Dzisiaj jest: 21.11.2024, imieniny: Janusza, Marii, Reginy

Na cyberzagrożenia - cyberubezpieczenia

Dodano: 14.01.2019 Czytane: 15

Jednak najnowsze statystyki podają, że właśnie firmy M¦P stanowią cel dla 59 proc. ataków cybernetycznych. I tak:

  • 41 proc. – duże przedsiębiorstwa (+2500 pracowników),
  • 25 proc. – średnie (251-2500 pracowników),
  • 34 proc. – małe (1-250 pracowników).
  • W analizie cyberryzyk pomoże nam podział na podstawowe obszary branżowe.

Cyberryzyka branżowe

Sektor prawny i usługi doradcze. Nie ma nic prostszego, niż atak na dużą firmę poprzez jego doradcę. To w jego archiwach znajdują się przecież wszystkie kluczowe informacje o firmie. Poufne informacje zawierają nie tylko dane osobowe pracowników, ale know-how firmy. Często od razu zidentyfikowane wąskie gardła korporacji, prawne sposoby
i rozwiązania. £atwiej, więc włamać się do prawnika i wykraść dane jego Klienta, niż przebijać się przez zapory docelowego klienta.

Przemysł, produkcja i wytwórstwo. Tu na dziś jest największe wyzwanie. Uważa się, że ataki kierowane są na dane osobowe lub know-how firmy. A przecież liniami technologicznymi zarządzają systemy informatyczne. Wprowadzenie wirusa inicjującego zmiany czy blokadę choćby małego elementu procesu może zablokować produkcję lub wprowadzić zmiany, które odkryjemy dopiero za jakiś czas albo co gorsza z reklamacji klienta końcowego. Dlatego właśnie przed firmami produkcyjnymi stoi identyfikacja konkretnych zagrożeń i odpowiednie zabezpieczenie systemów sterujących automatyką.

Opieka zdrowotna. ¦rednio kradzież jednego rekordu dotyczący jednego pacjenta obejmujący naruszenie danych osobowych, przestój w działalności, szkody wizerunkowe i straty finansowe to koszt ponad kilkuset zł. Nakłady na udaremnienie tegoż ataku to kilkadziesiąt złotych za jeden rekord.

Usługi finansowe. Po serii ataków w latach 2014-2015 inwestycje firm tego sektora spowodowały, że poziom zabezpieczeń mocno się poprawił. ¦wiadomości pracowników
i akumulacja priorytetów zarządów na bezpieczeństwo danych klientów sprawiała, że większość ataków udaremnianych jest na etapie rekonesansu hakerskiego.



Techniki i taktyki

Technicznie problem cyberryzyk można podzielić na dwie strefy.
Pierwsza to informatyczna. Ryzyka związane z przetwarzaniem danych, nielegalnym ujawnieniem, kradzieżą, nieuprawnionym dostępem do systemu, wymuszeniami związanymi z blokadą lub ujawnieniem wrażliwych danych. Osoby, które mogą się dopuścić tych czynów to zawodowi hakerzy, amatorzy mocnych nielegalnych wrażeń, aż po pracowników danej organizacji. Jeżeli zatem dojdzie do wymienionych naruszeń konsekwencje dla przedsiębiorstwa mogą mieć charakter związany z:

  • odpowiedzialnością cywilną,
  • odpowiedzialnością administracyjną,
  • odpowiedzialnością karną,
  • kosztami identyfikacji problemów, zarządzeniem incydentami,
  • kosztami odtworzenia danych i wprowadzenia zabezpieczeń ulepszających.

Druga to sfera techniczna. To fizyczna blokada sprzętu powodująca zatrzymanie produkcji oraz koszty rzeczowe i osobowe.
Przestępcy, których celem jest kradzież i sprzedaż danych lub wymuszenie cybernetyczne wykorzystują następujące taktyki hakerskie:

Ransomware
To oprogramowanie, który po wniknięciu do systemu komputerowego powoduje natychmiastowe zaszyfrowanie jego zawartości przez co dostęp do niego możliwy jest po zapłaceniu okupu, wyrażonego w wirtualnej walucie. Haker grozi usunięciem danych albo ich upublicznieniem. Zaatakowanemu grozi to odpowiedzialnością odszkodowawczą, administracyjną, szkodami reputacyjnymi oraz finansowymi w przypadku ujawnienie tajemnic handlowych konkurencji.

£owienie informacji i podszywanie się, (phishing and spoofing)
Sprawca wysyła do określonej grupy odbiorców wiadomość elektroniczną, w której podszywa się pod instytucję zaufania publicznego w celu otrzymania od odbiorcy cennych danych (haseł do logowania, numerów transakcji) lub nakłania do wysłania wśród pracowników określonych komunikatów.

Incydenty odmowy dostępu (DoS)
To sytuacja polegająca na zalaniu sieci określonego użytkownika wiadomościami SPAM w liczbie wyczerpującej zdolność obliczeniową systemu. To prowadzi do przeciążenia systemu lub sieci i w efekcie blokuje możliwość efektywnej pracy na nim lub blokuje go całkowicie.
Odpowiedzią na powyższe wyzwania, które wynikają nie tylko z praktycznej ochrony firmy, ale przepisów prawa zawartych w RODO i ustawie o Krajowym Systemie Cyberbezpieczeństwa (KSC) są cyberubezpieczenia. Istnieją duże podobieństwa KSC i RODO. Obie wymagają działań opartych na ocenie oraz analizie ryzyka. KSC dotyczy tylko firm wybranych, tzw. firm kluczowych dla gospodarki jak ochrona zdrowia, podmioty finansowe, infrastruktura wodna i transportowa, usługi internetowe. RODO każdego przedsiębiorstwa.

Prywatność
W kwestii ryzyk związanych z wyciekiem danych ubezpieczenia cybernetyczne pozwalają na objęcie tych elementów ryzyka, które dotyczą odpowiedzialności za ich ujawnienie lub utratę lub po prostu ujawnienie prywatności konkretnych osób fizycznych. Tu mowa jest nie tylko o zapłacie zadośćuczynienia lub odszkodowania osobom, których dane zostały bezprawnie ujawnione, ale wszystkich kosztów działań, do których zobowiązana jest organizacji celem zminimalizowania negatywnych konsekwencji. Przykład: obowiązek poinformowania pisemnie każdej z osób, której dane wyciekły, usuniecie owych danych ze wszystkich miejsce w które trafiły, infolinia dla poszkodowanych.

Nadzór regulatora
W momencie zaistnienia incydentu i zgłoszenia go do organu nadzoru należy się liczyć ze wszczęciem postępowania. Kodeks karny przewiduje przestępstwa przeciwko bezpieczeństwu informacji, a brak nadzoru nad danymi czy doprowadzenie do ich wycieku może zostać zakwalifikowane właśnie jako przestępstwo. Niestety, naturalna konsekwencja egzekwowania przepisów może doprowadzić do nałożenia kar administracyjnych. Zarówno one, jak i cała pomoc prawna mająca na celu obalenie zarzutów lub ich zminimalizowanie mogą być objęte ochroną ubezpieczeniową.

Informatyka śledcza
Pojawienie się nieuprawnionego dostępu do zasobów informatycznych firmy to w efekcie konieczność zatrudnienia specjalisty. Jego głównym zadaniem będzie nie tylko zabezpieczenie systemu, ale zanalizowanie błędów, które doprowadziły do włamania i prześledzenie jego skutków. Tym zajmuję się tzw. informatyka śledcza i raczej nikt nie zatrudnia ich na stałe. To też sprawia, że zewnętrzny konsultant nie ma obawy przed obnażeniem zidentyfikowanych błędów czy zaniechań, bo jest z poza organizacji. Taki typowy harmonogram prac ekipy śledczych konsultantów obejmuje:

  • identyfikacje zainfekowanych stacji roboczych, serwerów i analizę śladów włamania,
  • ustalenie sposobu zabezpieczenia danych,
  • identyfikacje miejsce do których haker miał dostęp
  • i metody jakiej użył,
  • spisanie historii poczynań atakującego na systemach klienta ale również czy korzystał z innych systemów, jakich i gdzie.

Całość kosztów wymienionych działań może być pokryte z cyberpolisy.

Public Relation
W międzyczasie, kiedy powiadamiamy organy nadzoru, poszkodowanych klientów, zabezpieczamy systemy i szukamy sprawców powinniśmy zadbać o relacje. Każdy popełnia błędy, ale wartością jest wyjście z sytuacji z zachowaniem twarzy. Odpowiednie komunikaty, zachowanie pozytywnych relacji w mediach to zadanie agencji PR. Ich koszt po zaaprobowaniu planu działań, również wchodzi w zakres ochrony ubezpieczyciela.

Cyberwymuszenie
Na koniec odniosę się do przykładu ceber ataku na firmę księgową. Zablokowanie systemu obsługującego dziesiątki firm, jej klientów i szantaż sprowadzający się do wymuszenia na firmie w ciągu 5 godzin wpłaty za podanie kodu zwalniającego blokady. To cyberwymuszenie, czyli wiarygodna groźba wprowadzenia złośliwego oprogramowania lub zakłócenie pracy organizacji.
Konieczność poniesienia takiego kosztu jest ewidentną szkodą firmy. Dając w polisie taką ochronę, ubezpieczyciel zastrzega sobie wypłatę za jego uprzednią zgodą. Na pierwszy rzut oka budzi to zastrzeżenia przedsiębiorstw co do skłonności ubezpieczyciela do wypłaty, jednak z drugiej strony, jeżeli nie podejmie takiej decyzji może zapłacić znacznie więcej w wyniku spełnienia groźby. Sens ekonomiczny zwykle bierze górę.

Na co zwracać uwagę

Wszystkie wspomniane elementy trzeba brać pod uwagę. Nie każdy ubezpieczyciel ma doświadczenie w szybkim i efektywnym podejmowaniu decyzji i zdolność ubezpieczenia zidentyfikowanych przez nas ryzyk. Dlatego też, każda firma przy wsparciu doświadczonego brokera powinna przeanalizować potencjalne zagrożenia oraz dostosować wewnętrzne procedury, które następnie można pokryć ochroną ubezpieczeniową. Głównymi czynnikami oceny ryzyka, będą okoliczności związane z bezpieczeństwem sieci komputerowej konkretnej, ubezpieczonej firmy.

Badając bezpieczeństwo sieci u klienta broker powinien uzyskać informację o infrastrukturze IT: wieku sprzętu, częstotliwości modernizacji, technologii przesyłu danych i co najważniejsze położenie, rodzaj i właściciela serwerów służących do przechowywania danych. Aktualności i oryginalności systemów operacyjnych i programów używanych w toku wykonywanej działalności. Po infrastrukturze badamy wymagania stawiane pracownikom obsługującym systemy. Procedury zmiany haseł, dostęp osób postronnych do sprzętu, zakaz odbierania korespondencji pochodzącej od nieznanych adresów. Na koniec informacja o profilu działalności i zakresie terytorialnym.
Czy bezpieczny system istniej? Raczej nie, ale można się przygotować, żeby być zabezpieczonym.

Autor jest Brokerem Ubezpieczeniowym, Członkiem Zarządu, portalu: www.bezpieczenstwowbiznesie.pl, ekspertem ds. odszkodowań. W branży ubezpieczeniowej od 1999 r. absolwent UMK w Toruniu z tytułem MBA Dominican University w Chicago (USA)

 

Polecane
Zapisz się do newslettera:
Wyrażam zgodę na przetwarzanie moich danych osobowych w celach marketingu usług i produktów partnerów właściciela serwisów.

Ta strona używa plików cookies. Korzystając z tej strony wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki. Jeżeli nie wyrażasz zgody - zmień ustawienia swojej przeglądarki. Dowiedz się więcej z naszej polityki prywatności.

Zamknij