Podjetja so na področju upravljanja s tveganji informacijske varnosti že sedaj izpostavljena globam in kaznim, ki jih zaradi kršitve varstva zaupnosti osebnih podatkov v skladu z zakonom lahko izreče Informacijski pooblaščenec. Ta strošek ni zanemarljiv, saj lahko doseže tudi do 4 odstotkov letnega prometa podjetja. Ob sprejetju novega Zakona o informacijski varnosti, ki sledi direktivi NIS 2 se bo izpostavljenost globam le še povečala.
Vsekakor globe niso edini strošek, ki sledi izvajanju neustreznega upravljanja informacijske varnosti oziroma zagotavljanja zaupnosti podatkov. Tu so še stroški prekinitve poslovanja zaradi kibernetskega incidenta, ponovnega vzpostavljanje poslovanja in odpravljanja posledic incidenta, ki segajo vse do ugleda blagovne znamke in škode, ki jo utrpijo tretje osebe. Seveda pa so tukaj še neposredne finančne škode v primeru oškodovanj z direktorsko prevaro, vrivanja v poslovno komunikacijo ali plačila odkupnine.
SICERT zabeležil porast novih oblik kibernetskih groženj
V Sloveniji zavarovalnice že nudijo zavarovanje kibernetske zaščite, s katerim podjetja prenesejo del finančnih tveganj pri kršitvah zaupnosti podatkov in kibernetske varnosti. V Kibernitju smo na slovenske zavarovalnice povprašali, kakšne produkte nudijo pri zavarovanju kibernetske zaščte. Odgovorili so nam samo z Zavarovalnice Triglav, ki sicer izvaja večino tega posla.
Poleg zmanjšanja finančnih tveganj tudi strokovna pomoč
Med ključnimi prednostmi zavarovanja kibernetske zaščite je po navedbah zavarovalnice asistenčna pomoč, ko pride do incidenta. Gre za pomoč pri prvih korakih, ko podjetje zazna, da je žrtev kibernetskega napada. V Zavarovalnici Triglav so dejali, da je pri teh prvih korakih pomembno predvsem to, da se zavarovanec v primeru kibernetskega incidenta lahko počuti varnega, saj ga strokovnjaki, ki jih zagotavlja zavarovalnica, pravilno usmerjajo v čim bolj optimalno reševanje kibernetskega incidenta.
Zavarovalnica krije tudi določene stroške, med drugim stroške omejitve incidenta, poročila, odprave nezaželenih elementov, kriznega upravljanja, varovanja ugleda, morebitnih kazni, ki jih izreče Informacijski pooblaščenec zaradi kršitve varstva zaupnosti osebnih podatkov, stroške ponovne vzpostavitve sistema in glede na mnenje strokovnjaka tudi stroške odkupnine ter morebitnih nezakonito odvzetih denarnih sredstev.
Kot so izpostavili v Zavarovalnici Triglav je njihovo Zavarovanje Kibernetske zaščite tudi edino, ki povrne globe ali kazni, ki jih lahko izreče Informacijski pooblaščenec.
Kakšna kritja vključuje zavarovanje kibernetske zaščite
V primeru Zavarovalnice Triglav zavarovanje kibernetske zaščite poleg asistence vključuje naslednja osnovna kritja:
- lastna škoda zavarovanca:
- odziv na incident (npr. kritje stroškov strokovnjaka za izvedbo preiskave, stroške svetovanja strokovnjaka za varovanje ugleda, pravne stroške, globe in kazni Informacijskega pooblaščenca zaradi kršitve varstva zaupnosti osebnih podatkov …);
- stroški ponovne vzpostavitve podatkov in programske opreme;
- odškodninski zahtevki tretjih oseb:
- odgovornost za kršitve zaupnosti in zasebnosti (stroški nastali zaradi odškodninskih zahtevkov tretjih oseb ali zaposlenih zaradi kršitve varstva podatkov v zvezi z zaupnimi podatki ali osebnimi podatki );
- odgovornost za omrežno varnost (stroški, nastali zaradi odškodninskih zahtevkov tretjih oseb, zaradi kibernetskega varnostnega incidenta na informacijski sistem zavarovanca, ki ima za posledico poškodovanje, spreminjanje, uničenje, nepooblaščen dostop, razkritje podatkov v informacijskem sistemu tretjih oseb in tudi prekinitev ali poslabšanje informacijskih sistemov tretjih oseb).
Podjetje je lahko še nekoliko mirnejše, če izbere tudi možna dodatna zavarovalna kritja:
- obratovalni zastoj – zavarovanje krije izgubo kosmatega dobička za čas, ko je podjetje prekinilo poslovanje zaradi kibernetskega incidenta;
- kibernetsko izsiljevanje – zavarovalnica krije stroške odkupnine, ki jo plača zavarovanec (če je to predhodno pisno odobrila zavarovalnica), ter vse razumne in nujne stroške za razrešitev kibernetskega izsiljevanja;
- obratovalni kibernetski kriminal – zavarovalnica povrne zavarovancu vsa nezakonito odvzeta denarna sredstva zaradi dejanj kibernetskega kriminala.
Prenizko zavedanje o tveganjih lahko vodi podjetje v katastrofo
Ozaveščenost o kibernetski grožnji po ocenah Zavarovalnice Triglav tudi zaradi odmevnih primerov kibernetskih napadov narašča, vendar je zavedanje o razsežnosti te nevarnosti še vedno premajhno, tako pri posameznikih kot podjetjih in institucijah. Pri kibernetski varnosti je ključno zavedanje, da gre za stalno grožnjo, ki so ji ves čas podvržena vsa podjetja in posamezniki. Še toliko bolj zato ranljiva majhna in srednja podjetja, ki ne vlagajo dovolj sredstev v IT zaščito, in institucije, ki razpolagajo z osebnimi podatki posameznikov oziroma so ključnega pomena za življenje ljudi.
