Digitalizacija poslovanja, ki jo je v zadnjih letih dodatno pospešil koronavirus, ima poleg številnih prednosti tudi svoje slabosti. Čeprav se tega običajno niti ne zavedamo, vsak dan prihaja do neštetih kibernetskih napadov na mnoge gospodarske družbe in organizacije, ki jih bolj ali manj uspešno preprečujemo z ukrepi za informacijsko varnost. Zato strokovnjaki opozarjajo, da ni več vprašanje, ali bo do kibernetskega varnostnega incidenta in pripadajoče škode prišlo, temveč kdaj se bo to zgodilo.

Na kibernetska tveganja so zagotovo bolje pripravljene večje gospodarske družbe, ki si lahko privoščijo zaposlitev lastnih informacijskih varnostnih strokovnjakov. V precej slabšem položaju pa je večina srednje velikih in manjših gospodarskih družb, ker takšnih možnosti nimajo ali so dokaj omejene.

Zato je toliko bolj pomembno, da poleg drugih ukrepov za varnost svojega poslovanja poskrbijo tudi z zavarovanjem kibernetske zaščite.

Kaj so kibernetski varnostni incidenti?
Kibernetski varnostni incident je zlonamerno dejanje s strani tretjih oseb (t.i. hekerjev), ki preko internetnega omrežja s pomočjo zlonamernega programa, človeške napake, DOS napada za ohromitev ali nedosegljivost informacijskega sistema, ali kraje podatkov povzročijo škodo gospodarski družbi ali njenim strankam in poslovnim partnerjem.

Za lažjo predstavo, kaj se lahko zgodi, navajamo nekaj praktičnih primerov.

Obratovalni zastoj. Znani so vdori v informacijske sisteme proizvodnih družb, ki so povzročili obratovalne zastoje in začasno onemogočili njihovo poslovanje. Motivi so različni, od izsiljevanja, do kraje industrijske lastnine. Vendar obratovalnim zastojem niso izpostavljene samo proizvodne družbe, temveč vsaka organizacija, saj vsi uporabljamo internet in elektronsko pošto, pametne inštalacije in naprave, ki so povezane z medmrežjem.

Izsiljevanje. V večini primerov gre za onemogočen dostop do informacijskega sistema in zahtevo po plačilu odkupnine za ponovno delovanje, kar je običajno najbolj racionalna rešitev.

Poleg ohromitve poslovanja je izsiljevanje lahko povezano z razkritjem poslovnih skrivnosti konkurentom, krajo, spreminjanjem ali javno objavo podatkov in podobno.

V tujini se je na primer zgodilo, da so hekerji vdrli v pametne inštalacije butičnega hotela in zahtevali odkupnino. Prevzeli so nadzor nad ključavnicami, gretjem, hlajenjem, internetno povezavo, avtomatskimi vrati, okni in trezorji ter onemogočali normalno poslovanje, nekateri gosti pa so bili krajše obdobje ujeti v svojih sobah.

Kraja denarnih sredstev. Vse gospodarske družbe pri poslovanju uporabljajo internetne bančne poti, kar spretno izkoriščajo tudi kriminalci. Če jim uspe vdor ali prevzem nadzora nad plačilnim sistemom, poskušajo odvzeti razpoložljiva denarna sredstva na bančnih računih, za kar med drugim uporabljajo »off shore« nakazila, verižna nakazila in plačila fiktivnih računov. In preden odgovorni v družbah to opazijo, je običajno že prepozno.

Odškodninski zahtevki. Večinoma gre za odškodninske zahtevke strank in lastnih zaposlenih zaradi kršenja zaupnosti in zasebnosti, saj družbe obdelujejo njihove poslovne in osebne podatke, ki so ukradeni, prodani ali zlorabljeni (npr. podatki o bančnih računih poslovnih partnerjev in zaposlenih).

Krajam podatkov lahko sledijo kazni informacijske inšpekcije, v najslabšem primeru pa lahko pride do skupinskih tožb z zahtevami po povračilu nastale škode.

S sprejemom novega Zakona o varstvu osebnih podatkov (ZVOP-2) je na primer možno izrekanje kazni na podlagi GDPR, po katerem lahko najvišje kazni dosežejo vse do 4 % skupnega svetovnega letnega prometa.

Kakšno kritje omogoča zavarovanje kibernetske zaščite?

Kibernetsko zavarovanje za gospodarske družbe je pomembna dodatna zaščita pred finančnimi posledicami kibernetskega napada, saj se tveganje delno ali v celoti prenese na zavarovalnico.

Zavarovanje običajno vključuje tako lastno škodo zavarovane gospodarske družbe kot tudi kritje odškodninskih zahtevkov tretjih oseb (zavarovanje odgovornosti).

Zavarovanje kibernetske zaščite vključuje naslednje stroške in škode:

Odziv na incident. Stroški IT strokovnjakov, strokovnjakov za upravljanje in varovanje ugleda, stroški izpolnitve zahtev veljavne zakonodaje s področja varstva osebnih podatkov, pravni stroški zoper ukrep informacijskega pooblaščenca ipd.

Stroški vnovične vzpostavitve informacijskega sistema. Stroški za vnovično vzpostavitev podatkov in programske opreme po kibernetskem incidentu v stanje, ki je najbližje stanju pred incidentom.

Odgovornost za kršitve zaupnosti in zasebnosti. Stroški, nastali zaradi odškodninskih zahtevkov tretjih oseb ali zaposlenih, zaradi kršitve varstva podatkov v zvezi z zaupnimi ali osebnimi podatki ali zaradi kršitve veljavne zakonodaje o varstvu osebnih podatkov, in pravni stroški, ob predhodnem soglasju zavarovalnice.

Odgovornost za omrežno varnost. Stroški, nastali zaradi odškodninskih zahtevkov tretjih oseb, zaradi kibernetskega incidenta kraje podatkov ali napada za nedosegljivost oziroma ohromitev storitve (DOS-napad) na računalniške sisteme tretje osebe, ki je povzročen neposredno zaradi zlonamernega dejanja ali zlonamernih programov na informacijskih sistemih zavarovanca, ki jih ni uspel ustaviti, in pravni stroški, ob predhodnem soglasju zavarovalnice.

Obratovalni zastoj. Škoda zaradi izgube kosmatega dobička v obdobju prekinitve poslovanja.

Kibernetsko izsiljevanje. Stroški odkupnine, ki jo plača zavarovanec, če je to predhodno pisno odobrila zavarovalnica ter vse stroške za razrešitev incidenta.

Kibernetski kriminal. Povrnitev nezakonito odvzetih denarnih sredstev.

Zavarovanje kibernetske zaščite vključuje tudi asistenčno pomoč ob incidentu. Zavarovalnica poslovnim strankam s pomočjo IT forenzikov, specialistov za krizno vodenje in komuniciranje ter pravnikov omogoča, na primer, zajezitev incidenta, odstranjevanje vzroka incidenta in vzpostavitev ponovnega delovanja sistemov. Prav tako pripravi analizo primera in priporočila glede nadaljnjih ukrepov s področja informacijske varnosti.

Najboljša zaščita je skrb za informacijsko varnost

Kot rečeno, je zavarovanje kibernetske zaščite dodatni ukrep za večjo varnost poslovanja.

Pred sklenitvijo zavarovanja moramo najprej poskrbeti za ustrezne preprečevalne ukrepe, ki zmanjšujejo možnosti za kibernetski varnostni incident.

Od preventivnih ukrepov, ki so del vsakega vprašalnika zavarovalnic pred sklenitvijo zavarovanja, je namreč odvisno, ali zavarovalnica kritje sploh sprejme in višina zavarovalne premije.

Če povzamemo, so vse gospodarske družbe in organizacije bolj ali manj izpostavljene kibernetskim nevarnostim, zavarovanje kibernetske zaščite pa je pomembno tako z vidika asistence kot tudi zaradi povračila škode.

Zato vam priporočamo, da se posvetujete s svojim zavarovalnim posrednikom, ki vam bo zagotovil neodvisno strokovno pomoč pri analizi ogroženosti in poiskal ustrezno rešitev za prenos kibernetskih tveganj na zavarovalnico.

Avtor: ZZPS