Nem telik el úgy nap, hogy ne jelenne meg legalább egy szalagcikk egy nagy cég informatikai rendszerének megtámadásáról, adatlopásról, szolgáltató rendszerek lefagyásáról, kormányzati portálok megbénításáról. Már csak arra kapjuk fel a fejünket, ha legnagyobb végvárak látszanak elesni, mint legutóbb, a nemzetközi banki átutalások gerincét adó SWIFT-et ért hekkerakció. Az incidensek nyomán rendre megjelenő biztonsági ajánlások ellenére látványosan nő a kibertámadások száma, és még gyorsabban nő az általuk okozott kár.
Jól szemlélteti mindezt, hogy 2015-volt az első év, amikor az AON kockázatkezelési felmérése a tíz legsúlyosabb kockázat közé sorolta a kiberkockázatot. Tegyük hozzá, hogy az első helyen évek óta a reputációs kockázat áll, márpedig a kibertámadások egyik gyakori negatív kimenete éppen a reputációs veszteség (lásd: Sony-incidens, Facebook- vagy a Google-fiókok jelszavainak ellopása, stb.) Kockázati értelemben a kétféle kockázat közös sajátossága, hogy a cég egészét érinthetik, míg a többi kockázat általában valamilyen földrajzi vagy szervezeti egységre, kapacitásra korlátozódik, és ezért különösen nagy lehet a kárérték.
Míg tehát az ICT-kockázatok értéke nagyobb is lehet az ipariakénál, és a társaságok eredmény-kimutatásaiban szereplő fizikai és ICT-eszközök értéke nem mutat jelentős eltérést, addig a fizikai eszközök 51 százalékát biztosítják valamilyen káreseményre, a kiberkárokért felelős eszközöknek viszont csak a 12 százaléka biztosított. Ha a hajózás hőskorában már jelentős biztosítási szegmens volt a kalózkodás elleni biztosítás, akkor adódik, hogy a modernkori (internetes) kalózkodás ellen is biztosítva legyünk, hiszen a támadások valószínűsége egyre nagyobb. E támadások során pedig nemcsak egy-egy hajót, hanem alkalmanként az egész flottát elveszíthetjük, gondoljunk csak egy sharing economy-n alapuló startupra, vagy egy fintech cégre, ahol az adat a társaság legfontosabb vagyoneleme.
Az újságcikkek általában leragadnak az elsőként napvilágot látó információknál, azaz az ellopott adatok mennyiségénél, vagy a közvetlen károk értékénél, de a károsult cégek életében a költségviselés csak itt kezdődik. A kárelhárítás költségei messze túlmutatnak a saját károk fedezetén. A felelősségvállalás minden iparágban jelentős összegre rúg (gondoljunk csak a Shell-katasztrófára, a Mexikói-öbölben bekövetkezett olajszivárgására). Kiberkárok esetén sincs ez másként: előbb ki kell fizetni a kríziselhárítás díját és a felelősségi körbe tartozó károkozást (ezek együtt jellemzően a költségek 78 százalékát teszi ki), majd a jogorvoslati költségeket és a nem csekély bírságot, ami az új uniós szabályozásnak köszönhetően elérheti a 20 millió eurót is.
Mindezek felismerése szülte az igényt, hogy az adatsértés során felmerülő közvetlen költségek fedezetén túl a saját és felelősségi károkat is fedezzék a társaságok. Kockázatáthárításra azonban kizárólag akkor lehetséges, ha tisztában vagyunk a kockázat mértékével. Ehhez látni kell az esetleges fenyegetettségek sorát és azokat a kárhatásokat, amelyeket fedezni szükséges. Ez olyan részletes elemzést (biztonsági átvilágítást) igényel, amelyet egy biztosítótársaság sem tud önmaga kezelni. Részint azért, mert bizalmas üzleti működésbe kellene betekintenie, résszint pedig azért, mert tisztában kell lennie az adott iparág sajátosságaiból eredő fenyegetettségekkel. Ezt a feladatot a nagy nyugati biztosítók ágazati profik bevonásával oldják meg: az AIG az adatvesztés miatt bekövetkezett kár mérsékléséről szóló termékét, a CyberEdge-et olyan partnerekkel erősítette meg, akik egyrészről a kiberfenyegetettségeket elemzik és értékelik, másrészről képesek független auditokkal átvilágítani a biztosítandó társaságokat, ezáltal megtalálva a szükséges és elégséges kockázatáthárítási szintet és mértéket.
Az AIG partnerei együttesen csaknem teljesen lefedik az információbiztonság főbb területeit, így együtt átfogó képet adhatnak az adott társaság kiberbiztonsági helyzetéről, és javaslatot tudnak tenni arra vonatkozólag, hogy azt milyen pontokon és hogyan kell megváltoztatni ahhoz, hogy a biztonság hatékonyan növelhető legyen. Mivel teljes biztonság így sem – sőt sosem – érhető el, a cégnek ezután is érdemes lesz biztosítást kötnie az AIG-vel, de a biztosítási díj a javaslatok végrehajtása után a potenciális károkhoz és a bekövetkezési valószínűséghez képest ezután már egy értelmezhető összeg lesz.
Kiberbiztonsági biztosítás már Magyarországon is köthető, de arra még várni kell, hogy az ágazat hazai nagyszereplői kitermeljék a maguk auditot, végrehajtást és biztosítást együttesen tartalmazó, komplex termékét. Ennek oka talán az lehet, hogy a magyar cégek – méretüknél fogva – nem állnak az igazán profi hekkerek célkeresztjében. Ez azonban két komoly okból is hamis biztonságtudatot jelent:
- Éppen az jelentéktelenségből fakadó biztonságérzet tette lehetővé, hogy – feltehetően észak-koreai hekkerek – a bangladesi központi bankon keresztül az egész világ nemzetközi átutalásait végző SWIFT-et is sikerrel kompromittálják.
- Korábbi cikkünkben már bemutattuk, hogy kalózkodáshoz szükséges eszközök egyre olcsóbbá válnak a feketepiacon, ami viszont azt jelenti, hogy egyre kisebb haszonnal kecsegtető célpontok is vonzóvá válhatnak a támadók számára.
Kiberbiztonság terén ma még elmondhatjuk, hogy szinte mindenki a mások kárán tanul: sokkal kevesebb céget ért sikeres támadás, mint amennyit nem. Azt azonban nem árt észrevenni, hogy ágazati és egyéb bontásokban ez már nem igaz. A bankárok addig derültek az elavult kormányzati rendszereket ért támadásokon, míg valamelyiküket el nem érte egy komoly incidens, ami az egész szektort kijózanította. A kereskedők addig mutogattak a bankokat érő támadásokra, míg ki nem derült, hogy az ő adataik is fontos célpontokká váltak a támadók szemében. Az Apple-rajongók addig fogták a hasukat a Windows-os rendszereket ért támadásokon, míg maguk is áldozatokká nem váltak, és így tovább.
Nem kellene megvárni, amíg egy nemzetközi szinten kicsi, magyar viszonyok között azonban nagyvadnak minősülő célpontok is külső támadások, vagy belső csalások áldozatává válnak.
A cikk a portfolio.hu híroldalon jelent meg 2016. június 19-én.
Bővebb profil
