Sajber kriminal i osiguranje: Da li jedemo sopstveni rep?

Objavljeno u specijalnoj ediciji Finansije TOP časopisa Biznis&Finansije

Kažu da je zarada narkodilera "kusur" u odnosu na novac koji se vrti u sajber kriminalu: ovo je, prema brojnim analizama, najbrže rastući zločin u svetu, koji kriminalcima donosi više zarade nego sve vrste droga zajedno, a pritom raste po veličini, sofisticiranosti i troškovima koje izazivaju štete. Gde je Srbija na toj mapi rizika, i da li se štete u poslovanju koje izazovu hakeri mogu nadoknaditi polisom osiguranja?

Cybersecurity Ventures magazin, koji se bavi analizama i prognozama sajber opasnosti, predviđa da će već sledeće godine štete od sajber kriminala biti veće od šest biliona (šest hiljada milijardi) dolara, što je duplo više nego pre samo pet godina. Desetostruko povećanje koje se očekuje u narednim godinama biće direktno povezano sa rastom broja korisnika interneta i broja njihovih umreženih uređaja.

Dok s jedne strane umreženost i tehnološki napredak doprinose rastu opšteg društvenog standarda, istovremeno povećavaju i zavisnost ljudi i otvaraju nove "tačke napada" za sajber kriminalce koji upravo te tehnologije koriste za svoje operacije. Prognoze govore da će već 2022. godine biti šest milijardi korisnika interneta što je oko 75 odsto svetske populacije, a taj procenat će se 2030. popeti na 90, što je oko sedam i po milijardi korisnika. Već danas je u upotrebi oko 200 milijardi pametnih uređaja koji bežično komuniciraju, a od sajber napada potrebno je štititi oko 300 milijardi lozinki. Da ne bude zabune - meta napada nisu samo kompjuteri i pametni telefoni: tu su i pametni satovi, monitori za fitnes i drugi gedžeti, ali i bežično povezani i digitalno nadgledani medicinski uređaji poput pejsmejkera, neurostimulatora mozga, insulinskih pumpi pa čak i slušnih aparata.

Hakeri nisu "obični" kriminalci - oni koriste iste one sofisticirane tehnologije koje nama život čine lakšim: primera radi, veštačka inteligencija sve više se koristi za identifikovanje ciljeva, prepoznavanje i iskorišćavanje slabosti i prikrivanje tragova zločina. Stručnjaci istraživačkog odeljenja kompanije Minhen Re u Analizi trendova za 2020. upozoravaju da će se uskoro pojaviti "fišing" napadi pomoću glasa koji u potpunosti oponaša neku konkretnu osobu, što će omogućiti nov model krađe identiteta i ucenjivanje kompanija i pojedinaca. Oni upozoravaju i da će "Big Data Beng" uskoro postati ozbiljna opasnost za velike kompanije koje imaju složene lance snabdevanja.

Upravo zbog sve većih rizika, više od 100 zemalja donelo je zakone koji štite od gubitka ili zloupotrebe ličnih podataka, a kazne za kompanije koje dozvole da im se ukradu podaci o klijentima mere se i stotinama miliona dolara: najveća novčana kazna u 2019. godini izrečena je britanskoj aviokompaniji u iznosu od 234 miliona dolara. U mnogim zemljama zakoni propisuju i obavezu objavljivanja slučajeva krađe podataka, a štete od gubitka reputacije tek kasnije dolaze na naplatu.

Kako nadoknaditi finansijske gubitke?

Istovremeno sa rastom sajber kriminala, raste i ulaganje u IT bezbednost, za koje se procenjuje da će u 2025. godini biti u vrednosti oko 400 milijardi dolara - to će biti četvorostruki rast tokom jedne decenije. Deo toga odlazi i na osiguranje: prema procenama Minhen Re, sadašnja vrednost globalnog tržišta sajber osiguranja je više od sedam milijardi dolara, a do 2025. će dostići vrednost veću od 20 milijardi. Severna Amerika je i dalje najjače tržište vrednosti 5,3 milijarde dolara, a snažan rast se predviđa i u Aziji, kao i u Evropi gde je vrednost ovog tržišta sada oko milijardu dolara.

Najveća potražnja dolazi iz najugroženijih sektora: zdravstva, prerađivačke industrije, IT kompanija, finansijskog i sektora usluga, a ključni elementi osiguravajućeg pokrića su zaštita od prekida poslovanja i od krađe podataka.

"Najveća odgovornost svake kompanije leži u obavezi čuvanja ličnih podataka trećih lica i zaposlenih, sprečavanja ili ometanja neovlašćenog pristupa ili neovlašćenog korišćenja kompanijskih resursa, sprečavanja fizičke krađe ili gubitka informacija ili hardvera, sprečavanja nastanka bezbednosnih propusta ili neuspeha u prevenciji lažnih komunikacija projektovanih da prevare korisnike kako bi dali svoje lične podatke. Finansijske posledice ove odgovornosti pokriva polisa sajber osiguranja", kaže za Biznis i finansije Sanja Jovanović, direktorka sektora za korporativna osiguranja Wiener Städtische osiguranja, koje je u Srbiji "pionir" u ovoj vrsti osiguranja.

"Ukoliko i pored preduzetih mera dođe do povrede privatnosti, usled ugroženih bezbednosnih sistema, polisa sajber osiguranja će nadoknaditi iznose novčanih kazni izrečenih na osnovu prekršajnih naloga ovlašćenog državnog organa. U takvim okolnostima se često javljaju i troškovi upravljanja kriznom situacijom, a skoro obavezno troškovi obaveštavanja korisnika i podrške klijentima, što polisa takođe pokrivena", kaže Jovanović.

Kompanije koje ne dolaze u kontakt sa velikim brojem ličnih podataka trećih lica, prvenstveno strahuju od gubitaka poslovnih prihoda jer im je nakon sajber incidenta onemogućeno poslovanje. Namera napadača može biti samo da nanesu štetu tako što će proširiti zlonamerni kod, ali često žele najpre da onemoguće pristup kompjuterskim sistemima i podacima a zatim traže novac kako bi ponovo "otvorili" sistem. "Polisa sajber osiguranja u oba slučaja nadoknađuje utvrđenu izgubljenu dobit i plaća troškove iznude ukoliko angažovani IT stručnjaci utvrde da je neophodno, a pod uslovom da su učinjeni svi razumni napori da se utvrdi da sajber iznuda nije sama po sebi prevara", kaže Sanja Jovanović.

Posebno tokom rada od kuće, sajber napadi su proteklih meseci bili dominantno usmereni na pojedince, računajući na njihovu radoznalost i na slabiju bezbednost. Da li u slučaju upada hakera u sistem preko zaposlenog, za štetu odgovara menadžer, i da li polisa osiguranja od odgovornosti može da ga u tom slučaaju zaštiti? U Uniqa osiguranju kažu da su menadžeri u kompanijama odgovorni za organizovanje obuke zaposlenih u pogledu zaštite podataka i bezbednog rada, kako bi se razvila svest o mogućem sajber napadu, njegovim posledicama, ali i neophodnim postupanjem kako bi se predupredile štetne situacije - najpre kroz obavezu korišćenja licenciranih i proverenih programa. Polisa osiguranja odgovornosti štiti menadžera od posledica koje može izazvati neka njegova pogrešna odluka: ako zbog nje dođe do smanjenja prihoda kompanije ili pada vrednosti akcija, pa ga akcionari i/ili kompanije tuže zbog toga. Menadžer ne može da utiče na sajber napad, pa ova polisa ne pokriva tako nastale troškove, ali osiguravači uglavnom preporučuju da se održavaju obuke zaposlenih, kako bi polisa za ovo pokriće uopšte mogla da se izda, kažu u Uniqa osiguranju.

Ključ je u sinergiji IT i osiguranja

Na meti hakera nisu samo kompanije, već i državne i javne institucije ne samo u svetu već i kod nas: napad na JKP "Informatika" iz Novog Sada početkom marta, problem sa elektronskim receptima koje je krajem januara zbog hakera imala Apotekarska ustanova Beograd... Da li je Srbija značajna meta na mapi hakerskih napada, i koliko su kompanije u Srbiji uopšte svesne opasnosti od sajber rizika?

"Izloženost Srbije hakerskim napadima je direktno proporcionalna poziciji Srbije na globalnoj ekonomskoj sceni – svakako nismo među „prvim izborom“ napadača, ali nismo ni van zone interesovanja, što se pokazalo i kroz niz pokušaja napada prvenstveno na finansijske institucije. Primetno je i da se oblast interesovanja proširuje na državne institucije i organe javne uprave, u cilju kompromitacija ličnih podataka i poslovnih tajni", kaže za Biznis i finansije Majo Mićović, investitor i direktor kompanije Sky Express, koja je ekskluzivni distributer naprednih rešenja za sajber bezbednost za Srbiju, Crnu Goru, BiH, Severnu Makedoniju i Albaniju. On navodi da postoje velike razlike u pristupu informacionoj bezbednosti u kompanijama, čak i kad je reč o detaljno regulisanim oblastima poput banaka i osiguranja. "Digitalna transformacija - a naročito transformacija načina rada uzrokovana pandemijom - uzrokovaće povećanje rizika od potencijalnih napada i zloupotreba, što će zahtevati i brži, adekvatniji i efikasniji odgovor na te rizike. Jedan od centralnih problema sa kojim ćemo se suočiti je nedostatak obučenog kadra i adekvatnih internih resursa u kompanijama, pa možemo očekivati rast tržišta pružanja usluga informacione bezbednosti i Managed Security Servisa", smatra Mićović.

Najkvalitetniji način da se kompanije zaštite od ovih opasnosti jeste upravo sinergija između IT sektora i osiguranja koja je, prema rečima našeg sagovornika, u vodećim svetskim ekonomijama već ozbiljno zastupljena.

Autor: Lela Saković

Koje troškove nam hakeri mogu napraviti?

Krađa, oštećenje ili uništenje podataka o poslovanju, podataka o ličnosti bilo pojedinca bilo klijenata u kompanijama, krađa novca sa bankovnih računa, krađa intelektualne svojine; to naknadno izaziva štete zbog prekida poslovanja i izgubljene dobiti, ali i štete zbog izgubljene reputacije; troškove forenzičke istrage i obnove izgubljenih podataka; kazne ukoliko su predmet napada podaci o ličnosti klijenata ili poslovnih partnera.

Koje mere obezbeđenja firma mora da sprovede da bi uopšte mogla da kupi polisu osiguranja od sajber rizika?

"Pre zaključenja ugovora o osiguranju, kompanija zainteresovana za kupovinu polise osiguranja od sajber rizika popunjava upitnik u kojem daje osnovne podatke o svom kompjuterskom sistemu, primenjenoj zaštiti, načinu prenosa i skladištenja podataka, ali i finansijske podatke, informacije o uticaju na redovno poslovanje, o broju i prirodi ličnih podataka trećih lica. Podrazumeva se da je na svakom kompjuteru instaliran anti-virus softver koji se ažurira najmanje jednom sedmično, da se krucijalni podaci kopiraju i skladište na drugoj bezbednoj lokaciji najmanje istom dinamikom, da postoji kontrola mrežnog saobraćaja kao i kompanijska sigurnosna politika, i da je omogućeno njeno sprovođenje".

Sanja Jovanović, Wiener Stadtische osiguranje