Cyberpolisa: parasol na wypadek zachmurzenia w bezpieczeństwie IT
Zarządzanie ryzykiem w obszarze cyberbezpieczeństwa i jego potencjalnymi skutkami finansowymi jest obecnie przedmiotem zainteresowania menedżerów najwyższego szczebla. Niniejszy wpis wyjaśnia, dlaczego dyrektorzy ds. bezpieczeństwa informacji oraz dyrektorzy finansowi powinni uznać cyberpolisę za istotny element ogólnego zarządzania ryzykiem w przedsiębiorstwie.
W pigułce
- Rosnąca liczba cyberataków oraz nowe, rygorystyczne przepisy dotyczące ochrony IT zmieniły klimat wokół bezpieczeństwa informatycznego.
- Ubezpieczenie od ryzyk cyfrowych jest obecnie postrzegane jako parasol finansowy, zapewniający kluczową ochronę w pochmurnym środowisku cyberbezpieczeństwa, ponieważ pomaga zmniejszyć koszty odzyskiwania danych po kradzieży, uszkodzeniu lub ich utracie, nawet przy zastosowaniu silnych środków zabezpieczających.
- Choć menedżerowie postrzegają obecnie cyberpolisy jako istotny element strategii zarządzania ryzykiem biznesowym, CISO, CIO i CFO mają odmienne priorytety i wymagania w zakresie ochrony technicznej, operacyjnej i finansowej.
W tej części naszej serii poświęconej cyberpolisom skupiamy się na obowiązkach dyrektorów ds. bezpieczeństwa informacji i dyrektorów finansowych. W poprzedniej odsłonie przyjrzeliśmy się bliżej znaczącej roli administratorów IT w procesie poszukiwania lub odnawiania polisy ubezpieczeniowej.
2023: zmienny klimat bezpieczeństwa IT
Fakty są oczywiste: na całym świecie znacząco wzrasta liczba firm, niezależnie od ich wielkości, które padają ofiarą cyberataków.
- Według CVEdetails.com w 2023 r. wykryto 29 065 luk w zabezpieczeniach, podczas gdy w 2022 r. było ich 25 083.
- Raport IBM z 2023 roku "Cost Of A Data Breach" wykazał, że średni koszt wycieków danych wyniósł 4,45 miliona USD lub 4,11 miliona EUR. Światowe Forum Ekonomiczne podało, że koszty cyberprzestępczości na całym świecie wyniosły 11,5 bln USD (10,6 bln EUR) w 2023 r. i oszacowało, że koszty te wzrosną do 23,8 bln USD (22 bln EUR) w 2027 r.
- Malwarebytes, dostawca oprogramowania z zakresu cyberbezpieczeństwa, opublikował raport, z którego wynika, że liczba znanych ataków ransomware skoczyła o 68 proc. w 2023 r., a średnie żądanie okupu gwałtownie wzrosło, przy czym najwięcej, bo aż 80 mln dolarów, zażądano po ataku na Royal Mail w Wielkiej Brytanii.
- Zgodnie z danymi Forescout Research, w 2023 r. odnotowano ponad 420 milionów ataków na infrastrukturę krytyczną. To ponad 13 ataków na sekundę, co stanowi 30-procentowy wzrost w porównaniu z 2022 r.
Użytkownicy infrastruktury krytycznej i powiązane z nimi firmy muszą stawić czoła zwiększonej kontroli oraz wymaganiom w zakresie cyberbezpieczeństwa i zgłaszania
incydentów. Narodowy Instytut Nauki i Technologii Stanów Zjednoczonych (NIST) opublikował we wrześniu 2023 r. "Guide to Operational Technology (OT) Security", aby pomóc użytkownikom
technologii operacyjnych w poprawie ich bezpieczeństwa. Nastąpiło to po przyjęciu w 2022 r. ustawy o zgłaszaniu incydentów cybernetycznych dla infrastruktury krytycznej, która przyznała
Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) uprawnienia do tworzenia i egzekwowania przepisów oraz nakazała zgłaszanie incydentów dostawcom infrastruktury krytycznej.
Nowa unijna dyrektywa NIS2 zaostrzyła wymogi dotyczące bezpieczeństwa IT w firmach i nakłada na menedżerów korporacji odpowiedzialność za zapewnienie, że firma spełnia najnowsze
standardy cyberbezpieczeństwa. Dyrektywa NIS2 ma wpływ na firmy zatrudniające ponad 50 pracowników i osiągające roczne przychody w wysokości co najmniej 10 milionów euro w
bankowości, opiece zdrowotnej, energetyce, transporcie i wielu innych sektorach. Szeroka gama firm, których dotyczą wymogi NIS2 i rosnące kary za ich nieprzestrzeganie, skłoniły prezesa
niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (Bundesamt für Sicherheit in der Informationstechnik lub BSI) do zalecenia firmom, by przeznaczyły co najmniej 20 proc. swoich
budżetów IT na środki cyberbezpieczeństwa.
Cyberpolisa: inny rodzaj „parasola” ochronnego
Jednym ze sposobów na uzyskanie przez firmy niezawodnego pakietu ratunkowego na wypadek incydentu cyberbezpieczeństwa jest wykupienie cyberpolisy. Różni się ona od tradycyjnego ubezpieczenia od odpowiedzialności cywilnej z tytułu prowadzenia działalności gospodarczej i zawodowej, które obejmuje szkody wynikające z błędów, awarii lub ograniczeń produktów lub usług. Ubezpieczenie od ryzyk cyfrowych pokrywa koszty powstałe wskutek ataku wpływającego na poufność, integralność lub dostępność danych elektronicznych, pomimo wdrożenia zgodnych z polisą praktyk bezpieczeństwa. Obecnie takie ubezpieczenie powinno być traktowane jako element zarządzania ryzykiem biznesowym i informatycznym.
Szczegółowy raport umożliwiający znalezienie odpowiedniego ubezpieczenia
Ubezpieczyciele przeważnie proszą firmy o wypełnienie specjalnego kwestionariusza, który pomaga określić, czy firma kwalifikuje się do ubezpieczenia oraz jak polisa powinna
być skonstruowana. Zawiera on pytania dotyczące wytycznych bezpieczeństwa, zarządzania ryzykiem, ochrony systemów informatycznych, oceny podatności na zagrożenia, tworzenia kopii
zapasowych danych i szkoleń pracowników. Przedsiębiorstwa muszą szczegółowo odpowiedzieć na te pytania, ponieważ w przypadku zgłoszenia szkody ubezpieczyciele
zweryfikują, czy kryteria zostały spełnione. Generalnie, im mocniejsze są zabezpieczenia firmy, tym lepiej ubezpieczyciele mogą ocenić konkretne ryzyko i zaoferować korzystniejsze polisy
ubezpieczeniowe.
Kompleksowe oprogramowanie do ujednoliconego zarządzania punktami końcowymi (UEM) takie jak baramundi Management Suite (bMS) zapewnia,
że firmy zawsze posiadają aktualną i dokładną wiedzę na temat ich systemów oraz stanu bezpieczeństwa, a także mogą udokumentować zgodność z obowiązującymi wymogami.
Różne priorytety przy wyborze zakresu ochrony
Proces złożenia wniosku o cyberpolisę wymaga obecnie zaangażowania wielu pracowników i działów firmy. Przykładowo, dyrektorom ds. bezpieczeństwa informacji (Chief
Information Security Officer) zależy, aby ubezpieczenie obejmowało określone zagrożenia, takie jak kradzież i naruszenia danych, a także przerwy w działalności. Zakres ochrony i
usług reagowania na incydenty również mają istotne znaczenie.
Dyrektorzy IT (CIOs) koncentrują się na pokryciu szkód w infrastrukturze informatycznej i danych firmy, w tym na ochronie przed złośliwym oprogramowaniem i uszkodzeniami
fizycznymi. Obejmuje to szczegóły techniczne i wymagania dotyczące ochrony sprzętu i oprogramowania.
Dyrektorzy finansowi (CFO) zainteresowani są pokryciem strat związanych z naruszeniem bezpieczeństwa cyfrowego, w tym przerw w działalności i roszczeń z tytułu
odpowiedzialności cywilnej. Nadrzędne znaczenie mają analizy kosztów i korzyści oraz potencjalny wpływ finansowy incydentów bezpieczeństwa.
Ochrona na rzecz bezpieczniejszej przyszłości
Nie ulega wątpliwości, że nie tylko dyrektorzy finansowi zwracają uwagę na koszty. Cyberpolisy są coraz droższe, co wynika po części ze wzrostu liczby konfliktów
międzynarodowych oraz sponsorowanych przez państwa i zorganizowanych grup cyberprzestępczych. Na przykład Microsoft stał się
ofiarą grupy hakerów finansowanych przez Rosję, co doprowadziło do ujawnienia maili wielu menedżerów najwyższego szczebla.
Inwestycja w ubezpieczenie od ryzyk cyfrowych wymaga dokładnego przygotowania i analizy, ale w sytuacji awaryjnej może mieć decydujące znaczenie dla wielkości szkód i szybkości ich naprawy.
Polisa zapewnia odszkodowanie w przypadku cyberataku oraz pokrywa koszty badań kryminalistycznych i przerw w działalności ubezpieczonego.
Ubezpieczyciel zapewnia również dostęp do specjalistycznej wiedzy, która pomoże w ocenie ryzyka i zapobieganiu mu. Dyrektorzy ds. bezpieczeństwa informacji oraz dyrektorzy finansowi muszą
się upewnić, że zachowują właściwą równowagę między kosztami ubezpieczenia a zapewnieniem środków bezpieczeństwa spełniających wymagania ubezpieczyciela. Nawet jeśli cyberpolisa nie zastąpi
wdrożenia odpowiednich i zgodnych z przepisami środków bezpieczeństwa informatycznego, to zapewni ochronę przed szkodami wynikającymi z cyberataku.
Zgodnie z nowymi przepisami i często zmieniającym się klimatem bezpieczeństwa IT, ubezpieczenia stały się integralną częścią nowoczesnego zarządzania ryzykiem biznesowym i
informatycznym.
Wskazówki dotyczące uzyskania cyberpolisy
Zastanawiasz się nad dodaniem, odnowieniem lub zwiększeniem zakresu ubezpieczenia od ryzyk cyfrowych w ramach strategii zarządzania ryzykiem IT i biznesowym? Oto 6 kluczowych zaleceń od baramundi, które pomogą Ci uporządkować związane z tym zawiłości.