Osiguravajuće kuće kao dio perimetra cyber sigurnosti?

Osiguranje od cyber napada prešlo je dug put od niše do standardnog osiguravajućeg paketa, mada će korisnici u Jadranskoj regiji još čekati na masovno dostupnije opcije. Znajući da kompromitacija podataka sa sobom nosi i krupne zakonske posljedice po sve aktere u lancu korištenja, kakve trendovi možemo očekivati u 2023. godini?

Izvor: Mirza Bahić; E-mail: mirza.bahic@asadria.com

Do sredine 2015. godine osiguranje od cyber napada postojalo je kao svojevrsna niša, ne samo u svijetu osiguranja nego i u domeni planiranja informatičke sigurnosti. Kako osiguranje po svojoj definiciji pesimistično „predviđa“ da će korisnikov cyber perimetar na kraju ipak biti probijen, većina korisnika se umjesto na ublažavanje šteta i studiranje polisa radije fokusirala na kopanje šanaca oko svog cyber perimetra. No, je li taj stav ispravan i u 2023, u vrijeme sve masovnijih cyber napada pred kojima padaju i najveći?

Vječno mladi ili stagnirajući sektor?

Skoro deceniju po svom inicijalnom predstavljanju, cyber osiguranje je bilo vječno „mlado“ tržište u razvoju koje nikako nije dostizalo zrelost. I to ne na način na koji se ovi pojmovi obično vezuju uz mlade i brzorastuće sektore, nego kao nešto što je tavorilo kao opcioni osiguravajući dodatak za kompanije s „povećanim“ IT sigurnosnim rizicima. Zapravo, osiguranje od cyber napada je znatno stariji koncept čija historija počinje s 1997. godinom, kada je američka kompanija AIG prva ponudila ovu uslugu u vrijeme kada su se mnogi korisnici još borili s konceptom antivirusnih programa.

Šta se promijenilo u međuvremenu? Mnogo toga, u prvom redu tri važna faktora: napadi su postajali sve skuplji i češći, svijest o njima je paralelno rasla čak i kod običnih korisnika, a kompromitacija podataka danas sa sobom nosi i krupne zakonske posljedice po sve aktere u lancu korištenja. Sve navedeno otežava posao osiguravajućim kućama koje dizajniraju prateće polise jer se „bojno polje“ u svijetu cyber sigurnosti neprestano mijenja. Ipak, danas je korištenje ekspertize menadžera za cyber sigurnost i stručnjaka iz osiguravajućih društava dovelo do kreiranja paketa koji privlače sve veći broj korisnika.

Šta sadrži standardno osiguranje od cyber napada

Bili vi korporacija, malo ili srednje preduzeće ili privatni korisnik, svako cyber osiguranje vam po definiciji pokriva materijalnu i štetu od rizika povezanih s informatičkim napadima. Tu spadaju sve aktivnosti koje se odvijaju na internetu, IT resursima, elektronskim mrežama, sistemima pohrane i elektronske trgovine i čuvanja ličnih podataka. Tipovi napada koji su obično pokriveni uključuju iznude (ransomware), povrede podataka, hakerske upade u sisteme, ubacivanje zlonamjernog softvera (malware) i virusa u IT resurse, ometanje rada i ugrožavanje sigurnosti uposlenika i obustavu funkcionalnosti poslovne mreže. Toliko o osnovnom, no je li to dovoljno u eri milionskih šteta od napada čiji se utjecaj osjeti i u manje materijalnim segmentima poslovanja?

Zaštita ugleda i kontrola štete

Savremene polise osiguranja od cyber prijetnji idu i korak dalje – u smislu prepoznavanja uloge prevencije, brzine djelovanja i štete po reputaciju pogođenog osiguranika. Ovo je posebno važno u kontekstu osiguravanja kontinuiteta poslovanja u uvjetima neposredno nakon napada, pri čemu manje organizacije često ne posjeduju posebne odjele za cyber zaštitu, pa čak ni za kvalitetnu IT podršku. Izdvajanje novca za odgovarajuću polisu ovim poslovnim subjektima može biti ključna investicija koja će ih, opet, koštati manje nego kreiranje posebnih odjela za koje nemaju ni ljudskih resursa ni tehničkih kapaciteta.

Još jedan važan segment prilikom kreiranja i odabira osiguranja od cyber napada jeste i uključena pravna podrška u slučaju ovih incidenata. To ranije i nije predstavljalo problem jer je oblast povrede podataka i ugrožavanja vitalnih informacijskih resursa bila nedovoljno ili nekonzistentno zakonski regulirana. Osim toga, pojam „informatičke firme“ kao subjekta koji radi s IT resursima je većinski zastario u svijetu osiguranja jer su danas sve organizacije, bez obzira na profil, umrežene i prinuđene čuvati osjetljive korisničke podatke kao temelj svog poslovanja.

Zato danas polise osiguranja od cyber napada često uključuju i pravnu podršku u situacijama povrede korisničkih podataka, čime se, barem u teoriji, značajno smanjuje prostor za tužbe i potrebu angažmana skupih advokatskih firmi koje bi branile oštećene organizacije u parnicama. Čak i u slučaju da odštetni zahtjevi na bazi regulative ili potraživanja prođu nepovoljno po pogođenu organizaciju, štetu od njihove naplate će snositi osiguravajuće kuće. Posljednji, ali ne i najmanje važan neinformatički segment osiguravajućih paketa danas su često i usluge agencija za odnose s javnošću.

Je li za MSP važnija prevencija ili sanacija štete?

Širenje polja u kojem hakeri danas organiziraju svoje aktivnosti navelo je osiguravajuće kuće da prekroje postojeće pakete usluga prema potrebama malih i srednjih preduzeća (MSP). Ove organizacije su, sigurno, nižeprofilne mete za napadače, ali su istovremeno i atraktivna meta zbog manjka odbrambenih resursa kojima raspolažu. Za njih osiguravajuće kuće pored zaštite od cyber rizika nude i paket angažmana stručnjaka koji će im davati savjete o zaštiti opreme koju koriste u svom poslovanju i komunikaciji s uposlenicima na daljinu.

Manjim organizacijama se nudi i osiguranje podrške održavanju kontinuiteta poslovanja u vrijeme i neposredno nakon cyber napada. To se radi na način da osiguravajuća kuća pokrije trošak angažmana stručnjaka za cyber zaštitu koji će onesposobljene sisteme brzo postaviti na noge i omogućiti nastavak poslovanja. Istovremeno, u odnosu na klasične polise osiguranja, novi paketi tretiraju sve osjetljive podatke kompanija kao digitalno dobro, odnosno nematerijalnu imovinu čije ugrožavanje povlači aktiviranje istovjetnih klauzula kao kod oštećenja materijalne imovine.

Kakva je situacija u regiji?

Čak i površna analiza ponude osiguravajućih kuća u Jadranskoj regiji pokazuje da se ove firme još uvijek nisu najbolje snašle u kreiranju adekvatne ponude cyber osiguranja za svoje korisnike. Ipak, svojevrsne promjene se dešavaju u osiguravajućim društvima Srbije, Hrvatske i BiH, gdje se ovaj „novi“ vid osiguranja korisnicima nudi u uvjetima relativno niske opće svijesti o štetama koje sa sobom nose cyber napadi. Tu je, naravno, i pitanje cijene, pri čemu osiguravajuće kuće moraju prilagoditi svoju ponudu obimu poslovanja osigurane organizacije, tipu podataka s kojim ona radi u poslovanju i stanju postojeće mrežne infrastrukture. Na kraju, naruku korisnicima ne ide ni globalni rast cijena premija osiguranja od cyber prijetnji izazvan općim porastom broja ransomware napada, zbog kojih čitava osiguravajuća industrija doslovno „krvari“ novac. Svejedno, ovaj tip osiguranja je tu da ostane kao nedovoljno poznat, ali stamen most između svjetova visoke tehnologije i sigurnosti i tradicionalnih poslovnih sektora poput osiguranja.