Sa porastom broja sajber napada i sve većim štetama, počelo je da se razvija i sajber osiguranje: iako još nije dostiglo pravu meru, predviđa se da će u narednih 5 godina tržište osiguranja od sajber rizika narasti do 20 milijardi dolara. U Srbiju je ova vrsta osiguranja tek „provirila“ – među prvima su je ponudili u kompaniji Wiener Stadtische osiguranje. Sa Sanjom Jovanović, direktorkom Sektora za korporativna osiguranja u ovoj kompaniji, razgovarali smo o tome kakve štete ova polisa može da pokrije, koje su neophodne preventivne mere, i da li nas osiguranje štiti ako zaposleni nehotice ili iz radoznalosti otvori zaraženi link.
Mnoge kompanije i preduzeća su usled pandemije prešla na rad od kuće: takva postavka pružila je nove šanse sajber kriminalcima da uđu u korporativne sisteme i dođu do podataka o poslovanju, računajući na radoznalost pojedinaca kojima se nude sadržaji poput „saznajte koji je lek protiv korona virusa“. Da li polisa osiguranja od sajber rizika podrazumeva i štetu koju bi zaposleni naneo firmi otvaranjem nepoželjnog sadržaja?
Premda su se kompanije relativno brzo organizovale i prilagodile prelasku na rad od kuće, ustanovljena je veća izloženost sajber rizicima usled ovih promena, ali glavni načini za izazivanje sajber incidenata su ostali nepromenjeni – mejlovi sa malicioznim prilozima ili linkovima ka malicioznim sajtovima.
Skorašnja COVID-19 phishing kampanja, bazirana na lažnom predstavljanju pošiljaoca mejla korišćenjem imena i oznake svetske zdravstvene organizacije radi krađe kredencijala, pristupnih šifri i sl, kao i razni drugi mailovi sa raznih adresa u kojima su se nudili deficitarni medicinski proizvodi (verovatno nepostojeći), neki su od primera zloupotrebe situacije i ljudskog straha. Takve kampanje se u većem ili manjem intenzitetu dešavaju stalno, sa različitim stepenom uspeha u zaobilaženju e-mail filtering sistema kompanija.
Otvaranjem zaraženih linkova ili priloga, omogućava se pristup podacima kompanije, odnosno krađa, zloupotreba ili izmena podataka. Polisa osiguranja sajber rizika će u ovim slučajevima pružiti pokriće tako što će nadoknaditi troškove angažovanja IT stručnjaka. Ti troškovi se uglavnom odnose na utvrđivanje obima štete u smislu vrste i broja ugroženih ili izgubljenih podataka, njenog limitiranja i povratka podataka, uklanjanja zlonamernog koda ili virusa i slično. No, ovo je zapravo najblaža finansijska posledica sajber napada i samo mali deo pokrića sajber osiguranja, te kao takav obično nije prvi motiv kupovine polise osiguranja. Naime, iako trajni gubitak podataka kompaniju može mnogo da košta i iako ovaj rizik postaje izraženiji u slučaju rada od kuće usled nemogućnosti dovoljno čestog prenosa podataka na kompanijske servise, za kompaniju je najopasnije ukoliko se na bilo koji način ugroze lični podaci trećih lica. Polisa sajber osiguranja ovde stupa na scenu pružanjem pokrića za troškove angažovanja pravnih savetnika, savetnika za krizne situacije, za troškove obaveštavanja lica čiji su podaci ugroženi ili se sumnja da mogu biti ugroženi, kao i druge troškove nastale sa ciljem očuvanja reputacije kompanije.
Kada se desi sajber napad u preduzeću gde nije postojala kvalitetna softverska zaštita, da li se pokreće pitanje odgovornosti menadžera, i koji je menadžer za to odgovoran (generalni, ili IT, ili risk)? Da li i u tom slučaju polisa osiguranja od sajber rizika pokriva štetu?
Neretko se pokrića iz tzv. finansijskih linija osiguranja međusobno aktiviraju. I sajber osiguranje i osiguranje odgovornosti direktora su upravo iz ovih linija i brojni su primeri njihovog uslovljavanja. Sam sajber incident neće direktno i automatski pokrenuti odgovornost direktora, ali može dovesti do niza događaja koji to mogu. Ukoliko dođe do gubitaka ličnih podataka trećih lica, njihovih imena, brojeva platnih kartica, podataka o zdravstvenom stanju itd. i posledično do ugrožavanja reputacije kompanije, smanjenja poverenja njenih potrošača, do sudskih tužbi i na kraju do gubitka prihoda usled smanjene potrošnje, vrlo je verovatno da će se vlasnici kapitala okrenuti ka menadžmentu i ispitati njihovu odgovornost za sve učinjene aktivnosti, počev od kreiranja softverske zaštite pa do ponašanja u kriznoj situaciji. Troškove odbrane od eventualnih tužbi vlasnika kapitala protiv menadžmenta, pa i samu nadoknadu štete ukoliko se dokaže odgovornost menadžmenta, pokriva polisa osiguranja odgovornosti direktora. Polisa osiguranja sajber rizika će pokriti direktne finansijske posledice sajber incidenta.
Koje mere obezbeđenja firma mora da sprovede da bi uopšte mogla da kupi polisu osiguranja od sajber rizika?
Pre zaključenja ugovora o osiguranju, kompanija zainteresovana za kupovinu polise osiguranja od sajber rizika popunjava upitnik u kojem daje osnovne podatke o svom kompjuterskom sistemu, primenjenoj zaštiti, načinu prenosa i skladištenja podataka, ali i finansijske podatke, informacije o uticaju na redovno poslovanje, o broju i prirodi ličnih podataka trećih lica. Podrazumeva se da je na svakom kompjuteru instaliran anti-virus softver koji se ažurira najmanje jednom sedmično, da se krucijalni podaci kopiraju i skladište na drugoj bezbednoj lokaciji najmanje istom dinamikom, da postoji kontrola mrežnog saobraćaja kao i kompanijska sigurnosna politika, i da je omogućeno njeno sprovođenje.
Šta pokriva polisa osiguranja od sajber rizika?
Pored navedenog, polisa osiguranja od sajber rizika može pružiti pokriće i za tzv. multi-medijalnu odgovornost, kojoj su kompanije bile više nego uobičajeno izložene tokom vanrednog stanja. Protokom vremena slabila je koncentracija zaposlenih koji su radili dva meseca od svojih kuća, što je moglo da dovede do popuštanja praćenja kompanijskih politika, i možda su se kompanijski kompjuteri koristili u privatne svrhe ili su ih ukućani koristili. U takvim okolnostima mogao je da se download-uje neki nedozvoljeni sadržaj, kojim se npr. krše prava intelektualne svojine, zbog čega kompanija može biti tužena.
No, najveća odgovornost svake kompanije leži u obavezi čuvanja ličnih podataka trećih lica i zaposlenih, sprečavanju ili ometanju neovlašćenog pristupa ili neovlašćenog korišćenja kompanijskih resursa, sprečavanju fizičke krađe ili gubitka informacija ili hardvera, sprečavanju nastanka bezbednosnih propusta ili neuspeha u prevenciji lažnih komunikacija projektovanih da prevare korisnike kako bi dali svoje lične podatke. Finansijske posledice ove odgovornosti pokriva polisa sajber osiguranja.
Ukoliko ipak, i pored preduzetih mera, dođe do povrede privatnosti, usled ugroženih bezbednosnih sistema, polisa sajber osiguranja će nadoknaditi iznose novčanih kazni izrečenih na osnovu prekršajnih naloga ovlašćenog državnog organa. U takvim okolnostima se neretko javljaju i troškovi upravljanja kriznom situacijom, a skoro obavezno i troškovi obaveštavanja korisnika i troškovi podrške klijentima, koji su takođe pokriveni polisom sajber osiguranja.
Kompanije koje ne dolaze u kontakt sa velikim brojem ličnih podataka trećih lica, prvenstveno strahuju od gubitaka poslovnih prihoda usled nemogućnosti poslovanja nakon sajber incidenta. Uzročnik takvog prekida rada može biti kako širenje zlonamernog koda ili virusa postavljenog samo sa željom da se nanese šteta, tako i nemogućnost pristupa kompjuterskim sistemima i podacima usled želje da se izvrši iznuda finansijskih sredstava da bi se pristup omogućio. Polisa sajber osiguranja u oba slučaja reaguje, tj. nadoknađuje utvrđenu izgubljenu dobit i plaća troškove iznude ukoliko angažovani IT stručnjaci utvrde da je neophodno, a pod uslovom da su učinjeni svi razumni napori da se utvrdi da sajber iznuda nije sama po sebi prevara, kao i napori da se izbegnu i umanje gubici.
Preuzeto sa portala www.sveoosiguranju.rs