Ali res lahko sami pokrijete škodo zaradi hekerskega vdora?

Zakaj je zavarovanje kibernetske zaščite najbolj eleganten in poceni način za odpravljanje posledic hekerskega vdora.

Organizacije imajo ob hekerskem napadu številne skrbi in največkrat tudi neposredno finančno škodo. Ne samo, da morajo komunicirati s svojimi poslovnimi partnerji, kupci in pristojnimi ustanovami, poskrbeti morajo tudi za čim manjše posledice prekinitve poslovanja in zato čimprej povrniti podatke in ponovno vzpostaviti informacijske sisteme.

Majhna in srednja podjetja (MSP) so zaradi omejenih tehničnih in kadrovskih virov za kibernetsko varnost najpogostejša tarča hekerjev. "Napadalci vedo, da je veliko težje vdreti v veliko banko kot v majhno ali srednje podjetje. Pri tem točno vedo, kje so ranljivi in kaj je tisto, brez česar ne morejo delati oziroma od česa je odvisno njihovo poslovanje," je povedal Peter Filip Jakopič, direktor službe za zavarovanje premoženja in premoženjskih interesov pri Zavarovalnici Triglav.

Jakopič meni, da se majhna in srednja podjetja izpostavljenosti še ne zavedajo v dovolj veliki meri. Vzrok za takšno stanje pripisuje nepoznavanju realnega stanja, saj oškodovana podjetja redkokdaj javno objavijo, da so doživela kibernetski napad. Pri tem ocenjuje, da je kibernetskih incidentov mnogo več, kot je prijavljenih SI-CERTu in policiji.

"Napadalci vedo, da je veliko težje vdreti v veliko banko kot v majhno ali srednje podjetje."
- Peter Filip Jakopič, direktor službe za zavarovanje premoženja in premoženjskih interesov pri Zavarovalnici Triglav.

Ne čakajte na incident!

Slovenska majhna in srednja podjetja zelo redko posežejo po zavarovanju kibernetske zaščite, s katero bi omilila posledice kibernetskega napada. Kot je pojasnil Jakopič, po teh zavarovanjih povprašujejo zlasti podjetja, ki so že bila tarča kibernetskih napadov. Prav slednja namreč najbolj vedo, kakšno škodo lahko pri tem utrpijo.

Zavarovanje kibernetske zaščite v osnovi krije škodo, ki nastane kot posledica zlonamernega vstopanja nepooblaščenih tretjih oseb v informacijske sisteme in procese organizacije. Ne krije pa na primer škode zaradi spletnih prevar ali vnosa škodljive programske kode, ki nastane kot posledica lahkovernosti oziroma neznanja zaposlenih. Prav tako ne krije škode padca ugleda.

Peter Filip Jakopič 240"Pokrijemo neposredno škodo, ki je nastala zaradi kibernetskega vdora. Zelo velik poudarek dajemo izvedbi storitev, ko pride do vdora. Poleg tega, da plačamo določene stroške, odgovornostne zahtevke ter izpad prihodka, je najmočnejši del tega produkta podpora, da zavarovancu zagotovimo strokovnjake s področja IT-ja, GDPR-ja in komuniciranja z javnostmi," je razložil Jakopič.

Prav asistenca je največja dodana vrednost, saj je od ustrezne reakcije ob hekerskem vdoru lahko odvisno preživetje podjetja. "Če se pravilno odzoveš, je lahko čisto vse v redu, če pa sprejmeš par napačnih odločitev, si lahko narediš škodo za vse življenje," je poudaril Jakopič.

Zavarovanje kibernetske zaščite krije stroške forenzičnih in sistemskih storitev IT, na primer raziskavo vdora, povrnitev podatkov iz varnostnih kopij, ponovno vzpostavitev poslovnih aplikacij ter prenovo podatkovnih zbirk, integracij in spletnih storitev. Gre torej za lastno škodo podjetja, ki poleg stroškov ponovne vzpostavitve podatkov in programske opreme krije tudi odziv na incident, na primer stroške strokovnjaka za izvedbo preiskave, stroške svetovanja strokovnjaka, pravne stroške in globe Informacijskega pooblaščenca.

"Če se pravilno odzoveš, je lahko čisto vse v redu, če pa sprejmeš par napačnih odločitev, si lahko narediš škodo za vse življenje."

Zavarovalnica pri tem ne more zagotoviti povrnitve vseh sistemov in podatkov, vendar pa zagotavlja kritje stroškov usposobljenih izvajalcev, ki bi jih sicer moral plačati zavarovanec.

"Če je le mogoče, vzpostavimo enako stanje, kot je bilo pred škodnim dogodkom. Tega ne izvajamo sami, pač pa pri tem pogodbeno sodelujemo z dvema specializiranima podjetjema. Izbrali smo ju tudi glede na to, da delujeta na trgih bivše Jugoslavije, kjer imamo svoje zavarovalnice in ponujamo te produkte," je povedal Jakopič.

Drugi del zavarovanja so odgovornostna kritja, če podjetje zaradi vdora prejme odškodninske zahtevke svojih poslovnih partnerjev oziroma njihovih kupcev. Slednje je smiselno predvsem za podjetja, ki zbirajo in obdelujejo osebne podatke.

Z dodatnim kritjem zavarovanje krije izgubo kosmatega dobička za čas, ko je podjetje prekinilo poslovanje zaradi kibernetskega incidenta. Prav tako krije kibernetsko izsiljevanje, in sicer stroške odkupnine, ki jo plača zavarovanec, ter vse razumne in nujne stroške za razrešitev kibernetskega izsiljevanja. Z dodatnim kritjem zavarovalnica povrne tudi vsa nezakonito odvzeta denarna sredstva zaradi dejanj kibernetskega kriminala.

"Podjetja nam dajo poslovne načrte, podatke iz preteklosti ter načrte za tekoča obdobja. Iz teh podatkov vidimo, kakšne prihodke ustvarjajo z določeno dejavnostjo. Gre za enak pristop kot recimo v primeru izpada poslovanja zaradi požara," je razložil Jakopič in opozoril, da takšno zavarovanje ne krije pogodbenih kazni, na primer zaradi zamud pri dobavah kupcem.

Zavarovalne vsote od 50.000 evrov naprej

V Zavarovalnici Triglav, ki je kot prva na slovenskem trgu ponudila zavarovanje kibernetske zaščite, se zavarovalne vsote za majhna in srednja podjetja začnejo pri 50.000 evrih.

Tako Jakopič: "Na trgih, kjer GDPR že dobro funkcionira, gredo zavarovalne vsote v milijone. Za manjša podjetja v Sloveniji, ki trenutno niso izpostavljena GDPR-zahtevkom in jih to zavarovanje zanima izključno zaradi morebitnih stroškov, so zavarovalne vsote od 50.000 do 100.000 evrov.  Glede na naše izkušnje vemo, kakšni so stroški, če pride do takšnega vdora, in jim znamo tudi svetovati."

Letne premije za nižje zavarovalne vsote znašajo od 500 do 1.500 evrov, odvisne pa so od več dejavnikov, med drugim od zavarovalne vsote in stopnje izpostavljenosti podjetja kibernetskim napadom. Oceno tveganja in posledično premijo določijo na osnovi vprašalnika, s katerim na primer preverijo obseg hranjenih osebnih podatkov, kako v podjetju zagotavljajo kibernetsko varnost, kakšna je politika gesel, kako izobražujejo zaposlene in podobno. Tako Jakopič: "Najbolj šibka točka je ravnanje ljudi. Pri vseh napadih, ki jih poznam, je bil vedno v ozadju človeški faktor." V primeru podjetij, ki so tveganjem bolj izpostavljena, na primer zaradi obsega osebnih podatkov ali posebnosti osnovne dejavnosti, lahko izvedejo tudi oceno tveganj, ki jo na stroške zavarovalnice izvede eno od partnerskih podjetij.