Quo vadis CYBER? 

Dr Paweł Sikora

Prasa ubezpieczeniowa (Financial Times - 27-12-2022) doniosła, że zdaniem Mario Greco (CEO firmy Zurich Re) ryzyko cyberataków może wkrótce stać się nieubezpieczalne. Faktem jest, że mimo intensywnych działań rządów, policji, agencji bezpieczeństwa, a nawet podmiotów prywatnych, ilość naruszeń z sieci notuje gwałtowną tendencje rosnącą i to od dłuższego czasu. Czy jednak mówiąc o ubezpieczeniu cyber mamy na myśli cały pakiet złożony z informatycznego assistance, odpowiedzialności cywilnej oraz utraty zysku? Czy wszystkie te składniki są przyczyną galopujących szkód ubezpieczeniowych? Osobiście jako przyczynę wskazał bym odpowiedzialność cywilną i utratę zysku. Utratą zysku zajmiemy się przy innej okazji dziś skupiając się na OC. 

Ataki hakerskie a OC

Ubezpieczenie od skutków ataków z sieci internetowej (cybercrime) powstało przede wszystkim jako ubezpieczenie odpowiedzialności cywilnej. Wiadomo - USA to kraj, w którym zdarzenia związane z odpowiedzialnością cywilną kosztują najwięcej. Wraz z powstaniem informatyki zauważono, że „operatorzy” danych cyfrowych zbierają i przetwarzają głównie cudze dane. Ich utrata jest zatem szkodą osób trzecich (podmiotów korzystających z bazy, osób których dane zgromadzono itp.). Ta zaś może powodować roszczenia tychże z tytułu odpowiedzialności cywilnej administratora. Naturalną koleją rzeczy było pytanie o możliwość jej ubezpieczenia, na które to rynek ubezpieczeniowy na przełomie XX i XXI wieku odpowiedział twierdząco. 

Powyższe nie oznacza jednak braku obiekcji i wątpliwości co do sposobu funkcjonowania ubezpieczenia odpowiedzialności cywilnej powstałej w skutek naruszeń cybernetycznych. Tu znowu my kontynentalni prawnicy wychowani na tradycyjnej koncepcji winy jesteśmy poddawani bardzo ciężkiej próbie. Bo jak przypisać winę naszemu ubezpieczonemu, który okazał się być jedynie mniej sprytny niż haker, posiadał nie dość skuteczne zabezpieczenia, nie był w stanie przewidzieć niespotykanego dotąd sposobu ataku z sieci? Jaki wzorzec staranności mamy skonstruować by stwierdzić winę ubezpieczonego? Czy ma to być jakiś super-hero, który dysponuje wszelkimi możliwymi, a może i nawet niemożliwymi zabezpieczeniami świata i nie popełnia najmniejszych nawet błędów?

Wina, szkoda i związek

Powstaje też wątpliwość, czy świetle faktu, że mówimy o rzeczywistości wirtualnej łatwe jest stwierdzenie szkody? Wątpliwości powstają na przykład w sytuacji gdy rzeczywisty agresor jedynie przeniknął przez naszą infrastrukturę i pozostawił ślad (taki napis na ścianie - tu byłem), albo podszywając się pod nas jedynie uwiarygodnił się wobec podmiotu trzeciego. 

Dla menedżerów ryzyka małe znaczenie ma fakt, że jedne koszty wynikają prawnych reguł ponoszenia odpowiedzialności odszkodowawczej, inne zaś z własnych działań, podejmowanych w celu zabezpieczenia się przed naruszeniami w przyszłości, czy nawet w celu odzyskania utraconego poczucia bezpieczeństwa. Jednak dla prawników rozróżnienie to ma ogromne znaczenie, gdyż w pierwszym przypadku odpowiedzialność cywilna zaistnieje, w drugim - niekoniecznie. Ubezpieczenie OC ma przecież charakter akcesoryjny i działa dopiero gdy ubezpieczonemu uda się przypisać odpowiedzialność cywilną. Nie ma odpowiedzialności cywilnej nie działa jej ubezpieczenie. 

Tymczasem ubezpieczyciele ryzyk cybernetycznych budują swoją odpowiedzialność umowną w zakresie OC niejako obok kwestii winy, często zaznaczając wprost w swoich OWU, że obejmują również odpowiedzialność nie opartą o winę (np.: naruszenie bezpieczeństwa, zagrożenie naruszeniem). W spotykanych na rynku umowach ubezpieczenia pojawiają się sformułowania mówiące o powstaniu odpowiedzialności z tytułu zaistnienia samego faktu braku wystarczających zabezpieczeń, czy niewłaściwych procedur ochrony. Ciągle jednak ubezpieczenie to traktuje się jako pokrywające konsekwencje odpowiedzialności cywilnej. Można mieć wątpliwości - co się stanie w sytuacji gdy ubezpieczyciel stwierdzi brak przesłanek odpowiedzialności cywilnej ubezpieczonego? Czy będziemy mieli do czynienia z ubezpieczeniem odpowiedzialności cywilnej bez zaistnienia odpowiedzialności cywilnej? Czy ubezpieczenie cyber to obok ubezpieczenia D&O następny luksusowy gadżet dla zarządu, lub dodatek do kompleksowego ubezpieczenia firmy, robiony jako ubezpieczenie szkód własnych pod szyldem odpowiedzialności cywilnej?

Rygor odpowiedzialności cywilnej za naruszenia informatyczne

Odpowiedzialność cywilna może powstawać bez konieczności udowadniania winy, tak jak np. odpowiedzialność posiadacza pojazdu (na zasadzie ryzyka), czy odpowiedzialność z tytułu wykorzystywania energii jądrowej (tzw. absolutna). Jednak w ogromnej większości systemów prawnych (przynajmniej naszych europejskich) odejście od zasady winy sprawcy jest możliwe jedynie w przypadkach precyzyjnie określonych ustawą. 

Bezpieczeństwu cybernetycznemu poświęcono w Europie kilka dyrektyw, z czego najważniejsza to Dyrektywa NIS, którą przyjęto 6 lipca 2016 r. Na jej podstawie uchwalono w naszym kraju ustawę o o krajowym systemie cyberbezpieczeństwa (z dnia 28 sierpnia 2018 roku). Jednak zarówno dyrektywa jak i ustawa oprócz określenia jakie działania podmiotów informatycznych są zgodne z prawem nie ustanawia żadnych szczególnych zasad ich odpowiedzialności cywilnej. 

Innym niezwykle ważnym aktem prawnym, jest stosowane w naszym porządku prawnym wprost - rozporządzenie RODO (weszło w życie 18 maja 2018r.). RODO dotyczy ochrony danych osobowych, które nader często stanowią przedmiot naruszeń (kradzieży, kopiowania, naruszenie integralności) drogą elektroniczną. Już preambule rozporządzenia RODO, pkt (146) znajdujemy nawiązania do odpowiedzialności cywilnej administratora danych osobowych. Dyrektywa generalnie potwierdza prawo poszkodowanych do odszkodowania. Jednak jej najważniejszym postanowieniem z punktu widzenia ubezpieczenia OC cyber jest zwrot: ” Administrator lub podmiot przetwarzający powinni jednak zostać zwolnieni z odpowiedzialności prawnej, jeżeli udowodnią, że szkoda w żadnym razie nie powstała z ich winy”. Sformułowanie to powtarza też art. 82 ust.3. Takie ujęcie odpowiedzialności administratora oznacza zastosowanie konstrukcji winy domniemanej. Mamy więc i tu odniesienie do klasycznej konstrukcji winy, tyle z przeniesieniem ciężaru udowodnienie jej braku na administratora. 

Skoro jest tak dobrze, to...

Czy udowodnienie braku winy jest jednak zdaniem łatwym? Wskazaliśmy, że wina (wadliwe działanie, zaniechanie, decyzje) jest bardzo ciężka do uchwycenia w zdarzeniach związanych z naruszeniami informatycznymi. Równie ciężkie, a może nawet cięższe będzie udowodnienie, że zrobiło się dosłownie wszystko co było możliwe by do zdarzenia nie doszło. Udowodnienie, że postępowało się z najwyższą dbałością i w 100% zgodnie z wzorcami narzuconymi prawem, w sytuacji gdy dochodzi do udanego ataku z sieci staje się sprzecznością samą w sobie. Możemy wtedy zawsze zapytać przewrotnie: „ skoro jest tak dobrze (jak Pan twierdzi Panie administratorze danych), to czemu jest tak źle (tj. dlaczego doszło do naruszenia)”? Gdy wszystko było super, to do ataku by nie doszło?

Pokrycie ubezpieczeniowe w zakresie zwrotu okupów jest zagrożone (pisałem o tym w tekście: Zapłata okupu jako przedmiot ubezpieczenia cyber), w zakresie odpowiedzialności cywilnej staje się bardzo ryzykowne, można zadać pytanie - dokąd zmierzasz cyber? Czy faktycznie na śmietnik historii?