Piše: Bojan Jovanovic, direktor sektora za korporativne klijente, Marsh
Poslednjih godina na tržištu osiguranja u Srbiji svedoci smo jednog pozitivnog i pohvalnog trenda kojim poslodavci dokazuju da brinu o svojim zaposlenima i većina kompanija im obezbeđuje dobrovoljno zdravstveno osiguranje koje pruža mogućnost najbrže i najbolje moguće zdravstvene nege u slučaju potrebe. Iz godine u godinu primećujemo rast premije i zaključenih ugovora osiguranja ovog tipa, koja i pored velike osnovice i baze iz prethodnih godina, godišnje raste oko 40% kao grana osiguranja. Sa druge strane, ono gde primećujemo vrlo slab razvoj i rast, odnosno ne vidimo razvijenu svest poslodavaca i odgovornih lica u kompanijama, jeste sajber osiguranje, koje se praktično može smatrati zdravstvenim osiguranjem kompanija, imajući u vidu da odgovara kada kompanije napadne „bolest“, odnosno određeni hakerski napad, bilo direktno i ciljno uperen protiv vaše kompanije, bilo kao posledica manje ustremljenih hakera, koji ciljaju mnoštvo meta od kojih je jedna i vaša kompanija. Kada je u pitanju trend zaključenja ove vrste osiguranja, na godišnjem nivou primećujemo vrlo simboličan rast ove vrste osiguranja, oko 1,5%, i što je dodatno poražavajuće, na vrlo malu osnovicu poredeći sa zaključenim polisama i premijama plaćenim u prethodnim godinama. Imajući u vidu napred navedeno, a poredeći sa zapadom, pokazujemo znatno nižu svest o sajber riziku, pa su samim tim i ulaganja u prevenciju i zaštitu, kako informatičku tako i osiguravajuću, na nivou na kome je na zapadu svest bila početkom ovog veka.
Kako je sve počelo?
Kada je u pitanju samo sajber osiguranje, ovde bismo se najpre vratili na početak, odnosno period kada su tehnologija i internet evoluirali, kasnih 90-ih godina prošlog veka, kada je sve više kompanija počelo da se oslanja na internet i onlajn poslovanje, a hakeri pokušavali da pronađu načine da izvuku finansijske benefite iz ovih novih trendova u poslovanju. Kako industrija osiguranja, iako je neki smatraju konzervativnom i usporenom, uvek pokušava da prati potrebe koje nameće razvoj privrede i tehnologije, ovaj period označava i početak sajber osiguranja koje je u početku praktično bilo koncipirano kao osiguranje od profesionalne odgovornosti, sa fokusom na rizike koji su povezani sa medijima i softverom, da bi u kasnijim 2000-im godinama počelo da pokriva i gubitak podataka, bezbednost mreže i kompjuterske viruse i u tom periodu je već stasavala ideja da je pored pokrića sajber osiguranjem trećih lica, potrebno pružiti i pokriće prvog lica, odnosno imovinu same kompanije, u smislu datoteka, prekida rada, sajber iznude i sličnih rizika.
Kako hakeri napadaju?
Danas smo u situaciji u kojoj najveći rizik predstavljaju sistemski rizici, odnosno oni koji po svojoj biti pogađaju jako veliki broj osiguranika, kao što su Petya – Not petya, Wannacry i Log4j, samim tim i veliki broj polisa (npr. napadom Log4j je pogođeno oko 10.000 polisa jednog svetskog osiguravača), dovode do disrupcije u lancima snabdevanja i ransomware rizici za koje je vezan jedan od u poslednje vreme najpoznatijih napada, koji se dogodio kompaniji Colonial kojim je pogođen jedan od najvećih naftovoda u Severnoj Americi.
Dakle kada su u pitanju tipovi incidenata, danas dominiraju sajber iznuda odnosno ransomware, upadi u bazu podataka kojim hakeri dobijaju neautorizovani pristup vašim poverljivim i osetljivim – ličnim podacima, zatim elektronski kriminal, regulatorne kazne vezane za povredu obaveze čuvanja podataka trećih lica, socijalni inženjering i prekid rada mreže.
I tu najzad dolazimo do mogućnosti koje imamo da putem sajber osiguranja zaštitimo svoje poslovanje od napred navedenih rizika. Iz našeg iskustva, koje je na globalnom nivou veliko, došli smo do zaključka da u principu dva uzroka mogu dovesti do sajber događaja, a to su zlonamerni napad usmeren ciljano na vašu kompaniju ili slučajni događaj koji se svodi na nenamerno slanje osetljivih podataka trećem licu. Kada do ovih slučajeva dođe, poslovanje kompanije je ugroženo sa tri aspekta. Najpre postoji problem sa poverljivošću, kako naših podataka tako i informacija koje držimo o trećim licima, koji su osetljivi, a nad kojima više nemamo kontrolu. Tu je i problem integriteta podataka kojima raspolažemo i koji mogu biti promenjeni od strane napadača, te se nalazimo u sitauciji da je upitno da li su podaci koje ćemo koristiti u obavljanju svog posla tačni. I konačno postoji i problematika naše dostupnosti i mogućnosti da funkcionišemo kao do tada. Svi ovi problemi dovode do posledica koje se ogledaju u gubitku prihoda, dodatnim troškovima za kompaniju da se od napada odbrani i odgovornosti prema trećim licima, odnosno onom što nazivamo „nefizičkim sajberom“.
Napred navedene probleme možemo i moramo pokušati da preveniramo raznim vrstama sajber zaštita, kao što su antivirus programi, multifaktor autentifikacija, endpoint zaštita, ali kada sve ovo nije dovoljno, a sve se češće dešava da i pored redovne sajber higijene dolazi do incidenata i uspešnog delovanja hakera, na raspolaganju je sajber osiguranje koje služi tome da sve posledice sajber napada prenesete na osiguravajuće društvo sa kojim ste ovu vrstu osiguranja zaključili.
Šta polisa „radi“?
Kada dođe do sajber incidenata, polisa osiguranja bi po pravilu morala da pokrije celokupnu lepezu rizika koju smo napred navodili. Ova zaštita počinje od asistencije u toku samog sajber napada i saveta kako delovati i postaviti se kada je napad prepoznat i dok je u toku. Imajući u vidu da kada do sajber napada dođe, da će posledice najverovatnije biti kompleksne, polisa osiguranja pokriva najpre angažovanje IT stručnjaka na samoj rektifikaciji i obnovi podataka i datoteka koje su oštećene ili uzurpirane. Pored navedenog rizika, koji smatramo osnovnim, polisom se dalje pokriva prekid rada, odnosno gubitak profita koji smo pretrpeli usled nemogućnosti da redovno obavljamo svoju delatnost, a polisom se može pokriti i sajber iznuda do koje dolazi kada napadač „zaključa“ naše datoteke i traži određeni iznos novca, najčešće u formi kriptovaluta, kako bi nam dostavio kod kojim bismo otključali i opet uspostavili pristup našim podacima. Konačno, polise osiguranja bi morale da pruže pokriće i za regulatorne kazne i penale koje regulatorno telo može odrediti vašoj kompaniji, kao i eventualne tužbe trećih lica zbog izloženosti i gubitka njihovih podataka.
A šta „ne radi“?
Bitno je napomenuti da polise sajber osiguranja po pravilu ne pokrivaju tzv. „fizički sajber“, odnosno štete na imovini koje nastanu usled npr. požara izazvanog u nekom proizvodnom pogonu napadnute kompanije, kao i prekid rada do koga dolazi usled ovakvih i sličnih uzroka, kao i tužbe trećih lica koje bi bile opet posledica neke povrede ili oštećenja imovine čiji je uzrok „fizički sajber“. Takođe, kako većina ljudi očekuje da bi sajber osiguranje trebalo da pokrije i krađu novca sa računa i prilikom određenih transakcija, bitno je skrenuti pažnju da i ova vrsta rizika nije ona koja se pokriva sajber osiguranjem, već vrstom osiguranja koje se naziva „crime“ osiguranje.
Dakle da zaključimo, sajber rizik je u svetu trenutno prepoznat kao jedan od najvećih rizika po poslovanje kompanija. Sajber higijena nam je na raspolaganju u vidu raznih vrsta sajber zaštite, a kao dodatna brana i kao „zdravstveno osiguranje naše kompanije“ na raspolaganju nam je sajber osiguranje koje je tu da svoje poslovanje vratimo u normalne tokove najbrže moguće i bez gubitaka koji ga mogu ugroziti na duže staze.
