Pred 498 dnevi
· Čas branja: 3
· Poslušaj vsebino
Požar, potres… ali hekerski napad – kaj imate raje?
Vse nezgode se lahko ponovijo. In to ne samo enkrat. Za zavarovalnice se mnogokrat sliši, da trgujejo z nesrečo. Vendar si pravzaprav nihče ne želi škodnega dogodka, niti zavarovanec, kaj šele zavarovalnica.
Ne glede na to, da ne pričakujemo, da bi se nam kaj zgodilo, smo za tisto vsaj osnovno finančno zaščito v primeru nesreče brez težav pripravljeni odpreti denarnico. Še posebej, ker si morebitna tveganja znamo predstavljati. Doletela so že naše znance, celo sami smo se znašli v takšnih situacijah – najpogosteje v prometu ali ko gre kaj narobe z zdravjem. Podjetja imajo seveda lahko celo vrsto drugih škodnih dogodkov in mnoga se zanje tudi zavarujejo.
Ali smo v podobnem položaju tudi vsi tisti, ki se ukvarjamo z informacijsko varnostjo? Na nek način zagotovo. Svojo dejavnost utemeljujemo z zaščito pred kibernetskimi tveganji, ki lahko pomenijo žrtvi veliko nesrečo. Pomembna razlika pa le je. Strankam ob uresničitvi tveganj ne izplačujemo zavarovalnin ampak poskrbimo, da se njihove posledice čimprej odpravijo s procesnega vidika – da lahko čimprej normalno poslujejo. V nekaterih primerih jim celo pomagamo, da pridobijo izgubljeni denar, recimo pri direktorski prevari, ali jih opozorimo, če odkrijemo, da se prijavni podatki za njihove informacijske sisteme znajdejo na črnem spletu. V osnovi pa naše stranke ščitimo, da do “nesrečnih” dogodkov sploh ne pride.
Je pa še ena ključna razlika. Podjetja se večinoma ne zavedajo, kakšna sploh so tveganja, do kakšnih škodnih primerov lahko pride v primeru kibernetskega napada. Škoda se lahko vrednostno enači z udarom strele, požarom v delu podjetja ali poplavo, ki uniči celo proizvodno linijo ali skladišče z materialom. Z eno posebno razliko – podjetja kibernetskih napadov običajno ne prijavijo, čeprav bi jih morala, na SI-CERT ter organom pregona. Razlog je preprost, v primeru kibernetskega napada se močno načne zaupanje poslovnih partnerjev. Predstavljajte si samo, na kaj bi pomislili, če bi izvedeli, da so pri vašem tesnem poslovnem partnerju izvedli hekerski napad. Bi vas bilo kaj strah za vaše podatke, za informacije, ki sta si jih s partnerjem izmenjevala? Kako bi se spremenil vaš odnos do partnerja? Bi mu še brez problema pošiljali občutljive poslovne informacije?
Škoda zaradi kibernetskega napada je lahko mnogo večja in dolgoročnejša kot samo izplačilo “odkupnine” izsiljevalcu ali nakazila pri direktorski prevari. Poleg tega mi ni poznan primer, da bi zavarovalnica lahko točno izračunala in povrnila vso škodo, ki jo povzroči hekerski napad. Poznamo zavarovanja računalniške opreme, kjer se zavaruje material, na primer okvara diska ali uničenje računalnika v požaru. Poznamo tudi zavarovanja neposredne škode, ki jo podjetje utrpi zaradi izgube vsebine na disku oziroma računalniku. Ostane pa vprašanje kako izračunati in dobiti povrnjeno škodo izgube ugleda ob kompromitaciji sistema.
Z gotovostjo lahko trdim, da se velika večina, vsaj 80 odstotkov podjetij odloči za korenito izboljšanje kibernetske zaščite šele, ko postanejo žrtve napada. V resnici je ogromno podjetij vseh velikosti, ki so že doživela hekerski napad. In kar je še posebno skrb vzbujajoče, podjetja velikokrat sploh ne vedo, da so že bila žrtve. Problem pri vsem tem je še, da se vzorci obnašanja hekerjev močno spreminjajo. Še nedavno je podjetje ob plačilu odkupnine za zaklenjene sisteme prišlo spet do svojih podatkov, sedaj pa je čedalje več primerov, ko hekerji kljub plačilu odkupnine sistemov ne povrnejo v delovanje. Tudi pri sami kraji prijavnih podatkov se je zgodila sprememba. Hekerji jih namreč prodajajo na črnem spletu, kjer so lahko za majhen denar na voljo vsakemu, ki vidi priložnost za zaslužek. Vaših podatkov torej ne bo zlorabil samo en napadalec ampak vsak, ki bo zaslutil korist.
Ni odveč ponoviti, da se je v zadnjem letu v svetovnem merilu za nekajkrat povečalo število hekerskih napadov. Samo v našem varnostno-operativnem centru, kjer sodelujemo z varnostno razmeroma dobro ozaveščenimi uporabniki smo zaznali za 60-odstotkov več varnostnih incidentov, kot leto poprej. Dejstvo je, da se tveganja le še povečujejo. Ali boste vaše podjetje kibernetsko zaščitili pred ali po hekerskem napadu pa je samo stvar treznega razmisleka in zdrave pameti.