Przejdź do treści
Insignis PolskaInsignis
Firmowe·8 min czytania·

Ubezpieczenie cyber dla małej firmy — czy to dotyczy też Ciebie?

Ransomware, wycieki danych, ataki BEC — małe firmy są celem numer jeden, bo mają dane a nie mają IT. Wyjaśniamy, co pokrywa cyber polisa i kiedy realnie chronić swój biznes.

Janusz Stefańczyk

Doradca ubezpieczeniowy (OWCA), specjalistyczne i grupowe

"Małe firmy to nie cel dla hakerów." To jeden z najpowszechniejszych, i najdroższych, mitów w polskiej przedsiębiorczości.

Rzeczywistość jest odwrotna: małe firmy są celem priorytetowym, bo posiadają wartościowe dane (bazy klientów, dane płatnicze, dane zdrowotne, dokumenty prawne) i jednocześnie mają minimalne zabezpieczenia IT i brak zespołu reagowania na incydenty.

Dlaczego małe firmy są w centrum zagrożeń

Dane to waluta

Każda firma, która gromadzi dane osobowe klientów, przetwarza zamówienia, przechowuje dane kart płatniczych lub dokumenty prawno-finansowe, posiada coś, za co ktoś zapłaci na czarnym rynku lub co można zaszyfrować i żądać okupu.

PESEL, NIP, numery dowodów, dane o zdrowiu, historia płatności — wartość jednego rekordu danych klienta na czarnym rynku wynosi od kilku do kilkudziesięciu dolarów. Baza 5 000 klientów małej kancelarii prawnej to biznesowo atrakcyjny cel.

Małe firmy to łatwe wejście

Duże korporacje mają działy bezpieczeństwa IT, SOC (Security Operations Center), polityki zero-trust. Małe firmy mają: jeden serwer z Windows Server 2016 (bez aktualizacji), konta e-mail bez 2FA, hasła zapisane w Excelu i pracownika IT "na część etatu".

Atakujący wybierają ścieżkę najmniejszego oporu.

RODO — dodatkowy wymiar odpowiedzialności

Od 2018 roku naruszenie danych osobowych to nie tylko koszt techniczny i wizerunkowy. To potencjalna kara UODO (do 4% globalnego obrotu lub 20 mln EUR) i roszczenia odszkodowawcze od osób, których dane wyciekły.

Obowiązek zgłoszenia naruszenia w ciągu 72 godzin, powiadomienie osób dotkniętych, dokumentacja incydentu — to procesy, które kosztują czas i pieniądze.

Co może Cię spotkać — trzy realne scenariusze

Ransomware: szantaż operacyjny

Piatek, godzina 07:00. Otwierasz komputer, widzisz ekran z komunikatem: "Twoje pliki zostały zaszyfrowane. Zapłać 15 000 USD w Bitcoin w ciągu 72 godzin lub dane zostaną usunięte lub opublikowane."

Firma: biuro rachunkowe, 8 pracowników, 300 klientów.

Co szyfruje ransomware: deklaracje podatkowe, umowy, dane klientów, system FK, harmonogramy prac. Kopia zapasowa? Była na dysku NAS podpiętym do sieci — też zaszyfrowana.

Koszty bez ubezpieczenia:

  • Firma odzyskiwania danych i usuwania malware: 15 000–30 000 PLN
  • 2–3 tygodnie przestoju (obsługa klientów w formie papierowej)
  • Utracone przychody: 30 000–60 000 PLN
  • Ewentualny okup (płacony lub nie)
  • Powiadomienie 300 klientów o naruszeniu RODO: czas i koszty prawne

Łącznie: 100 000–200 000 PLN.

Wyciek danych przez phishing

Pracownik recepcji w gabinecie stomatologicznym klika w e-mail podszywający się pod "system obsługi NFZ". Podaje dane logowania do systemu zarządzania pacjentami.

W ciągu tygodnia baza 2 000 pacjentów — imiona, nazwiska, numery PESEL, informacje o leczeniu — trafia na dark web.

Konsekwencje:

  • Obowiązek zgłoszenia do UODO
  • Powiadomienie 2 000 pacjentów
  • Roszczenia cywilne od pacjentów za naruszenie prywatności danych zdrowotnych
  • Koszt zewnętrznego doradcy RODO i prawnika: 10 000–25 000 PLN
  • Potencjalna kara administracyjna

Dane zdrowotne należą do kategorii danych szczególnych — kary są wyższe, a poszkodowani mają silniejsze podstawy do roszczeń.

Atak BEC: fałszywa faktura

Zarządca nieruchomości obsługuje 15 wspólnot mieszkaniowych. Haker przejmuje konto e-mail zarządcy, analizuje korespondencję i wysyła do zarządu jednej ze wspólnot e-mail z prośbą o zmianę numeru konta bankowego dla faktur za remonty.

Zarząd przelewa 85 000 PLN na konto przestępcy zamiast na konto wykonawcy. Środki natychmiast wyprowadzane są za granicę.

Odzyskanie środków: możliwe tylko w ciągu kilku godzin przy natychmiastowej reakcji banku i policji. W praktyce — rzadko udaje się odzyskać wszystko.

Co obejmuje ubezpieczenie cyber

Koszty incydentu

  • Firma IT ds. reagowania na incydenty (DFIR) — analiza wektora ataku, usunięcie złośliwego oprogramowania, przywrócenie systemów.
  • Odtworzenie danych — z kopii zapasowych lub częściowo z zaszyfrowanych nośników.
  • Koszty przestoju — utracone przychody podczas niedostępności systemów.
  • Koszty powiadomień — pisma do klientów, hotline, monitorowanie kredytowe dla poszkodowanych.
  • Doradztwo RODO i prawne — zgłoszenia do UODO, obsługa roszczeń.
  • Zarządzanie kryzysowe i PR — w przypadku wycieku danych z efektem wizerunkowym.

Odpowiedzialność cywilna

  • Roszczenia klientów, kontrahentów i osób trzecich poszkodowanych przez wyciek.
  • Obrona prawna w postępowaniach cywilnych i administracyjnych.
  • Kary regulacyjne (zależy od polisy i jurysdykcji).

Cyber extortion (ransomware)

  • Negocjacje z atakującymi (towarzystwa mają wyspecjalizowane firmy).
  • Finansowanie płatności okupu (jeśli jest to jedyna opcja odtworzenia danych).
  • Koszty decyzji o niezapłaceniu i alternatywnego odtworzenia.

Czego cyber ubezpieczenie nie obejmuje

  • Celowego działania pracownika (insider threat z zamiarem) — to ryzyko odrębne (crime).
  • Wcześniejszych incydentów — incydent musi być nowy, nieznany przed datą zawarcia polisy.
  • Infrastruktury fizycznej uszkodzonej cyberatakiem — urządzenia, serwery, sprzęt. To ryzyko majątkowe, nie cybernetyczne.
  • Strat z działalności niespowodowanych incydentem IT.

Jak minimalizować ryzyko i składkę jednocześnie

Towarzystwa ubezpieczeniowe oceniają ryzyko na podstawie kwestionariusza. Wdrożenie podstawowych zabezpieczeń obniża zarówno ryzyko ataku, jak i składkę:

  • Uwierzytelnianie wieloskładnikowe (MFA) dla poczty i systemów zdalnego dostępu — jedno z najskuteczniejszych zabezpieczeń.
  • Kopie zapasowe offline (off-site lub cloud poza siecią) — ochrona przed ransomware.
  • Aktualizacje systemów operacyjnych i oprogramowania — eliminuje znane podatności.
  • Szkolenia anty-phishingowe — 85% incydentów zaczyna się od ludzkiego błędu.
  • Segmentacja sieci — ograniczenie zasięgu ewentualnego włamania.

Nie trzeba być korporacją, żeby te elementy wdrożyć. Wiele z nich to konfiguracja, nie inwestycja sprzętowa.

Czy Twoja firma potrzebuje cyber polisy

Odpowiedz na te pytania:

  1. Czy gromadzisz dane osobowe klientów (PESEL, dane zdrowotne, numery kart)?
  2. Czy Twoja firma nie mogłaby działać przez tydzień bez dostępu do systemów IT?
  3. Czy przelew powyżej 10 000 PLN może być zatwierdzony przez jedną osobę?
  4. Czy Twoi pracownicy klikają w linki z e-maili bez weryfikacji?
  5. Czy kopia zapasowa jest podpięta do tej samej sieci co główny system?

Jeśli odpowiedziałeś "tak" na trzy lub więcej — potrzebujesz cyber ubezpieczenia.

Podsumowanie

Cyberatak na małą firmę to nie scenariusz z filmów science-fiction — to statystycznie pewne zdarzenie w perspektywie 5–10 lat prowadzenia działalności z systemami IT. Pytanie nie jest "czy", ale "kiedy" i "czy będziesz przygotowany". Koszt polisy cyber to ułamek potencjalnych strat. Warto porozmawiać przed incydentem, nie po nim.

40+ towarzystw ubezpieczeniowych

Przez partnerstwo z CUK Ubezpieczenia, porównujemy oferty w jednym miejscu.

Pełna lista

Najczęstsze pytania

Czy ubezpieczenie cyber obejmuje błąd pracownika, który kliknął w phishing?

Tak — jest to jeden z najczęstszych powodów zgłoszenia szkody cybernetycznej. Kliknięcie w link phishingowy przez pracownika, które prowadzi do infekcji ransomware lub wycieku danych, jest zdarzeniem objętym ubezpieczeniem cyber. Ubezpieczyciel pokrywa koszty usunięcia złośliwego oprogramowania, przywrócenia danych, powiadomienia klientów oraz ewentualne kary wynikające z naruszenia RODO.

Co to jest atak BEC i czy cyber polisa go obejmuje?

BEC (Business Email Compromise) to atak, w którym cyberprzestępca podszywa się pod prezesa, partnera biznesowego lub dostawcę i nakłania pracownika do przelania środków na fałszywe konto. To jeden z najkosztowniejszych typów przestępstw finansowych. Część polis cyber obejmuje straty z BEC, ale nie wszystkie — sprawdź klauzulę "crime" lub "fraud". Limity są zazwyczaj niższe niż dla ryzyk technicznych.

Czy muszę mieć certyfikat ISO 27001 lub audyt IT, żeby kupić cyber polisę?

Nie dla małych firm. Dla firm do 50 pracowników i obrotu poniżej 10 mln PLN ubezpieczyciele zazwyczaj wymagają tylko wypełnienia kwestionariusza bezpieczeństwa (10–20 pytań o podstawowe zabezpieczenia: antywirus, kopie zapasowe, 2FA, VPN). Pełny audyt jest wymagany przy wyższych limitach ubezpieczenia lub specyficznych branżach (fintech, medycyna, administracja publiczna).

Ile kosztuje ubezpieczenie cyber dla małej firmy?

Dla firmy zatrudniającej 5–20 osób, obrót poniżej 5 mln PLN, bez przetwarzania szczególnie wrażliwych danych — składka roczna wynosi zazwyczaj 2 000–6 000 PLN przy limicie 500 000–1 000 000 PLN. Branże o wyższym ryzyku (e-commerce, kancelarie, gabinety medyczne, biura rachunkowe) — wyższe składki, ale proporcjonalne do zagrożenia.

Porównaj oferty

Porozmawiaj
z ekspertem

Zostaw numer, agent oddzwoni w ciągu 15 minut i porówna oferty z 40+ towarzystw.

Wypełnij ankietę online

lub

JS

Janusz Stefańczyk

517 500 920

Wszystkie porady