Od początku wojny w Ukrainie rosną obawy przed cyberatakami w ramach prowadzonej równolegle wojny
hybrydowej. W niniejszym artykule wyjaśniamy, jak reaguje branża ubezpieczeniowa i jakie są skutki wprowadzenia klauzuli wojennej do warunków ubezpieczenia.

Czy w związku z wojną w Ukrainie wzrasta zagrożenie cybernetyczne?

Austriacki CERT oraz niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) zakładają obecnie „sytuację podwyższonego ryzyka”. Aktualnie nie widać poważnego bezpośredniego zagrożenia dla bezpieczeństwa informacji. Istnieją już jednak podejrzenia, że w związku z wojną dochodzi do pojedynczych ataków cybernetycznych. Na przykład niemiecki producent turbin wiatrowych, firma Enercon, nie był w stanie przeprowadzić zdalnej konserwacji własnych turbin. Przyczyną było zakłócenie sieci satelitarnej. Dalszy rozwój sytuacji jest więc trudny do przewidzenia.

Jak reagują ubezpieczyciele ryzyk cybernetycznych?

Natychmiast po wybuchu wojny nasi specjaliści od cyberryzyk skontaktowali się z ubezpieczycielami ryzyk cybernetycznych, aby poznać ich opinie. Ogólna informacja zwrotna była taka, że oszacowali sytuację
i decyzje będą podejmowane z jeszcze bardziej restrykcyjnymi działaniami, zwłaszcza w obszarze infrastruktury krytycznej.

Czy klauzula wykluczająca wojnę ma zastosowanie?

Zazwyczaj polisy ubezpieczenia cybernetycznego zawierają tzw. klauzule wyłączenia wojny, zgodnie
z którymi szkody spowodowane wojną lub zdarzeniami wojennymi nie są objęte ubezpieczeniem. W przypadku klasycznego wyłączenia wojny, ogólna zasada mówi, że wymagane jest celowe użycie siły fizycznej przez państwo atakujące.

Jeśli cyberatak zainicjowały tzw. Sponsorowane przez państwo grupy hakerów, nie ma mowy o ukierunkowanym działaniu państwa atakującego, a zatem nie ma wojny w omawianym znaczeniu. Z drugiej strony, Rosja prowadzi wojnę z Ukrainą, a nie z innymi państwami, co należy wziąć pod uwagę przy interpretacji warunków ubezpieczenia. Nawet jeśli cyberatak na firmę zostałby przeprowadzony z inicjatywy państwa, nadal brakuje oficjalnego wypowiedzenia wojny.

Ponadto ubezpieczyciel, chcąc powołać się na wyłączenie odpowiedzialności, musi udowodnić, że atak
cybernetyczny jest atakiem kierowanym przez rząd. Ubezpieczycielowi będzie jednak bardzo trudno to udowodnić, ponieważ hakerzy zazwyczaj nie ujawniają, że działają w imieniu rządu.

Co z zapłatą okupu?

Przypadki wykorzystania oprogramowania ransomware są obecnie największym z zagrożeń cybernetycznych. Prowadzi ono do blokady dostępu do danych lub usług, a za ich przywrócenie żądane jest zapłacenie okupu. Okup jest z reguły ubezpieczalny. Jeśli szantażystami są rosyjskie grupy hakerów, ubezpieczający muszą liczyć się z tym, że ubezpieczyciele nie wypłacą żadnych świadczeń bez potwierdzenia sankcji i bez kontroli zgodności z przepisami. Ze względu na rozległe sankcje nałożone na Rosję, płatności okupu na rzecz rosyjskich grup hakerskich są zazwyczaj również przedmiotem sankcji, ochrona ubezpieczeniowa jest zatem zakazana umownie i prawnie.

Podsumowanie

Obecnie nie obserwujemy jeszcze żadnych cyberataków w Austrii i Europie Środkowo-Wschodniej w związku z wojną w Ukrainie. Ubezpieczyciele zajmujący się ryzykami cybernetycznymi nadal przyjmują odpowiedzialność za ochronę przed tym największym ryzykiem biznesowym. Naszym zdaniem w przypadku ataku nieukierunkowanego nie miałoby zastosowania tradycyjne wyłączenie wojenne. Jednakże wszelkie ewentualne żądania okupu mogą być zabronione ze względu na sankcje.

Stephan Eberlein

Group Practice Leader Financial Lines

T +43 664 962 40 60