Publikacijos
Kibernetinis saugumas: kaip apsaugoti įmonę nuo reikšmingų finansinių nuostolių
2019-11-28 | StraipsnisPasauliniame kibernetinio saugumo indekse Lietuva per dvejus metus atliko milžinišką šuolį ir pakilo iš 57-os į 4-ą vietą. Tačiau toks didžiulis šuolis saugumo verslui, deja, neužtikrina. Pasak vienos iš Lietuvoje lyderiaujančių verslo draudimo brokerių „IVP Partners“ atstovų, pasaulinių apklausų rezultatai rodo, kad verslininkai kibernetines grėsmes ir politines rizikas įvardija kaip aktualiausias jų verslo tęstinumui.
„Dirbdami su verslo organizacijomis valdome didelius konfidencialios informacijos kiekius, todėl manome, kad kibernetinis saugumas nebegali būti tik IT ir personalo padalinių rūpestis. Įvertinę galimas grėsmes ir nenorėdami rizikuoti savo bei klientų reputacija, priėmėme strateginį sprendimą – įdiegti ir sertifikuoti informacijos valdymo sistemą pagal tarptautinį standartą ISO/IEC 27001. Šiandien norime ne tik parodyti atsakingą savo požiūrį į informacijos saugą, bet ir atkreipti kitų įmonių dėmesį į galimų rizikų įtaką verslui ir jo tęstinumui“,- kalbėjo „IVP Partners“ vadovaujantis partneris Rimantas Chaleckas.
Šiemet „IVP Partners“ sulaukė ir svarbaus savo veiklos bei kompetencijų įvertinimo – įmonė tapo vienos iš trijų didžiausių pasaulyje draudimo brokerių bendrovių „Willis Towers Watson“ aptarnavimo tinklo nare. Tarptautiniai partneriai kibernetinį saugumą taip pat įvardina kaip vieną iš prioritetinių verslo sričių.
Smulkus ir vidutinis verslas – kibernetinių atakų taikinys
Nors didelio kibernetinių incidentų skaičiaus augimo pastaraisiais metais nematyti, specialistai, vertindami kibernetines grėsmes, akcentuoja sparčiai augantį kompleksinių incidentų skaičių. Naujausia Nacionalinio kibernetinio saugumo būklės ataskaita rodo, kad Lietuvoje net 41 proc. išaugo kompleksinių atakų skaičius ir padaugėjo nusikaltimų, nukreiptų prieš privataus verslo įmones. Ypač patrauklus programišių grobis – smulkiojo ir vidutinio verslo subjektai, kurių IT sistemos lengviau pažeidžiamos dėl skiriamo mažesnio dėmesio ir resursų kibernetiniam saugumui. Tuo tarpu, šių įmonių turima informacija ne mažiau vertinga nei didžiųjų verslo žaidėjų.
Tačiau ne vien spragos apsaugos sistemose kelia pavojų: Valstybinės duomenų apsaugos inspekcijos (VDAI) duomenimis, dažniausia IT sistemų pažeidimo priežastis yra žmogiškoji klaida, nes dauguma kibernetinių atakų yra socialinės inžinerijos pobūdžio ir vykdomos elektroniniu paštu. Nuo 2018 m. gegužės darbuotojų klaidos nulėmė virš 50 proc. asmens duomenų saugumo pažeidimo atvejų, o paveiktų žmonių skaičius siekė net 163 tūkstančius.
Pasaulyje lyderiaujančios IT saugumo įmonės SOPHOS tyrimo rezultatai teigia, kad 2 iš 3 organizacijų 2018 metais patyrė kibernetines atakas, nors 9 iš 10 IT padalinių vadovų įmonių kibernetinį saugumą vertino kaip šiuolaikišką. Klausimą „ar ir mano verslas gali tapti kibernetinių nusikaltėlių taikinys?“ jau ir Lietuvoje reikėtų keisti „ar aš esu tam pasiruošęs?“. Kibernetinių rizikų draudimas – viena efektyviausių priemonių sumažinti kibernetinių nusikaltimų pasekmes.
Būdas apsisaugoti ir nuo atakų, ir nuo darbuotojų klaidų
Plačiąja prasme Kibernetinių rizikų draudimas apsidraudusiai įmonei atlygina trečiųjų šalių piktavališkais veiksmais sukeltą žalą ir išlaidas teisinei gynybai nuo nepagrįstų ieškinių. Taip pat ne mažiau svarbu, kad padengiami darbuotojų netyčiniais veiksmais, klaidomis, dideliu neatsargumu padaryti nuostoliai, kai nutekinami didelės apimties asmens duomenys ir gaunami klientų reikalavimai padarytą žalą atlyginti. Reikia nepamiršti, kad BDAR įpareigoja ne vėliau kaip per 72 val. informuoti visus savo klientus ne tik apie faktinį, bet ir apie įtariamą duomenų nutekinimą – šią prievolę ir išlaidas perimtų draudikas. Be to, VDAI po kibernetinio incidento gali skirti net iki 20 milijonų arba iki 4% praėjusių metų įmonės apyvartos dydžio baudą. Kibernetinių rizikų draudimas padengia ir gautas baudas, tačiau tik tas, kurios skirtos po kibernetinio incidento, o ne gautos kaip įmonės planinės kontrolės pasekmė.
Kibernetinio incidento atveju itin svarbi greita reakcija, tačiau statistika rodo, jog su pažeidimais susidūrusios įmonės apie jį sužino tik vidutiniškai po 13 valandų nuo incidento pradžios. Apsidraudusiai įmonei draudimo bendrovė ne vėliau kaip per 1 valandą nuo faktinio ar įtariamo kibernetinio incidento ar darbuotojo klaidos skiria vietinę pagalbos komandą, susidedančią iš IT, teisininkų, viešųjų ryšių profesionalų, kad būtų skubiai ištirtos įvykio priežastys, aplinkybės ir numatyti tolimesni veiksmai krizės suvaldymui. Dažnu atveju įsilaužėliai mainais už pavogtus duomenis siekia gauti išpirką, tačiau ją sumokėjus nėra garantijos, kad duomenys bus sugrąžinti, o jų sugrąžinimas nebūtinai garantuoja, kad duomenų kopijos nėra perduotos trečiosioms šalims. Suvaldyti krizinę situaciją pačiai įmonei gali trūkti kompetencijos ir patirties, todėl savo sričių specialistai tai gali atlikti greičiau ir efektyviau. Draudžiantis kibernetinių rizikų draudimu yra galimybė papildomai apdrausti ir verslo sutrikimo dėl kibernetinio incidento riziką.
Kaip teigia „IVP Partners“ pardavimų projektų vadovė Rasa Kulyčienė, kiekvienam klientui yra siūlomi individualūs draudimo rizikų padengimo sprendimai. Jie priklauso nuo veiklos pobūdžio, apimčių, valdomų duomenų skaičiaus, naudojamų kibernetinio saugumo procedūrų ir pageidaujamos draudimo sumos bei rizikų. Klientas, norintis gauti draudimo pasiūlymą, turi užpildyti paraišką, kurios klausimai jau pačiai įmonei padeda identifikuoti savo IT sistemų trūkumus ir galimas saugumo spragas. O kibernetinių rizikų draudimas leidžia pagrindinį dėmesį skirti verslo vystymui bei augimui nesirūpinant galimos kibernetinės krizės pasekmėmis, jos suvaldymu, baudomis, klientų ar partnerių reikalavimais bei išlaidomis teisinei gynybai. Dėl šios priežasties verta savo draudimo rizikų valdymą patikėti profesionalams.
Straipsnis publikuotas „Verslo žiniose“ rubrikoje „Kibernetinis saugumas“: http://www.vz.lt/kibernetinis-saugumas/2019/11/28/kibernetinis-saugumas-kaip-apsaugoti-imone-nuo-reiksmingu-finansiniu-nuostoliu