Your browser is not supported for the Live Clock Timer, please visit the Support Center for support.
Do góry

Na cyberzagrożenia – cyberubezpieczenia

Prowadząc przedsiębiorstwo skupiamy się na ryzykach biznesowych i prawnych. Spektrum zagrożeń cybernetycznych, choć z dnia na dzień wydaję się większe, to mimo wszystko większość zarządzających firmami sektora MŚP postrzega to jako problem dużych firm.

 

Jednak najnowsze statystyki podają, że właśnie firmy MŚP stanowią cel dla 59 procent ataków cybernetycznych. I tak:

41 procent – duże przedsiębiorstwa (+2500 pracowników),

25 procent – średnie (251-2500 pracowników),

34 procent – małe (1-250 pracowników).

W analizie cyberryzyk pomoże nam podział na podstawowe obszary branżowe.

 

Cyberryzyka branżowe

Sektor prawny i usługi doradcze

Nie ma nic prostszego niż atak na dużą firmę przez jego doradcę. To w jego archiwach znajdują się przecież wszystkie kluczowe informacje o firmie. Poufne informacje zawierają nie tylko dane osobowe pracowników, ale know-how firmy. Często od razu zidentyfikowane wąskie gardła korporacji, prawne sposoby i rozwiązania. Łatwiej więc włamać się do prawnika i wykraść dane jego Klienta, niż przebijać się przez zapory docelowego klienta.

Przemysł, produkcja i wytwórstwo

Tu na dziś jest największe wyzwanie. Uważa się, że ataki kierowane są na dane osobowe lub know-how firmy. A przecież liniami technologicznymi zarządzają systemy informatyczne. Wprowadzenie wirusa inicjującego zmiany czy blokadę choćby małego elementu procesu może zablokować produkcję lub wprowadzić zmiany, które odkryjemy dopiero za jakiś czas albo co gorsza z reklamacji klienta końcowego. Dlatego właśnie przed firmami produkcyjnymi stoi identyfikacja konkretnych zagrożeń i odpowiednie zabezpieczenie systemów sterujących automatyką.

Opieka zdrowotna

Średnio kradzież jednego rekordu dotyczący jednego pacjenta obejmujący naruszenie danych osobowych, przestój w działalności, szkody wizerunkowe i straty finansowe to koszt ponad kilkuset złotych. Nakłady na udaremnienie tegoż ataku to kilkadziesiąt złotych za jeden rekord.

Usługi finansowe

Po serii ataków w latach 2014-2015 inwestycje firm tego sektora spowodowały, że poziom zabezpieczeń mocno się poprawił. Świadomości pracowników i akumulacja priorytetów zarządów na bezpieczeństwo danych klientów sprawiała, że większość ataków udaremnianych jest na etapie rekonesansu hakerskiego.

 

Techniki i taktyki

Technicznie problem cyberryzyk można podzielić na dwie strefy: informatyczną i techniczną.

Strefa informatyczna to ryzyka związane z przetwarzaniem danych, nielegalnym ujawnieniem, kradzieżą, nieuprawnionym dostępem do systemu, wymuszeniami związanymi z blokadą lub ujawnieniem wrażliwych danych. Osoby, które mogą się dopuścić tych czynów, to zawodowi hakerzy, amatorzy mocnych nielegalnych wrażeń, a także pracownicy danej organizacji. Jeżeli zatem dojdzie do wymienionych naruszeń, konsekwencje dla przedsiębiorstwa mogą mieć charakter związany z:

  • odpowiedzialnością cywilną,
  • odpowiedzialnością administracyjną,
  • odpowiedzialnością karną,
  • kosztami identyfikacji problemów, zarządzeniem incydentami,
  • kosztami odtworzenia danych i wprowadzenia zabezpieczeń ulepszających.

Druga to sfera techniczna. To fizyczna blokada sprzętu powodująca zatrzymanie produkcji oraz koszty rzeczowe i osobowe. Przestępcy, których celem jest kradzież i sprzedaż danych lub wymuszenie cybernetyczne, wykorzystują następujące taktyki hakerskie:

  • ransomware – to oprogramowanie, które po wniknięciu do systemu komputerowego, powoduje natychmiastowe zaszyfrowanie jego zawartości przez co dostęp do niego możliwy jest po zapłaceniu okupu, wyrażonego w wirtualnej walucie. Haker grozi usunięciem danych albo ich upublicznieniem. Zaatakowanemu grozi to odpowiedzialnością odszkodowawczą, administracyjną, szkodami reputacyjnymi oraz finansowymi w przypadku ujawnienia tajemnic handlowych konkurencji;
  • łowienie informacji i podszywanie się (phishing and spoofing) – sprawca wysyła do określonej grupy odbiorców wiadomość elektroniczną, w której podszywa się pod instytucję zaufania publicznego w celu otrzymania od odbiorcy cennych danych (haseł do logowania, numerów transakcji) lub nakłania do wysłania wśród pracowników określonych komunikatów;
  • incydenty odmowy dostępu (DoS) – to sytuacja polegająca na zalaniu sieci określonego użytkownika wiadomościami SPAM w liczbie wyczerpującej zdolność obliczeniową systemu. To prowadzi do przeciążenia systemu lub sieci i w efekcie blokuje możliwość efektywnej pracy na nim lub blokuje go całkowicie.

Odpowiedzią na powyższe wyzwania, które wynikają nie tylko z praktycznej ochrony firmy, ale przepisów prawa zawartych w RODO i ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC), są cyberubezpieczenia. Istnieją duże podobieństwa KSC i RODO. Obie wymagają działań opartych na ocenie oraz analizie ryzyka. KSC dotyczy tylko firm wybranych, tak zwanych firm kluczowych dla gospodarki jak ochrona zdrowia, podmioty finansowe, infrastruktura wodna i transportowa, usługi internetowe. RODO dotyczy każdego przedsiębiorstwa.

 

Prywatność

W kwestii ryzyk związanych z wyciekiem danych ubezpieczenia cybernetyczne pozwalają na objęcie tych elementów ryzyka, które dotyczą odpowiedzialności za ich ujawnienie lub utratę lub po prostu ujawnienie prywatności konkretnych osób fizycznych. Tu mowa jest nie tylko o zapłacie zadośćuczynienia lub odszkodowania osobom, których dane zostały bezprawnie ujawnione, ale wszystkich kosztów działań, do których zobowiązana jest organizacji celem zminimalizowania negatywnych konsekwencji. Przykład: obowiązek poinformowania pisemnie każdej z osób, której dane wyciekły, usuniecie owych danych ze wszystkich miejsce w które trafiły, infolinia dla poszkodowanych.

 

Nadzór regulatora

W momencie zaistnienia incydentu i zgłoszenia go do organu nadzoru należy się liczyć ze wszczęciem postępowania. Kodeks karny przewiduje przestępstwa przeciwko bezpieczeństwu informacji, a brak nadzoru nad danymi czy doprowadzenie do ich wycieku może zostać zakwalifikowane właśnie jako przestępstwo. Niestety, naturalna konsekwencja egzekwowania przepisów może doprowadzić do nałożenia kar administracyjnych. Zarówno one, jak i cała pomoc prawna mająca na celu obalenie zarzutów lub ich zminimalizowanie, mogą być objęte ochroną ubezpieczeniową.

 

Informatyka śledcza

Pojawienie się nieuprawnionego dostępu do zasobów informatycznych firmy to w efekcie konieczność zatrudnienia specjalisty. Jego głównym zadaniem będzie nie tylko zabezpieczenie systemu, ale zanalizowanie błędów, które doprowadziły do włamania i prześledzenie jego skutków. Tym zajmują się informatycy śledczy i raczej nikt nie zatrudnia ich na stałe. To też sprawia, że zewnętrzny konsultant nie ma obawy przed obnażeniem zidentyfikowanych błędów czy zaniechań, bo jest spoza organizacji. Taki typowy harmonogram prac ekipy śledczych konsultantów obejmuje:

  • identyfikacje zainfekowanych stacji roboczych, serwerów i analizę śladów włamania,
  • ustalenie sposobu zabezpieczenia danych,
  • identyfikacje miejsc, do których haker miał dostęp i metody jakiej użył,
  • spisanie historii poczynań atakującego na systemach klienta, ale również czy korzystał z innych systemów, jakich i gdzie.

Całość kosztów wymienionych działań może być pokryta z cyberpolisy.

 

Public Relation

W międzyczasie, kiedy powiadamiamy organy nadzoru, poszkodowanych klientów, zabezpieczamy systemy i szukamy sprawców, powinniśmy zadbać o relacje. Każdy popełnia błędy, ale wartością jest wyjście z sytuacji z zachowaniem twarzy. Odpowiednie komunikaty, zachowanie pozytywnych relacji w mediach to zadanie agencji PR. Ich koszt po zaaprobowaniu planu działań również wchodzi w zakres ochrony ubezpieczyciela.

 

Cyberwymuszenie

Na koniec odniosę się do przykładu ceberataku na firmę księgową. Zablokowanie systemu obsługującego dziesiątki firm, jej klientów i szantaż sprowadzający się do wymuszenia na firmie w ciągu 5 godzin wpłaty za podanie kodu zwalniającego blokady. To cyberwymuszenie, czyli wiarygodna groźba wprowadzenia złośliwego oprogramowania lub zakłócenie pracy organizacji.

Konieczność poniesienia takiego kosztu jest ewidentną szkodą firmy. Dając w polisie taką ochronę, ubezpieczyciel zastrzega sobie wypłatę za jego uprzednią zgodą. Na pierwszy rzut oka budzi to zastrzeżenia przedsiębiorstw co do skłonności ubezpieczyciela do wypłaty, jednak z drugiej strony, jeżeli nie podejmie takiej decyzji, może zapłacić znacznie więcej w wyniku spełnienia groźby. Sens ekonomiczny zwykle bierze górę.

 

 

Na co zwracać uwagę

Wszystkie wspomniane elementy trzeba brać pod uwagę. Nie każdy ubezpieczyciel ma doświadczenie w szybkim i efektywnym podejmowaniu decyzji i zdolność ubezpieczenia zidentyfikowanych przez nas ryzyk. Dlatego też każda firma przy wsparciu doświadczonego brokera powinna przeanalizować potencjalne zagrożenia oraz dostosować wewnętrzne procedury, które następnie można pokryć ochroną ubezpieczeniową. Głównymi czynnikami oceny ryzyka będą okoliczności związane z bezpieczeństwem sieci komputerowej konkretnej, ubezpieczonej firmy.

Badając bezpieczeństwo sieci u klienta broker powinien uzyskać informację o infrastrukturze IT: wieku sprzętu, częstotliwości modernizacji, technologii przesyłu danych i co najważniejsze położenia, rodzaju i właściciela serwerów służących do przechowywania danych. Aktualności i oryginalności systemów operacyjnych i programów używanych w toku wykonywanej działalności. Po infrastrukturze badamy: wymagania stawiane pracownikom obsługującym systemy, następnie procedury zmiany haseł, dostęp osób postronnych do sprzętu, zakaz odbierania korespondencji pochodzącej od nieznanych adresów, a na koniec informację o profilu działalności i zakresie terytorialnym.

Czy bezpieczny system istnieje? Raczej nie, ale można się przygotować, żeby być zabezpieczonym.

 

Autor artykułu: Grzegorz Waszkiewicz

Źródło zdjęć: Gazeta Małych i Średnich Przedsiębiorstw

Gazeta Małych i Średnich Przedsiębiorstw Gazeta MSP jest miesięcznikiem ekonomicznym skierowanym do właścicieli oraz osób zarządzających firmami z sektora małych i średnich przedsiębiorstw. Gazeta dostępna jest na rynku od 17 lat. Misją Gazety MSP jest dostarczanie przedsiębiorcom oraz osobom ...