a

Lorem ipsum dolor sit amet, consectetuer. Proin gravida nibh vel velit auctor aliquet. Aenean sollicitudin, lorem quis bibendum auctornisi elit consequat ipsum.

Working Hours

Monday > Friday: 5am > 5pm
Saturday: 9am > 1pm
Sunday: Closed
Latest News
Spectrum > 18  > Kibernetinių rizikų auditas ir draudimas

Kibernetinių rizikų auditas ir draudimas

Visai neseniai viena Lietuvos draudimo kompanija pranešė pirmoji Lietuvoje teiksianti kibernetinių rizikų draudimo paslaugas. Nors viešojoje erdvėje kibernetinės rizikos jau kuris laikas yra plačiai diskutuojama tema, o tarptautinėse rinkose apstu inovatyvių sprendimų, kaip nuo jų apsisaugoti, Lietuvoje tokios paslaugos dar tik žengia pirmuosius žingsnius. Atsižvelgdami į daugelio klientų susidomėjimą šia tema ir naujai siūlomais produktais, apžvelgsime kibernetinių rizikų draudimo specifiką.
Visų pirma, kas yra kibernetinės rizikos?
Intuityviai visi suprantame, kas yra kibernetinė rizika. Tačiau, kai susiduriama su konkrečiais incidentais ir istorijomis, ne visada lengva atsakyti, ar tai priskirtumėme kibernetiniam  nusikaltimui. Kalbant paprastai, kibernetinė rizika yra galimybė patirti bet kokią finansinę žalą, veiklos sutrikdymą ar žalą reputacijai kylančią iš organizacijos nesugebėjimo apsaugoti savo turimą informaciją, užtikrinti veiklos tęstinumą. Galimi tokių incidentų pavyzdžiai:
  • Tapatybės vagystė – kai piktybiškai ar per klaidą pasisavinami ar atskleidžiami asmeniniai duomenys: kreditinės kortelės numeriai, asmens kodai, socialinio draudimo ar vairuotojo pažymėjimo numeriai ir kt.
  • Vertingos skaitmeninės informacijos vagystė arba duomenų perdavimas: klientų sutartys, sąrašai, verslo sandoriai ir kt.
  • Žmogiškosios klaidos, kai darbuotojai atsitiktinai atskleidžia konfidencialią informaciją
  • Kibernetinis piratavimas, virusai, informacijos sunaikinimas
  • Autorinių teisių pažeidimai
  • Paslaugų trikdymo (DDos) atakos
  • Įrenginių, informacinių sistemų užvaldymas.
Pažangių technologijų laikais informacija yra kaip niekada didelės vertės, taigi bet kuris iš išvardintų nutikimų gali skaudžiai atsiliepti įmonei ir net ją sužlugdyti. Tarp kibernetinių incidentų padarinių rikiuojasi ne tik įmonės veiklos sustabdymas, bet ir išlaidos brangiems teisiniams procesams, bei ilgalaikes pasekmes turintys skandalai žiniasklaidoje, prekinio vardo nuvertėjimas. Dėka naujojo ES Bendrojo duomenų apsaugos reglamento (BDAR), bet kuriai įmonei dirbančiai su Europos sąjungos piliečių duomenimis gali taip pat grėsti milijoninės baudos iš valstybinių institucijų.
Akivaizdu, kad kibernetinės rizikos yra aktualios įvairaus dydžio įmonėms iš visų veiklos sričių. Dauguma šiuolaikinių įmonių vadovų tai suprasdami sparčiai investuoja į pažangius kibernetinio saugumo technologinius sprendimus, tačiau kad ir kiek IT apsaugos priemonių yra įgyvendinama didžiausia grėsme išlieka žmogiškosios klaidos. IBM Cyber Security Index duomenimis, žmogiškosios klaidos yra net 95% kibernetinių incidentų priežastis, todėl negalima pamiršti nuolatinio darbuotojų švietimo ir kompetencijos kėlimo.
Informacijos saugumo mokymai ar kompetencijos kėlimas suteikia darbuotojams galimybę plačiau vertinti situaciją bei laiku atpažinti galimą grėsmę. Įmonės „Elsis IS“ Informacinių sistemų saugumo skyriaus vadovas Tomas Stamulis pastebi, kad pasitaiko atvejų, kai į kibernetinių nusikaltėlių spąstus pakliūna ir patyrę IT specialistai, tačiau jie tokiose situacijose žymiai greičiau supranta, kad buvo apgauti, o tai leidžia skubiai reaguoti ir šalinti padarinius. „Patyrusiems IT specialistams dažniausiai koją pakiša perdėtas pasitikėjimas savimi, taigi norint palaikyti tinkamą darbuotojų žinių ir susikaupimo lygį, įmonei svarbu investuoti į nuolatinį įgūdžių tobulinimą kibernetinio saugumo srityje“, teigia T. Stamulis.
„Elsis IS“ ekspertas taip pat atkreipia dėmesį, kad didelėse įmonėse rengiami veiklos atstatymo ar reagavimo į incidentus planai netenka prasmės, jeigu nėra reguliariai išbandomi, taikant juos įvairiuose scenarijuose, treniruojant darbuotojus tinkamai elgtis stresinėse situacijose. „Patys planai, kaip dokumentai, įmonės nepadaro saugesne. Svarbu, kad darbuotojai ne tik žinotų, kaip elgtis vienoje ar kitoje situacijoje, bet ir sugebėtų tai įgyvendinti praktikoje.“ Stresas tokiose netikėtose situacijose kaip kibernetinė ataka tampa labai svarbiu faktoriumi, o nuolat kintančios grėsmės sukuria poreikį darbuotojus paruošti taip, kad jų sąmonėje atsirastų tinkamas situacijos pažinimas, vertinimas ir elgsena.
Įmonei įgyvendinusiai kibernetinio saugumo priemones, pasirūpinusiai darbuotojų švietimu ir kvalifikacijos kėlimu ne mažiau aktualus išlieka ir kibernetinių rizikų draudimas. Šios trys priemonės atitinka svarbiausius pasiruošimo nenumatytam įvykiui aspektus – prevenciją, realia apsaugą bei padarinių mažinimo priemones. Net, jei įmonė investavo į pasiruošimą kibernetiniam išpuoliui, svarbu, kad būtų aiškios silpniausios veiklos grandys, kurias ir galėtų „užlopyti“ draudimo apsauga.
 „Iš tiesų rinkoje jaučiamas labai didelis susidomėjimas kibernetinių rizikų draudimu, tačiau taip pat susiduriame su problema, kad klientai negali įvertinti, kokia draudimo apsauga yra jiems tinkamiausia. Dažniausios problemos būna dvi: klientai galvoja, kad yra apsidraudę šiuo draudimu, nors iš tiesų kibernetinės rizikos jų polise yra įtrauktos prie nedraudžiamųjų įvykių arba renkasi pigiausią jiems pasiūlytą kibernetinių rizikų draudimo variantą, neįvertinę jam taikomų išimčių ir siauros draudimo apsaugos“ – teigia draudimo brokerių bendrovės „Rinkos spektras“ draudimo brokeris Tomas Juškevičius.
  1. Juškevičius pastebi, kad tokie draudimai kaip kibernetinės rizikos ar profesinės civilinės atsakomybės yra sritys, kuriose iš draudimo brokerio paslaugų galima gauti daugiausiai naudos. Čia svarbu ne tik žinoti kliento poreikius bei turimos draudimo apsaugos apimtis, bet ir būti gerai susipažinus su rinkoje siūlomais produktais bei jų subtilybėmis. „Kibernetinių rizikų draudimą siūlo nemažai užsienio kompanijų ir jų nuolat daugėja. Džiugu, kad tokias paslaugas pradeda teikti ir lietuviškos draudimo bendrovės.“ T. Juškevičiaus teigimu, dauguma tarptautinėje rinkoje siūlomų draudimo produktų yra orientuoti į šias rizikas:
  • Atsakomybę trečiosioms šalims
  • Duomenų atstatymo išlaidas
  • Prarastas pajamas dėl veiklos nutrūkimo
  • Klientų informavimo apie incidentą išlaidas
  • Teisines išlaidas
  • Žalos reputacijai valdymo išlaidas
  • Kibernetinės atakos metu nusikaltėliui sumokėtas išpirkas
  • Krizės valdymo išlaidas
  • Baudas bei kitus po incidento kylančius finansinius įsipareigojimus
Užsienio kompanijos taip pat gali pasiūlyti specialistų pagalbą kibernetinio incidento metu, proaktyvų bendravimą su klientu. „Labai svarbu atkreipti dėmesį į tai, kas draudimo polise numatoma, kaip sąlygos, kurių neišpildžius draudimo apsauga netaikoma. Pavyzdžiui, šiuo metu Lietuvos rinkoje siūlomo kibernetinių rizikų draudimo taisyklėse numatoma, kad klientas privalo nė vėliau kaip per 1 valandą pranešti draudikui apie įvykį bei užtikrinti, kad bent kartą per savaitę būtų kuriamos duomenų atsarginės kopijos, nors tokių reikalavimų netaiko nei naujasis ES reglamentas nei didžioji dauguma užsienio draudikų. Taip pat labai svarbu atkreipti dėmesį į nedraudiminius įvykius – prie tokių neretai būna prirašytos tiek žmogiškosios klaidos, tiek DDos atakos, nors tai yra du pagrindiniai žalų šaltiniai“.
  1. Juškevičius pabrėžia, kad kibernetinių rizikų draudimo rinka tikrai turi ką pasiūlyti, tačiau be profesionalo pagalbos kyla didelė rizika įsigyti tai, ko jums visiškai nereikia. Taigi atsakingai į duomenų apsaugą žiūrinčios įmonės, turėtų investuoti ne tik į IT specialistus, IT sprendimus, bet ir pasirūpinti profesionaliu bei individualizuotu draudimo sprendimu.
Share