Nawet niewielka pomyłka w kodzie może skutkować żądaniami odszkodowań rzędu dziesiątek lub setek tysięcy euro. Mimo że specjaliści z dziedziny IT, w przeciwieństwie do doradców podatkowych czy agentów nieruchomości, nie mają narzuconego prawnie obowiązku posiadania ubezpieczenia OC, prężny rozwój usług technologicznych powoduje, że kwestia ochrony ubezpieczeniowej pojawia się coraz częściej.
Od strat liczonych w milionach dolarów po eksplozję na orbicie
Spektakularnym przykładem tego, jak brzemienny w skutkach może być defekt programistyczny, jest historia firmy Knight Capital Group, zajmującej się handlem giełdowym, z 2012 roku. W ciągu zaledwie 45 minut przedsiębiorstwo poniosło straty w wysokości około 440–460 milionów dolarów, co postawiło je na krawędzi bankructwa i wymusiło przejęcie przez konkurenta. Powodem był błąd implementacyjny: jeden z ośmiu serwerów nie został zaktualizowany i uruchomił nieaktywny kod sprzed niemal dekady, znany jako „Power Peg”. System zaczął masowo wysyłać wadliwe zlecenia giełdowe, realizując miliony transakcji bez poprawnej logiki obliczania zrealizowanych zleceń.
Podobnie rezonującym wydarzeniem była katastrofa rakiety Ariane 5 w 1996 roku, która uległa samozniszczeniu zaledwie 37 sekund po starcie. Przyczyną okazał się defekt oprogramowania w systemie odniesienia inercjalnego, gdzie próba transformacji 64-bitowej liczby zmiennoprzecinkowej na 16-bitową liczbę całkowitą spowodowała przepełnienie danych. Ta z pozoru drobna wada w kodzie przyczyniła się do destrukcji rakiety i ładunku o wartości setek milionów dolarów. Oba te zdarzenia ilustrują, że w branży technologicznej nie ma błędów pozbawionych konsekwencji finansowych.
Reklama
Zobacz także
Wybrane dla Ciebie: 10% rabatu na szkolne ubezpieczenie NNW, z kodem 02346
Usterka w kodzie może okazać się kosztowna
W polskiej branży IT pracuje kilkaset tysięcy osób, a znaczna ich część oferuje usługi w ramach kontraktów B2B. Ten model oznacza, że za ewentualne niedociągnięcia specjaliści odpowiadają całym swoim majątkiem prywatnym, ponieważ nie dotyczy ich obowiązkowe ubezpieczenie OC. Rozmiar roszczeń jest obecnie co najmniej porównywalny z innymi sektorami, ponieważ projekty IT często obejmują infrastrukturę o znaczeniu krytycznym, systemy nadzorowania maszynami czy obszerne bazy danych osobowych. Zaniedbanie jednego elementu bezpieczeństwa w kodzie może w okamgnieniu wygenerować szkodę mierzoną w tysiącach euro.
Jak podkreśla Rajmund Rusiecki, CEO Leadenhall Insurance, „rozmiar odpowiedzialności informatyków powiększa tak wszechobecna obecnie cyfryzacja, która ogarnia już właściwie wszystkie dziedziny gospodarki”. Ekspert przytacza konkretne przypadki, np. nieprawidłowo zaprogramowany robot przemysłowy, który uderzył w infrastrukturę fabryki motoryzacyjnej, co obciążyło wykonawcę kwotą ponad 25 tysięcy euro albo błąd w kodzie sterującym stołem obrotowym, prowadzący do kolizji i przestoju linii produkcyjnej, generując rachunek na sumę przekraczającą 11 tysięcy euro.
Warta wskazuje, że z roku na rok w sektorze IT wzrasta liczba roszczeń, których nie można rozwiązać przez zwykłe „załatanie” luki w ramach dodatkowych nadgodzin nad projektem. Wsparcie ubezpieczyciela staje się zasadnicze, gdy wchodzą w grę tzw. czyste szkody majątkowe. Świadomość ryzyka wzrasta również po stronie kontrahentów, zwłaszcza zagranicznych, którzy często narzucają na polskich specjalistów obowiązek posiadania kompleksowego ubezpieczenia zawodowego jako warunek nawiązania współpracy.
W takich przypadkach posiadanie polisy i partnera, który przejmuje obsługę roszczenia, znacząco odciąża właścicieli firm IT – zarówno pod względem finansowym, jak i wizerunkowym – komentuje Marcin Gabryszewski, Dyrektor Operacyjny w Zespole Underwritingu Ubezpieczeń OC w Warcie
OC w branży IT nie jest obligatoryjne, ale potrzebne
Ubezpieczenie OC dla branży przejmuje odpowiedzialność finansową za błędy popełnione podczas wykonywania usług IT, zwłaszcza roszczenia wynikające z defektów w kodzie i projektach, lecz jego zakres jest znacznie szerszy i obejmuje m.in. pogwałcenie obowiązku dochowania tajemnicy czy odpowiedzialność za zdarzenia związane ze szkodliwym oprogramowaniem. Standardem rynkowym jest również kompensowanie kosztów odtworzenia przypadkowo usuniętych lub uszkodzonych danych klienta. Marcin Wilczek z Generali Polska potwierdza, że OC zawodowe w IT spotyka się z coraz większym zainteresowaniem na polskim rynku, zaznaczając, że polisa może obejmować np.
- pomyłki w kodowaniu i awarie oprogramowania,
- naruszenie danych,
- usterki w doradztwie i konsultingu,
- wsparcie w postaci pokrycia wydatków na obronę przed roszczeniem.
Marcin Jarosz, koordynator ds. Underwritingu z Biura Analiz i Oceny Ryzyka Ubezpieczeń Korporacyjnych w PZU, zwraca uwagę na szeroki wachlarz ochrony, m.in.: "szkody poniesione przez klienta w wyniku uchybienia lub niedbalstwa w realizacji usługi IT, roszczenia związane z niewłaściwym wywiązaniem się z umowy, szkody powstałe na skutek wad oprogramowania, błędów konfiguracyjnych czy nieodpowiedniego doradztwa technicznego, odpowiedzialność podwykonawców”. Polisa zapewnia również pokrycie kosztów na obronę prawną w postępowaniach cywilnych, karnych i administracyjnych, co jest istotne nawet w przypadku bezzasadnych roszczeń.
Czy obowiązkowe OC to tylko kwestia czasu? Rynek pozostaje sceptyczny
Obecnie specjaliści IT nie są zobligowani do posiadania OC zawodowego, co różni ich od księgowych czy agentów nieruchomości, jednak wraz z dynamicznym rozwojem technologii i jej wpływem na bezpieczeństwo dyskusja o wprowadzeniu takiego wymogu powraca. CEO Leadenhall Insurance, Rajmund Rusiecki, uważa, że obszar działania IT powoduje, że debata o obligatoryjnym OC staje się zasadna. Marcin Gabryszewski z Warty sugeruje, że w przyszłości takie rozwiązanie może okazać się konieczne z uwagi na rosnącą rolę odpowiedzialności w tym sektorze, niemniej jednak jest za wcześnie, aby mówić o obowiązkowym OC w branży IT:
– Na obecnym etapie kluczowe jest jednak dalsze monitorowanie rynku – w szczególności skali szkód oraz ich wpływu na bezpieczeństwo jednostek i funkcjonowanie obrotu gospodarczego. – odpowiada ekspert Warty.
Ubezpieczyciele zasadniczo dostrzegają wzrost zainteresowania ubezpieczeniami wśród profesji IT, lecz zachowują sceptycyzm co do obowiązkowych polis. Jak twierdzi PZU, rynek oferuje programistom czy DevOpsom ochronę dostosowaną do rodzaju ich aktywności i ryzyk, które są odmienne dla małych firm, a większe dla dużych podmiotów.
Mechanizm obowiązkowego OC z jednolitym, ustawowym zakresem mógłby nie odpowiadać tej różnorodności, prowadząc albo do niedoubezpieczenia części rynku, albo do ponoszenia przez przedsiębiorców kosztów ochrony, która nie jest im faktycznie potrzebna. Obecny model, oparty na dobrowolności, pozwala firmom IT świadomie zarządzać ryzykiem, dobierać sumy gwarancyjne i rozszerzenia ochrony w zależności od umów, oczekiwań klientów oraz charakteru realizowanych usług. W praktyce obserwujemy, że rynek sam w naturalny sposób wymusza posiadanie OC – poprzez wymagania umowne, standardy współpracy międzynarodowej czy procedury przetargowe. – ocenia Marcin Jarosz, koordynator ds. Underwritingu z Biura Analiz i Oceny Ryzyka Ubezpieczeń Korporacyjnych w PZU.
Eksperci ubezpieczeniowi konstatują także, że błędy programistyczne, nieudane wdrożenia czy zakłócenia w dostępności systemów prowadzą do realnych strat, stąd klienci, zwłaszcza ci z zagranicy, sami oczekują od branży IT posiadania ubezpieczenia OC, co nie tylko zabezpiecza przed roszczeniami, ale i buduje renomę. Potwierdza to Piotr Wójcik, dyrektor zarządzający Pionem Rozwiązań dla Klienta Korporacyjnego w UNIQA, który większe zainteresowanie OC dla programistów tłumaczy wymogami zleceniodawców, ale podobnie jak pozostali eksperci nie widzi potrzeby wprowadzenia obowiązkowego ubezpieczenia.