes. Średnie kwoty okupów rosną dynamicznie, zaś doniesienie prasowe o ich wysokości stanowią dla innych grup hakerskich motywacje do naśladowania, tych którym się powiodło. Najsilniejszym argumentem przeciwko płaceniu haraczy jest fakt, że finansowanie tego rodzaju działalności naraża życie i zdrowe ludzkie (np.: ataki na szpitale, pogotowie ratunkowe). Działania przestępców stają się też coraz bardziej bezwzględne ocierając się o terroryzm. Dane zawarte w systemach bywają wykradane i oprócz propozycji sprzedaży klucza deszyfrującego pojawia się groźba ich upublicznienia w celu skompromitowania ofiary. Ma to zmusić zaatakowane podmioty do zapłaty wyższego okupu.

Podnosi się również bezcelowość płacenia haraczu z tego względu, że większość płacących nie otrzymuje przyrzeczonego klucza. Ponadto nawet po otrzymaniu klucza agresor często pozostawia w oprogramowaniu systemowym ukryte zmiany pozwalające albo uaktywnić im się za jakiś czas, albo włamać powtórnie do systemu. Za naiwne uważa się obdarzenie przestępców jakimkolwiek zaufaniem.

Znane jest powiedzenie, że „rząd Stanów Zjednoczonych nie negocjuje z terrorystami”. Ze stanowczą reakcją zabraniającą płacenia okupu spotykamy się w USA. To tam Departament Skarbu (OFAC) wydał oficjalne oświadczenie wskazując na system sankcji jakie mogą być nakładane na podmioty podejmujące decyzje o zapłacie okupu (sankcje takie są faktycznie nakładane). Wystąpienie skierowane jest również do instytucji finansowych, w tym do firm ubezpieczeniowych. OFAC uzasadnił swoje stanowisko zakazem jakiekolwiek bezpośredniego lub pośredniego finansowania podmiotów z krajów objętych embargiem (np. Kuba, Syria, Krym, Iran, Korea Północna, obecnie Rosja).

Stanowisko powyższe wydane 21 września 2021r. powstało w związku narastającą gwałtownie falą ataków komputerowych tego typu, do czego przyczyniły się COVID-19 i powszechna wirtualizacja wszelkich czynności zawodowych i prywatnych, obecnie zaś wydarzenia na Ukrainie. Zgodnie z informacjami prasowymi podobne stanowisko jest w najbliższym czasie oczekiwane ze strony organów Unii Europejskiej.

Nie jest przesadą stwierdzenie, że bezprawność przekazywania okupów z cyber-wymuszeń staje się powoli oczywista. Wszystko wskazuje na to, że również firmy ubezpieczeniowe będą musiały w niedalekiej przyszłości ograniczyć ochronę ubezpieczeniową w zakresie cyber-wymuszeń jedynie do kosztów usunięcia skutków takich ataków na systemy IT. Sama płatność okupu musi prawdopodobnie zniknąć z zakresu jako niezgodna z obowiązującym prawem, bądź zostać zasadniczo ograniczona.

Jako argument za dopuszczeniem ubezpieczenia okupu z tytułu ataków ransomware można by uznać sięgającą tysiącleci tradycję ubezpieczeń morskich typu Kidnap and Ransom (K&R). Należy jednak zaznaczyć, że wątpliwości podobne do powyższych pojawiają się również w związku z tym ubezpieczeniem. Zapewne nie bez powodu nasz ustawodawca nie stawia wymogu legalności ubezpieczeniom morskim (art. 293 § 1 k.m.). Jest istotna różnica między ubezpieczeniem K&R a ubezpieczeniem w zakresie cyber-wymuszeń: ubezpieczenie K&R służy ratowaniu życia ludzkiego, ubezpieczenie okupu z tytułu zaszyfrowania danych służy odzyskaniu danych. Są to wartości nieporównywalne.

Opublikowano

w

przez

Paweł Sikora

Tagi:

Komentarze

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Kategorie
Archiwa
Ostatnie wpisy
Newsletter – formularz zapisz się

 

Jeśli chcesz być informowany o nowych artykułach na blogu – zapisz się do newslettera