Osiguranje internetom
Osiguranje internetom

Vodič za sajber osiguranje i GDPR

14 Jun 2018 Komentara (0)VIB / VIB broker / posrednik u osiguranju / posredovanje u osiguranju / GDPR / zaštita ličnih podataka / Sajber napadi / Troškovi curenja podataka /

Vodič za sajber osiguranje i GDPR
Izvor: VIB
 
Statistika nije nimalo ohrabrujuća, iako se na prvi pogled čini suprotno. Prema jednom od istraživanja sprovedenih na temu curenja podataka (u saradnji IBM Security-ja i Ponenom Instituta), zabeležen je globalni pad troškova incidenata koji uključuju curenje podataka. Međutim, ovaj “uspeh” je samo prividan, jer verovatnoća da ponovo dođe do incidenta curenja podataka iznosi čak 27.7%, a to je 1.5% više nego prošle godine.
 
Nažalost, brojevi ne lažu, a gorepomenuti rezultati upozoravaju da, ukoliko mala i srednja preduzeća koja barataju poverljivim informacijama i podacima o korisnicima ne počnu sa uvođenjem suštinskih promena u strategiju upravljanja rizikom, neće biti u mogućnosti da se izbore sa posledicama nekog od sajber incidenta. Ne govorimo samo o IT kompanijama (koje zahtevaju posebnu vrstu proizvoda), već mislimo na sve one koji koriste Internet i cloud tehnologiju za čuvanje, deljenje i prikupljanje poverljivih podataka. A danas su to, manje-više, svi – od advokatske kancelarije do trgovine.
 
Šta je to sajber osiguranje i kome je takvo osiguranje potrebno? Koji rizici su pokriveni sajber osiguranjem? Koliki su stvarni troškovi incidenata curenja podataka i kako se firme za pružanje ekspertskih usluga mogu zaštititi od rizika? Na ova i još neka pitanja pokušaćemo da damo odgovore u ovom vodiču kroz osiguranje od IT i sajber rizika.
 
Šta je sajber osiguranje?
 
Sajber osiguranje, najkraće rečeno, predstavlja finansijsko pokriće u slučajevima sajber incidenata. U slučajevima kada vaša kompanija pretrpi štetu, sajber osiguranje služi kao pokriće svih materijalnih troškova koji nastaju onog trenutka kada ste izloženi nekom incidentu.
 
Incident najčešće ne pogađa samo vašu kompaniju, već i vaše poslovne veze. Klijent vaše kompanije ima pravo da vas pozove na odgovornost ukoliko dođe do sajber incidenta, a u slučaju da niste osigurani, prateće sudske, administrativne i druge troškove platićete – vi. Za većinu malih ili srednjih biznisa, čak i najmanji trošak sajber incidenta može trajno da zatvori kompaniju. Da ne govorimo o sekundarnoj šteti: narušavanje reputacije, nezadovoljni i oštećeni klijenti, otpušteni zaposleni, ugrožene porodice…
 
Višemilionske novčane štete mogu se nadomestiti jedino uz pomoć adekvatne polise sajber osiguranja. Da li ste i dalje spremni da stavite na kocku sve što ste do sada izgradili zbog starog, dobrog uverenja da, eto, “niste toliki maler”? Više detalja o troškovima sajber incidenata (posebno curenja podataka) pročitajte na ovom linku.
 
Kome je potrebno sajber osiguranje?
 
U idealnom slučaju, sajber osiguranje je potrebno svakome ko je u dodiru sa poverljivim informacijama. Tu spadaju: lični podaci, brojevi kreditnih kartica, tekućih računa, podaci o zdravstvenim ispravama, podaci o vozačkoj dozvoli i svi ostali podaci koji se vezuju za identitet određene osobe ili njeno finansijsko i zdravstveno stanje (podaci o i-mejl adresama, brojevima telefona, poštanskim adresama, itd.). Ukoliko vaša kompanija čuva veliki broj ovakvih podataka bilo na hardveru ili na cloud-u, budite sigurni da ćete, u nekom trenutku, biti na meti hakera. Pročitajte naš tekst o prošlogodišnjem incidentu na NBS i šteti koju je prouzrokovao na ovom linku.
 
Postoji čitav niz industrija koje su pogodna meta za hakere. Čak iako se vaš biznis na prvi pogled ne bavi čuvanjem informacija ili ne posedujete velike baze podataka, verovatnoća da ćete biti na meti napada se ne umanjuje. Danas sve kompanije rukuju sa nekom količinom podataka; ipak, među najpopularnijima za hakere i najugroženijima nalaze se:
 
Banke
Računovodstvene agencije
Zdravstvene ustanove
Trgovine (naročito e-shopovi)
 
Šta pokriva polisa sajber osiguranja?
 
Mogućnosti koje pruža polisa sajber osiguranja su brojne, s obzirom na kompleksnost slučajeva koji se takvom polisom pokrivaju. Čak i najmanji sajber incident sadrži niz događaja koji se odnose na saniranje posledica, pravne troškove, administrativne beleške, angažovanje eksperata za procenu i utvrđivanje štete, dodatno angažovanje zaposlenih, obaveštavanje klijenata, marketing… Lista se nastavlja, a ono što je zajedničko za sve aktivnosti tokom i nakon incidenta jeste – cena.
 
Teško je da ćete moći da pokrijete sve troškove u novonastaloj situaciji, a da i dalje održavate posao i kompaniju likvidnim. Ukoliko niste uveli odgovarajuću polisu sajber osiguranja, ne računajte da ćete se “izvući” iz ma kog incidenta.
 
Sajber osiguranje i GDPR
 
Iako je zvanično gdpr (Opšta uredba o zaštiti podataka o ličnosti ili u našoj verziji Zakon o zaštiti podataka o ličnosti) stupio na snagu 25. maj 2018. godine, stručna javnost uveliko raspravlja o strukturi ovog dokumenta, načinu njegove primene, ali i trenutnim nedostacima prakse čuvanja i deljenja podataka o korisnicima. Šta se događa sa našim ličnim podacima u ovom trenutku, kada primena nije ni na pomolu? Kako se zaštititi od zloupotreba podataka u sajber prostoru? Da li postoji efikasno rešenje za one koji su oštećeni? Jedan od mogućih načina jeste sajber osiguranje, odnosno osiguranje od IT i sajber rizika, koje pruža pokriće u slučaju nastanka štetnog događaja. Ali, šta kada nema ni polise sajber osiguranja?
 
Ne treba očekivati da će gdpr automatski zaustaviti sveopštu poplavu incidenata curenja podataka, ali će – prema onome što se moglo pročitati – omogućiti da se kontrola čuvanja podataka korisnika strože sprovodi unutar samih kompanija. Ipak, bez odgovarajuće strategije upravljanja IT i sajber rizicima, kompanije neće biti u stanju da se izbore sa sajber rizicima, barem ne na duže staze. Pored toga, nužno je raditi na stalnom edukovanju zaposlenih, na podizanju bezbednosnih standarda i stalnom usavršavanju protokola unutar kompanije, kao i u kontaktu sa trećim licima. Time se može značajno umanjiti rizik od sajber incidenta, što je tek korak bliže ka dugoročnoj prevenciji od rizika unutar sajber univerzuma.
 
Zbog veoma široke primene – gdpr se ne odnosi samo na građane EU već i na kompanije koje posluju na teritoriji EU ili korisite podatke građana EU sa neke druge destinacije – stručnjaci smatraju da će se (konačno) stati na put nedovoljno efikasnom i rizičnom načinu čuvanja, obrade i deljenja poverljivih podataka korisnika. U slučaju da se ustanove propusti u odnosu na regulativu gdpr, propisane su i višemilionske kazne. Zamislite samo situaciju u kojoj se vaša kompanija našla na meti sajber kriminalaca, šteta daleko prevazilazi vaše finansijske mogućnosti, a usput se ustanovi i propust u odnosu na Zakon o zaštiti podataka o ličnosti? Da, gotovo je nemoguće prevazići takav udar realnosti. Zato osiguranje od IT i sajber rizika može pomoći dok procedura oko implementacije gdpr-a ne započne, prvenstveno u kontroli rizika od sajber incidenata i profesionalne odgovornosti, odnosno nadoknadi finansijske štete nastale usled nekog od rizičnih događaja. U slučaju gdpr Srbija, naše kompanije treba da se posvete uvođenju neophodnih inovacija, da bi već sada obezbedile određeni stepen zaštite i pripremile se za Zakon o zaštiti podataka o ličnosti.
 
Sajber osiguranje i curenje podataka
 
Incidenti koji uključuju zloupotrebu ili krađu ličnih podataka nisu ni približno u opadanju, ali ono što još više zabrinjava jeste nedovoljna informisanost o načinima zaštite podataka u poslovnom okruženju. Pored toga što mnoge kompanije i dalje nemaju adekvatno obučeno osoblje i stručnjake koji bi se bavili praćenjem prikupljanja, čuvanja i deljenja podataka, jako je mali broj onih koji curenje podataka vide kao rizik za svoju kompaniju. Prema pomenutom istraživanju, najčešće mete napada jesu medicinske i finansijske ustanove, koje su u posedu velikog broja podataka o ličnosti. Da je ekonomija obima efikasan način manipulisanja podacima pokazalo se u nebrojenim sajber incidentima koji nasumično počinju na jednom kraju sveta i šire se na drugi.
 
Međutim, da li su zaposleni u firmama dovoljno edukovani o curenju podataka? Da li postoji način da se ovakvi incidenti drže pod kontrolom, barem unutar kompanije? Ili će gdpr Srbija imati nebrojeno mnogo posla oko sankcionisanja neodgovornih kompanija? Stalna edukacija i podizanje bezbednosnih protokola na više standarde omogućiće i širu svest zaposlenih o važnosti pravilnog čuvanja poverljivih informacija. Podjednako je važno podići stepen zaštite i u sajber i u realnom okruženju, a neki od prvih koraka je izrada protokola o rukovanju poverljivim podacima unutar kompanije u kojem će se odrediti ko od zaposlenih može da dođe u dodir sa poverljivim informacijama. Pojedine kompanije uveliko zapošljavaju i Data Security Officer-a, stručnjaka koji će biti zadužen za sprovođenje strategije zaštite podataka i za kontrolu poštovanja procedura unutar kompanije.
 
Troškovi curenja podataka
 
Poznato je da su tužbe za greške i propuste usmerene na kompanije jedan od najčešćih razloga koji dovode do finansijskog kraha kompanije. Troškovi se odnose ne samo na takse, odštetu ili administrativne troškove, već i na troškove povraćaja reputacije, oglašavanja nakon incidenta, obaveštenja korisnika, pa i angažovanja dodatnih stručnjaka i zaposlenih u kriznim situacijama. Prema iznosu troškova u ovoj godini, a koji se odnose na pomenute radnje, na prvom mestu su SAD, gde je i mogućnost pojave incidenata curenja podataka najviša. Sa druge strane, Kanada, Nemačka i Francuska smatraju se zemljama koje su izložene najmanjem riziku od ponavljanja curenja podataka, a troškovi koji prate jedan ovakav incident višestruko su manji u odnosu na SAD. To su rezultati pomenutog istraživanja sprovedenog u saradnji IBM Security-ja i Ponenon Instituta.
 
Kao i svako osiguranje, i osiguranje od IT i sajber rizika donosi najbolji rezultat tek kada je deo opšte strategije upravljanja rizicima; kao pojedinačno rešenje deluje adekvatno tek kada nastupi štetni događaj, ali ne garantuje da će se rizik od ponovnog javljanja incidenta umanjiti. Sve dok kompanije koje se bave prikupljanjem i obradom podataka o ličnosti ne posvete strukturnom rešavanju problema sajber bezbednosti, čak i incident najmanjeg obima može naneti veliku štetu ne samo kompaniji, već i njenim klijentima. U tom smislu, neophodno je razmotriti opciju uvođenja polise osiguranja od IT i sajber rizika. U slučaju nastanka štetnog događaja, nosioci polise mogu da računaju da će pretrpljena šteta biti ublažena i da će se njihovo poslovanje oporaviti od incidenta brže nego u slučaju nedostatka odgovarajućeg pokrića.
 
Ono što je važno naglasiti jeste da osiguranje samo po sebi ne može biti zamena za konstantno edukovanje zaposlenih unutar kompanije o mogućnostima i načinima koji dovode do sajber incidenta. Pošto se radi o okruženju koje je u neprestanom razvoju, potrebno je biti u toku sa aktuelnim strategijama i dobrim praksama koje obezbeđuju podatke korisnika i smanjuju mogućnost da dođe do zloupotrebe.

Pošaljite komentar

Prijavite se na našu mejling listu

Želite da povremeno dobijate aktuelne informacije iz oblasti osiguranja?