Police cyber osiguranja - novi must have u digitalnom dobu?
Članci
Virusi koji utječu na ljudsko zdravlje glavna su tema većine razgovora već skoro dvije godine. Međutim, ni digitalni svijet nije pošteđen "virusa" koji utječu na druge aspekte ljudskih života. Mnogobrojni zlonamjerni softveri (tzv. malwares) koji se koriste za cyber-napade, stvoreni da oštete, poremete, hakiraju ili blokiraju uređaj te šifriraju ili zaključaju podatke, mogu izazvati štetu golemih razmjera kako u privatnom tako i u javnom sektoru.
Takvi napadi za cilj imaju napasti operativnu tehnologiju (OT) ili informacijsku tehnologiju (IT). Jedan od neupitno najpoznatijih zlonamjernih softvera je Stuxnet, otkriven 2010., koji je za cilj imao napad na operativnu tehnologiju, konkretno iransku Busher nuklearnu elektranu, a napad je bio uspješan jer je uništeno oko jedne petine nuklearnih centrifuga.
Nedavni IT napad koji je pridobio globalnu pažnju je pro-ruski motiviran pokušaj poremećaja glasovanja za Eurovizijsko natjecanje, kako izvještava talijanska policija.
Za razliku od fizičkog uništenja, zlonamjerni softveri usmjereni na IT većinom ciljaju poslovne financijske podatke, baze podataka kupaca (uključujući osobne podatke kupaca), financijske podatke kupaca, intelektualno vlasništvo (kao što su poslovne tajne ili dizajni proizvoda), pristup IT infrastrukturi itd.
Hakeri su sve maštovitiji pri razvoju novih, sve sofisticiranijih zlonamjernih softvera i različitih metoda iznuda od kojih je jedna tzv. dvostruka iznuda. Ovom metodom inicijalna enkripcija podataka je popraćena raznim oblicima iznude i pokušajima brisanja sigurnosnih kopija podataka, čineći tako oporavak od napada sve težim za poslovne subjekte.
Rad na daljinu još je jedan aspekt koji treba sagledati kada je riječ o zaštiti podataka. Čak i prije ograničavanja kretanja uslijed pandemije Covid-19, veliki broj ljudi je shvatio da mogu raditi od doma ili iz različitih dijelova svijeta. Koliko god to bilo odlično za privatni život te mogućnost putovanja uz rad, vjerojatnost gubitka podataka time se povećala. Ljudi mogu izgubiti uređaje ili podaci mogu biti ukradeni zbog pristupa nezaštićenim mrežama. Kako god da bilo, nije samo rad na daljinu taj koji povećava rizik gubitka podataka, već je rizik cyber-napada svuda gdje se nalaze i koriste uređaji koji sadrže podatke, s time da se rizik povećava ako su neke informacije privlačnije napadačima
Cyber-napadi mogu biti izrazito tegotni za poslovanje. Međutim, gubici prouzrokovani takvim događajima najčešće su isključeni iz polica osiguranja od odgovornosti. No, tržište osiguranja sve više prepoznaje potrebu za osiguranjem događaja prouzrokovanih cyber-napadima. Mnogobrojni gubitci koji proizlaze iz takvih napada mogu prouzročiti veliku štetu poduzećima, ali i trećim stranama. Police cyber osiguranja često pružaju usluge pokrića troškova: prestanka poslovanja, obavještavanje klijenata o gubitku podataka, IT forenziku, cyber iznudu, troškove parničenja, kazni nametnutih od strane državnih tijela, troškove gubitka reputacije, obnavljanje osobnih podataka klijenata i obnavljanje kompromitiranih podataka.
Također, vrlo je važno uzeti u obzir teritorijalno područje primjene polica cyber osiguranja, ne samo zato što se radnici koji rade s važnim i osjetljivim informacijama mogu nalaziti u različitim dijelovima svijeta, već i zato što i sama poduzeća pohranjuju podatke u različitim dijelovima svijeta.
Unutar EU, Opća uredba o zaštiti podataka (GDPR) postavlja dodatne obaveze za unaprjeđenje sustava zaštite podataka koji sadrže podatke fizičkih osoba, uključujući obavještavanje nadležne institucije u slučaju kršenja obaveza. Pri tom, police cyber osiguranja se značajno razlikuju u pokriću troškova nametnutih od strane nadležnih institucija u slučajevima cyber-napada te neki zahtijevaju da nadležne institucije formalno pokrenu postupak kako bi osiguratelj pokrio štetu.
Naposljetku, u okružju aktualne političke situacije, ostaje za vidjeti kako će se cyber osiguranje dalje razvijati, osobito u pogledu cyber-napada izazvanih od organizacija ili drugih država te pravnog tumačenja isključenja ratnih rizika.
Takvi napadi za cilj imaju napasti operativnu tehnologiju (OT) ili informacijsku tehnologiju (IT). Jedan od neupitno najpoznatijih zlonamjernih softvera je Stuxnet, otkriven 2010., koji je za cilj imao napad na operativnu tehnologiju, konkretno iransku Busher nuklearnu elektranu, a napad je bio uspješan jer je uništeno oko jedne petine nuklearnih centrifuga.
Nedavni IT napad koji je pridobio globalnu pažnju je pro-ruski motiviran pokušaj poremećaja glasovanja za Eurovizijsko natjecanje, kako izvještava talijanska policija.
Za razliku od fizičkog uništenja, zlonamjerni softveri usmjereni na IT većinom ciljaju poslovne financijske podatke, baze podataka kupaca (uključujući osobne podatke kupaca), financijske podatke kupaca, intelektualno vlasništvo (kao što su poslovne tajne ili dizajni proizvoda), pristup IT infrastrukturi itd.
Hakeri su sve maštovitiji pri razvoju novih, sve sofisticiranijih zlonamjernih softvera i različitih metoda iznuda od kojih je jedna tzv. dvostruka iznuda. Ovom metodom inicijalna enkripcija podataka je popraćena raznim oblicima iznude i pokušajima brisanja sigurnosnih kopija podataka, čineći tako oporavak od napada sve težim za poslovne subjekte.
Rad na daljinu još je jedan aspekt koji treba sagledati kada je riječ o zaštiti podataka. Čak i prije ograničavanja kretanja uslijed pandemije Covid-19, veliki broj ljudi je shvatio da mogu raditi od doma ili iz različitih dijelova svijeta. Koliko god to bilo odlično za privatni život te mogućnost putovanja uz rad, vjerojatnost gubitka podataka time se povećala. Ljudi mogu izgubiti uređaje ili podaci mogu biti ukradeni zbog pristupa nezaštićenim mrežama. Kako god da bilo, nije samo rad na daljinu taj koji povećava rizik gubitka podataka, već je rizik cyber-napada svuda gdje se nalaze i koriste uređaji koji sadrže podatke, s time da se rizik povećava ako su neke informacije privlačnije napadačima
Cyber-napadi mogu biti izrazito tegotni za poslovanje. Međutim, gubici prouzrokovani takvim događajima najčešće su isključeni iz polica osiguranja od odgovornosti. No, tržište osiguranja sve više prepoznaje potrebu za osiguranjem događaja prouzrokovanih cyber-napadima. Mnogobrojni gubitci koji proizlaze iz takvih napada mogu prouzročiti veliku štetu poduzećima, ali i trećim stranama. Police cyber osiguranja često pružaju usluge pokrića troškova: prestanka poslovanja, obavještavanje klijenata o gubitku podataka, IT forenziku, cyber iznudu, troškove parničenja, kazni nametnutih od strane državnih tijela, troškove gubitka reputacije, obnavljanje osobnih podataka klijenata i obnavljanje kompromitiranih podataka.
Također, vrlo je važno uzeti u obzir teritorijalno područje primjene polica cyber osiguranja, ne samo zato što se radnici koji rade s važnim i osjetljivim informacijama mogu nalaziti u različitim dijelovima svijeta, već i zato što i sama poduzeća pohranjuju podatke u različitim dijelovima svijeta.
Unutar EU, Opća uredba o zaštiti podataka (GDPR) postavlja dodatne obaveze za unaprjeđenje sustava zaštite podataka koji sadrže podatke fizičkih osoba, uključujući obavještavanje nadležne institucije u slučaju kršenja obaveza. Pri tom, police cyber osiguranja se značajno razlikuju u pokriću troškova nametnutih od strane nadležnih institucija u slučajevima cyber-napada te neki zahtijevaju da nadležne institucije formalno pokrenu postupak kako bi osiguratelj pokrio štetu.
Naposljetku, u okružju aktualne političke situacije, ostaje za vidjeti kako će se cyber osiguranje dalje razvijati, osobito u pogledu cyber-napada izazvanih od organizacija ili drugih država te pravnog tumačenja isključenja ratnih rizika.
Kontakt
-
- Janica Rakoci
- ODVJETNIČKA VJEŽBENICA
- janica.rakoci@ostermann.hr
- +385 99 5295 888
