Kibernetsko zavarovanje 101: kaj je to in ali ga moje podjetje potrebuje?

Poslovna varnost

Čeprav za vaše podjetje ni kartica za odhod iz zapora, ga kibernetsko zavarovanje lahko zaščiti pred finančnimi posledicami kibernetskega incidenta.

Phil Muncaster

Junij 13 2023  •  , 4 min. prebrati

Kibernetsko tveganje narašča, saj skupni vpliv naraščajočih ravni grožnje, razširitev napadalnih površin in pomanjkanje varnostnih veščin postavljajo organizacije v slabši položaj. Soočeni s povečano verjetnostjo, da bodo utrpeli škodljivo kršitev varnosti, mnogi morda želijo prenesti odgovornost na tretjega ponudnika. Toda tisti, ki verjamejo, da lahko preprosto uporabijo kibernetsko zavarovanje kot nadomestilo za naložbe v najboljšo prakso kibernetske varnosti, se morda motijo. Pravzaprav so slednji vedno bolj predpogoj za kritje.

Če kibernetsko zavarovanje torej ni kartica za odhod iz zapora za podjetja, za kaj je dobro?

Kaj je kibernetsko zavarovanje?

Na zelo osnovni ravni kibernetsko zavarovanje pomaga izolirati podjetja vseh velikosti pred finančnimi posledicami resnih incidentov, kot so kršitve in uhajanje podatkov. Odvisno od pravilnika lahko zagotavlja:

• Dostop do ocen pred kršitvijo, preverjenih prodajalcev in informacij za pomoč pri povečanju odpornosti pred incidentom
• Pomoč pri obveščanju po kršitvah, forenzični preiskavi, pravnimi storitvami in strokovnim znanjem o kriznem upravljanju
• Finančna podpora za pravne stroške in odškodninske tožbe proti vašemu podjetju
• Kritje za stroške, ki nastanejo zaradi vzdrževanja poslovanja in obnovitve podatkov, kot tudi za izgubo prihodka

Politike se lahko zelo razlikujejo, vendar obstajata dve glavni vrsti kritja:

• Pokritost prve osebe: Povezano z neposrednim vplivom kibernetskega incidenta na vaše podjetje. To vključuje stroške izgubljene ali poškodovane programske opreme, pravne račune, forenziko, obvestilo strank, krajo denarja itd.
• Pokritost tretjih oseb: To se nanaša na zahtevke, ki so jih vložili drugi proti vašemu podjetju zaradi izgub, ki so jih utrpeli zaradi kibernetskega incidenta. To vključuje stvari, kot so pravne poravnave s strankami, stroški odvetnikov in računovodij itd.

Pomembno je vedeti, da kibernetski napadi na vaše podjetje, ki so ocenjeni kot »vojna dejanja«, morda niso zajeti v vaši politiki. Lloyd iz Londona naredil sporen korak prisiliti svoje zavarovalnice, da vstavijo klavzulo o izključitvi kibernetske vojne, da bi zmanjšali odgovornost prevoznika za napade, ki jih sponzorira država. Vendar pa je dokazovanje, da je akter grožnje izvajal vojno dejanje, lahko izjemno zahtevno.

Zakaj potrebujem kibernetsko zavarovanje?

Večina podjetij ne bo dvomila, zakaj kibernetsko zavarovanje predvideva, da bo industrija do leta 64 vredna 2029 milijard ameriških dolarjev. Kombinacija naraščajočih kibernetskih groženj in s tem povezanih stroškov ter povečanega nadzora regulatorjev sili podjetja, da najdejo preizkušene načine za zmanjšanje izpostavljenosti tveganjem.

Prehod na hibridno delo v kombinaciji z naložbami v oblak in digitalnimi naložbami med pandemijo je pripomogel k večji produktivnosti in bolj agilnim poslovnim procesom, hkrati pa je povečal površino kibernetskih napadov. Nepopravljene domače delovne končne točke, napačno konfigurirani sistemi v oblaku in grožnje prek mobilnih naprav so le vrh ledene gore. Eno poročilo iz leta 2022 trdi da (79 %) organizacij meni, da so nedavne spremembe delovnih praks negativno vplivale na kibernetsko varnost njihove organizacije. V drugem, 43 % svetovnih organizacij se strinja, da njihova površina napadov »uhaja izpod nadzora«. Površina napada se razširi tudi na zapletene dobavne verige in potencialno malomarne zaposlene. Ocenjeno 98 % svetovnih podjetij je leta 2021 na primer utrpelo kršitev prek svojih dobaviteljev.

Kot rezultat:

• ZDA so utrpele a skoraj rekordno število javno prijavljenih kršitev podatkov v letu 2022
• Dve petini Združenega kraljestva anketiranih organizacij leta 2022 poročali o kršitvi varnosti v zadnjih 12 mesecih
• Več kot četrtina (27 %) tehnoloških in poslovnih vodij v Združenem kraljestvu pričakovati ogrožanje poslovne e-pošte (BEC) in napadi »hack and leak« se bodo leta 2023 povečali, 24 % pa meni enako o izsiljevalski programski opremi

Ne samo, da so resni varnostni incidenti danes bolj verjetni. Prav tako žrtve stanejo več. Leta 2021, stroški kibernetske kriminalitete, prijavljeni FBI, so dosegli 6.9 milijarde ameriških dolarjev. Leto pozneje je skupni znesek dosegel 10.3 milijarde dolarjev – 49-odstotno povečanje. To pomeni, da skupni znesek za pet let do leta 2022 znaša neverjetnih 27.6 milijarde dolarjev.

Kako se kvalificiram za kritje?

Trg kibernetskega zavarovanja je v zadnjih nekaj letih doživel dramatične spremembe. Zaradi porasta kršitev izsiljevalske programske opreme in kasnejših zahtevkov med pandemijo so nekateri prišli do krivijo sektor za posredno spodbujanje akterjev groženj k izvajanju napadov. Izgube, ki so jih utrpeli številni prevozniki, so privedle do korektivnih ukrepov – a znatno povečanje premijskih stopenj in zmanjšanega kritja. Na srečo cene se zdaj stabilizirajo tako police postajajo spet dostopne.

Del tega je posledica bolj podrobnih politik, ki od bodočih strank zahtevajo več. Na ta način lahko vidimo, kako se razvija vloga kibernetskega zavarovanja – od posojilodajalca v skrajni sili do varnostnega partnerja, ki spodbuja dobro vedenje. Skratka, s tem, ko od podjetij zahtevajo, da uvedejo najboljše prakse varnostnega nadzora in kibernetskih higienskih ukrepov, lahko zavarovalnice dejansko spodbudijo osnovne izboljšave pri obvladovanju kibernetskih tveganj.

Odvisno od politike lahko ti ukrepi vključujejo:

Kaj sledi?

MSP in velika podjetja še vedno razvrščajo kibernetske incidente kot njihova prva grožnja. Ker stroški naraščajo, se bodo v čedalje večjem številu obračali na kibernetsko zavarovanje. To bi moralo spodbuditi izboljšano varnost, manjše tveganje in cenovno ugodnejšo pokritost. Toda še vedno je treba narediti nekaj: približno polovica (48 %) malih in srednjih podjetij še vedno nima pokritosti v primerjavi s 16 % velikih organizacij, glede na Svetovni gospodarski forum (WEF). Za optimizacijo vaše uporabe zavarovanja v prihodnosti bo branje police z majhnim tiskom bolj pomembno kot kdaj koli prej.

Če želite izvedeti več o kibernetskem zavarovanju za podjetja, ta priročnik ESET ste pokrili.