Ponudniki bistvenih storitev zaostajajo pri zavarovanjih kibernetske zaščite

V Agenciji Evropske unije za kibernetsko varnost (ENISA) so pripravili poročilo, v katerem so raziskali izzive, s katerimi se soočajo ponudniki bistvenih storitev v EU, ko želijo pridobiti zavarovanje kibernetske zaščite.

V vzhodni Evropi, kamor je uvrščena tudi Slovenija, samo 12 odstotkov ponudnikov bistvenih storitev sklepa zavarovanja kibernetske zaščite.

Kot razkriva poročilo, si ob trenutnem trendu naraščanja kibernetskih incidentov ponudniki bistvenih storitev zaradi visokih premij in neugodnega kritja ne morejo privoščiti kibernetskega zavarovanja storitev. Gre za podjetja in ustanove, ki se ukvarjajo s preskrbo z vodo, hrano in energijo, zdravstveno oskrbo, mednje pa sodijo še finančni sektor, promet, varstvo okolja ter sektor informacijsko-komunikacijskih sistemov in omrežij.

V raziskavi je sodelovalo 262 ponudnikov bistvenih storitev iz EU, pri čemer jih zavarovalne police za kibernetsko varnost nima kar 74 odstotkov. Za 26 odstotkov anketirancev bi sicer druge zavarovalne police zagotavljale določeno kritje v primeru kibernetskega incidenta, pri čemer pa jih 53 odstotkov takšnega kritja sploh nima, preostalih 22 odstotkov pa ne ve, ali ga ima.

"Pri kibernetski varnosti je ključno zavedanje, da gre za stalno grožnjo, ki so ji podvržena vsa podjetja in posamezniki. Še toliko bolj ranljiva so lahko podjetja in institucije, ki razpolagajo z osebnimi podatki državljanov oziroma so ključnega pomena za življenje ljudi," je povedala Nika Prhaj iz Zavarovalnice Triglav.

Nika Prhaj, Zavarovalnica Triglav
Nika Prhaj, Zavarovalnica Triglav

Raziskava je razkrila, da 56 odstotkov anketirancev meni, da so druge strategije za zmanjševanje tveganj učinkovitejše od kibernetskega zavarovanja. Ena od najbolj pogostih je zavarovanje odgovornosti do tretjih oseb, na primer kritje incidentov pri dobavitelju, zaradi katerih bi bilo prekinjeno poslovanje za zavarovanca.

Igra slepih miši

Kibernetsko zavarovanje je pravzaprav ena od strategij za zmanjšanje tveganj. Prav procesi upravljanja tveganj pa so lahko tudi predpogoj za kibernetsko zavarovanje. Raziskava je pokazala, da ima sicer 77 odstotkov anketirancev vzpostavljen formaliziran postopek ugotavljanja kibernetskih tveganj. Preostalih 23 odstotkov pa takšnega procesa nima vzpostavljenega. Po drugi strani 64 odstotkov organizacij pojasnjuje, da kibernetskih tveganj sploh ne kvantificira. Kljub temu so vsi anketirani izjavili, da imajo vzpostavljene prakse za obvladovanje tveganj in postopek za določanje kontrol.

Še toliko bolj ranljiva so lahko podjetja in institucije, ki razpolagajo z osebnimi podatki državljanov oziroma so ključnega pomena za življenje ljudi.

Finančne izgube najpogostejši motiv za zavarovanje

Najpogostejši motivi za odločitev o sklenitvi zavarovanja so kritje v primeru izgube zaradi kibernetskega incidenta – za 46 odstotkov anketirancev, pri tem se je 19 odstotkov za zavarovanje odločilo zaradi zakonskih zahtev. 11 odstotkov se jih je za zavarovanje odločilo zaradi strokovnega znanja zavarovalnic o obvladovanju tveganj še preden pride do incidentov ter 11 odstotkov zaradi strokovnega znanja pri odzivanju na incident.

Kot pravi Nika Prhaj, k informacijski varnosti veliko pripomore preventivno ravnanje. "Dejstvo pa je, da so kibernetski napadalci pri iskanju poti do informacijskih sistemov vse bolj prefinjeni, zato je pomembno razmišljati tudi o ravnanju in posledicah, če se kibernetski incident zgodi."

Zakaj je sploh smiselno zavarovanje kibernetske zaščite

Podjetje s sklenitvijo zavarovanja kibernetske zaščite pridobi predvsem dodatno zaščito pred finančnimi posledicami morebitnega kibernetskega incidenta in tudi asistenčno pomoč, ko do tega pride. "Odziv podjetja oziroma zaposlenih, ko se zgodi incident, je ključnega pomena. Neustrezen, nepremišljen odziv lahko namreč povzroči še večjo škodo kot incident sam," je poudarila Nika Prhaj.

Če ima podjetje sklenjeno zavarovanje kibernetske zaščite, pa zavarovalnica v sodelovanju s pogodbenimi partnerji, s pomočjo IT-forenzikov, IT-specialistov, strokovnjakov za upravljanje in varovanje ugleda ter pravnikov poskrbi med drugim za zajezitev incidenta, odstranjevanje vzroka incidenta in ponovno vzpostavitev delovanja sistemov. Pripravi tudi analizo primera in priporočila glede nadaljnjih ukrepov s področja informacijske varnosti. Vse to je zlasti v podjetjih, ki so ponudniki bistvenih storitev, tudi zaradi njihove družbene odgovornosti oziroma morebitnega vpliva kibernetskega incidenta na širšo javnost, izjemno pomembno.

"V portfelju sklenjenih tovrstnih zavarovanj imamo tudi podjetja, ki so ponudniki bistvenih storitev, pri čemer je ponudba prilagojena njihovim potrebam in željam glede na ustreznost in zadostnost obstoječe informacijske zaščite," je zaključila Nika Prhaj.

Pri sklenitvi kibernetskih zavarovanj prednjačita zahodna in severna Evropa, kjer ima takšna zavarovanja sklenjenih 45 odstotkov izvajalcev bistvenih storitev, v južni Evropi 39 odstotkov. Daleč najnižja pokritost, le 12-odstotna, pa je v vzhodni Evropi, kamor je uvrščena tudi Slovenija.