Zavarovanje kibernetske zaščite

Kibernetska ogroženost podjetij se zaradi hitrega tehnološkega napredka močno povečuje. Tarča napadov so podjetja vseh vrst in velikosti. V letu 2020 je bilo po podatkih SI-CERT (nacionalni odzivni center za kibernetsko varnost) v Sloveniji obravnavanih več kot 2.800 incidentov. Napadi so vedno bolj sofisticirani, njihovo razreševanje pa zahteva strokovna tehnična znanja in velikokrat tudi mednarodno sodelovanje.

Napadi na podjetja so stalnica; predvsem manjša in srednje velika podjetja informacijski varnosti še vedno ne posvečajo dovolj pozornosti oz. za to nimajo toliko sredstev, kar spletni goljufi uspešno izkoriščajo – v več kot 40 odstotkov načrtovanih napadov so tarče kibernetskega kriminala mala in srednja podjetja do 250 zaposlenih. (Vir: Symantec.)

Gre za napade, ki lahko povzročijo visoko finančno škodo ter za več dni onemogočijo poslovanje. Finančne posledice so lahko več milijonov EUR. Tveganja, da lahko postane tarča kibernetskega napada, ne bi smelo prezreti nobeno podjetje.

Kako upravljati kibernetska tveganja?

Osnova so ustrezni varnostni ukrepi kot npr. protivirusni programi, varnostne kopije podatkov, skrb za varnost informacijskega sistema/omrežja, posodabljanje programske opreme ipd.. Vedno pomembnejšo vlogo pa dobiva tako imenovano zavarovanje kibernetske zaščite. Ozaveščenost o tem tveganju raste, kar je posledica številnih napadov, ki postajajo vedno bolj sofisticirani, zahtev regulatorjev po razkritju napadov in skrbi podjetij za lastni premoženjski interes.

Kibernetsko zavarovanje za podjetja lahko predstavlja pomembno dodatno zaščito pred finančnimi posledicami kibernetskega napada, saj se tveganje delno ali pa v celoti prenese na zavarovalnico.

Zavarovanje običajno vključuje tako lastno škodo zavarovanega podjetja kot tudi kritje odškodninskih zahtevkov tretjih oseb (zavarovanje odgovornosti):

• Odziv na incident:stroški IT strokovnjakov, strokovnjakov za upravljanje in varovanje ugleda, stroški izpolnitve zahtev veljavne zakonodaje s področja varstva osebnih podatkov, pravni stroški zoper ukrep informacijskega pooblaščenca ipd.
• Stroški vnovične vzpostavitve sistema:stroški za vnovično vzpostavitev podatkov in programske opreme po kibernetskem incidentu v stanje, ki je najbližje stanju pred incidentom.
• Odgovornost za kršitve zaupnosti in zasebnosti:stroški, nastali zaradi odškodninskih zahtevkov tretjih oseb ali zaposlenih, zaradi kršitve varstva podatkov v zvezi z zaupnimi ali osebnimi podatki ali zaradi kršitve veljavne zakonodaje o varstvu osebnih podatkov, in pravni stroški, ob predhodnem soglasju zavarovalnice.
• Odgovornost za omrežno varnost:stroški, nastali zaradi odškodninskih zahtevkov tretjih oseb, zaradi kibernetskega incidenta kraje podatkov ali napada za nedosegljivost oziroma ohromitev storitve (DOS-napad) na računalniške sisteme tretje osebe, ki je povzročen neposredno zaradi zlonamernega dejanja ali zlonamernih programov na informacijskih sistemih zavarovanca, ki jih ni uspel ustaviti, in pravni stroški, ob predhodnem soglasju zavarovalnice.
• Obratovalni zastoj:škoda zaradi izgube kosmatega dobička v obdobju prekinitve poslovanja.
• Kibernetsko izsiljevanje:stroški odkupnine, ki jo plača zavarovanec (če je to predhodno pisno odobrila zavarovalnica), ter vse stroške za razrešitve incidenta.
• Kibernetski kriminal:povrnitev nezakonito odvzetih denarnih sredstev.

 

Asistenca za hitro ukrepanje ob incidentu

Zavarovanje kibernetske zaščite za podjetja vključuje tudi asistenčno pomoč ob incidentu. Zavarovalnica tako strankam v sodelovanju s pogodbenimi partnerji in s pomočjo IT-forenzikov, specialistov za krizno vodenje in komuniciranje ter pravnikov omogoča, na primer, zajezitev incidenta, odstranjevanje vzroka incidenta, vzpostavitev delovanja sistemov ter pripravi analizo primera in priporočila glede nadaljnjih ukrepov s področja informacijske varnosti.