Nesvarbu, ar tai yra duomenų pažeidimas, išpirkos reikalaujanti programinė įranga, ar duomenų vagystė, vykdoma elektroninio pašto žinutėmis – įmonės susiduria su nuolat kintančiomis kibernetinėmis grėsmėmis. Kibernetiniai nusikaltimai kainuoja iki 600 milijardų JAV dolerių kasmet – išpuoliai, pavyzdžiui, praėjusių metų „NotPetya“ ir „WannaCry“ primena mums, kad skaitmeninis pasaulis skverbiasi į fizinį, sutrikdydamas įmonių veiklą, teisiniais mokesčiais ir netgi poveikiu prekės ženklui ir reputacijai.

Nepaisant didėjančios grėsmės, vis dar yra plačiai paplitusi klaidinga nuomonė apie kibernetinę riziką ir draudimus nuo jos.

Naujausios antraštės atkreipia dėmesį galimą painiavą dėl organizacijos komercinio draudimo portfelio apimties, įvykus kibernetinei atakai. Bendrovės „Aon“ „Kibernetinių sprendimų“ padalinio vyresnysis viceprezidentas ir prekybos strategijos vadovas Stephanie Snyder pažymi, kad plačiai paplitęs klaidingas požiūris, jog „draudimas nepadengia nuostolių nuo kibernetinių rizikų“, ir pabrėžia, kad paprastai tai būna draudimo liudijimai (polisai) ne nuo kibernetinių rizikų.

Kadangi kibernetinė rizika tampa plačiai paplitusiu reiškiniu, tokios rizikos apibrėžimas – nuo priežasčių iki nuostolių padengimo – yra diskutuotinas. Vis dažniau kibernetinė rizika, įsiskverbianti į mūsų gyvenimą su kredito kortelių perbraukimu ir tariamai nekaltų elektroninių laiškų paspaudimais, tampa „tylia“ rizika – tokia, kuri egzistuoja bet gali būti pastebėta tik patyrus nuostolius.

Tradiciniai komerciniai draudimo liudijimai, pavyzdžiui, turto draudimas ar draudimas nuo nelaimingų atsitikimų, nusikaltimų, pagrobimo ir išpirkimo atvejų, gali būti skirti ne kibernetinių nuostolių padengimui. Jei draudimo liudijime aiškiai negarantuojama, kad kibernetinės rizikos yra padengiamos, tai vadinama „tylių kibernetinių rizikų draudimu“ – tokiu atveju, nėra jokių garantijų, kad toks draudimo liudijimas iš tikrųjų padengs nuostolius.

Bendrovės „Aon“ „Pasaulinių ieškinių“ padalinio vadovas Neil Harrison, atkreipia dėmesį į tai, kad per pastaruosius kelerius metus padaugėjo su kibernetine erdve susijusių pretenzijų, įskaitant pretenzijas, susijusias su draudimais nuo kibernetinių rizikų, o taip pat atvejų dėl taip vadinamų „atsitiktinių kibernetinių išpuolių“. Tai reiškia, kad padengiami kibernetiniai nuostoliai, kurie nebūtinai yra įtraukti į draudimo liudijimą (polisą). Rezultatas gali būti „pretenzijų susikirtimas“, kai nuostolių priežastis gali sutapti daugiau nei pagal vieno draudimo liudijimo nuostatas, kaip antai, tradicinis turto draudimas ar draudimas nuo nelaimingų atsitikimų bei draudimas nuo kibernetinių rizikų. „Kadangi mes pastebime kibernetinio pobūdžio pretenzijų, traktuojamų pagrindine nuostolių priežastimi, augimą, todėl rinka persiorientuoja, prisitaikydama prie naujų kovos su kibernetinėmis grėsmėmis priemonių, ir todėl tokios grėsmės pradėtos vertinti kaip pagrindinis draudimo liudijimo tikslas, o ne turimo draudimo liudijimo padengimo elementas“, – sakė N. Harrison.

S. Snyder jam pritaria; šiandien mažiau nei pusė įmonių įsigyja savarankišką kibernetinio draudimo apsaugą, o tai kelia rimtą susirūpinimą dėl to, kad dėl didėjančios rizikos ne visi patirti nuostoliai gali būti padengiami. Kadangi pramonė imasi veiksmų šioms draudimo nuo kibernetinių grėsmių spragoms pašalinti ir užtikrinti, kad ši nauja rizikos rūšis būtų pakankamai padengta, ir, tuo pačiu, būtų daugiau aiškumo, kas dengiama tokio pobūdžio draudimu, o kas ne?

Kintantis kibernetinio draudimo pobūdis

Su kibernetinėmis rizikomis susijusių nuostolių atveju: kokios rūšies draudimas reikalingas?

Dažnai įmonės mano, kad jų turimi draudimo liudijimai tinkamai apsaugo nuo galimų nuostolių, atsirandančių dėl kibernetinių atakų. Jei draudimo liudijimo sutartyje nėra konkrečiai paminėta apsauga nuo kibernetinių atakų, gali būti, kad tokio pobūdžio nuostoliai gali būti nekompensuojami pagal tradicinį draudimo liudijimą.

Keturi galimi scenarijai išryškina su kibernetinėmis rizikomis susijusius įvykius ir galimus nematomus draudimo aspektus.

1. Socialinės inžinerijos nuostoliai

Pavyzdys: Tikslingas internetinis sukčiavimas arba kenkimo programinė įranga kelia grėsmę slaptai informacijai

Reikalinga draudimo apsauga:

• Profesinė atsakomybė. Profesinė atsakomybė padengia tik veiksmus, susijusius su neveikimu ar aplaidumu, padarytus teikiant profesionalias paslaugas, todėl kompensavimas yra mažai tikėtinas.
• Duomenų apsauga pagal intelektinės nuosavybės draudimo liudijimą, jei teikiama, priklauso nuo fizinio nykimo arba žalos pobūdžio. Pinigai ar vertybiniai popieriai – nedraudžiami.
• Komercinių nusikaltimų draudimas / finansinės institucijos garantija gali padengti tiesioginius pinigų ar vertybinių popierių nuostolius, atsiradusius dėl darbuotojo veiksmų, jei pastarasis buvo sąmoningai suklaidintas suklastotos informacijos.
• Draudimas nuo kibernetinių rizikų. Draudimas nuo kibernetinių rizikų nėra skirtas padengti pinigų ar vertybinių popierių praradimą ir, tikėtina, nepadengtų socialinės inžinerijos atakos sukeltų nuostolių.
• Direktorių ir kitų atsakingų darbuotojų civilinės atsakomybės draudimas. Šis draudimas gali padengti pretenzijas, pareikštas direktoriams ir kitiems atsakingiems darbuotojams dėl kibernetinio saugumo pažeidimo.

2. Fiziniai nuostoliai

Pavyzdys: „Įsilaužimas“ į gamintojo kompiuterį, ir mechanizmų sugadinimas.

Reikalinga draudimo apsauga:

• Komercinių nusikaltimų draudimas / finansinės institucijos garantija gali padengti tiesioginius pinigų ar vertybinių popierių nuostolius, atsiradusius dėl prisijungimo prie apdrausto kompiuterio sistemos, įvedant, keičiant ar ištrinant duomenis ar programas.
• Draudimas nuo kibernetinių rizikų. Fiziniai nuostoliai, atsirandantys dėl kibernetinės atakos, gali būti įtraukti į draudimą nuo kibernetinių rizikų, jei šiame draudimo liudijime yra numatyta padengti tokius nuostolius.
• Nekilnojamojo turto draudimas numato padengimą nuo įvykių, patenkančių į draudimo liudijimo ribas arba atitinkamas rizikas, atsirandančias dėl materialinio turto praradimo ar sugadinimo. Kai kurios draudimų rūšys gali apriboti padengimą nurodytoms rizikos rūšims arba konkrečioms rizikoms bei pavojingoms sąlygoms, ir, tokiu atveju, toks draudimas turėtų būti peržiūrėtas atsižvelgiant į patirtų nuostolių aplinkybes.

3. Duomenų pažeidimai

Pavyzdys: Kliento duomenų ar asmeninės informacijos atskleidimas

Reikalinga draudimo apsauga:

• Komercinių nusikaltimų draudimas / finansinės institucijos garantija neatlygina žalos, atsiradusios dėl pavogtų duomenų, asmeninės informacijos ar kitos slaptos informacijos, pavyzdžiui, komercinės paslapties.
• Draudimas nuo kibernetinių rizikų. Draudimas nuo kibernetinių rizikų skirtas apsaugoti įmonių veiklą elektroninėje erdvėje. Į draudimo liudijimo sutartį galima įtraukti įvairaus pobūdžio informacijos ir duomenų atskleidimą, įskaitant atsakomybę už duomenų pažeidimą.
• Direktorių ir kitų atsakingų darbuotojų civilinės atsakomybės draudimas. Šis draudimas gali padengti pretenzijas, pareikštas direktoriams ir kitiems atsakingiems darbuotojams dėl kibernetinio saugumo pažeidimo.
• Duomenų apsauga pagal intelektinės nuosavybės draudimo liudijimą, jei teikiama, priklauso nuo fizinio nykimo arba žalos pobūdžio. Fizinis praradimas ar duomenų pažeidimas, nėra skirtas teikti asmens duomenų apsaugą duomenų atskleidimo ar vagystės atvejais.

4. Įmonių veiklos sutrikdymas

Pavyzdys: 2017 m. „WannaCry“ ir „NotPetya“ atakos, 2018 m. – „SamSam“ išpirkos reikalaujančios programinės įrangos atakos, dėl kurių įmonių veikla buvo sustabdyta.

Reikalinga draudimo apsauga:

• Direktorių ir kitų atsakingų darbuotojų civilinės atsakomybės draudimas. Šis draudimas gali padengti pretenzijas, pareikštas direktoriams ir kitiems atsakingiems darbuotojams dėl kibernetinio saugumo pažeidimo.
• Draudimas nuo kibernetinių rizikų. Draudimas nuo kibernetinių rizikų gali padengti nuostolius, patirtus dėl įmonės veiklos sutrikdymo kibernetinėmis atakomis ir su tuo susijusius nuostolius, kuriuos patiria tiekimo grandinės partneriai, taip pat ir išpirkas dėl išpirkos reikalaujančių programinių įrangų atakų.
• Pagrobimo, apiplėšimo ir išpirkos reikalavimo draudimas. Šiuo metu rinkoje yra aiškinamasi ir mėginama išgryninti šios draudimo rūšies aprėptį, pavyzdžiui, kai kurie draudimo liudijimai teikia išpirkos, mokamos už kibernetinį prievartavimą, apsaugą.

Tais atvejais, kai nekilnojamojo turto draudimo liudijimai teikia duomenų praradimo ar žalos atlyginimo apsaugą bei apsaugą nuo paslaugų teikimą trikdančių išpuolių, tuomet įmonių veiklos sutrikdymo / laiko elemento apsauga yra teikiama visais atvejais, atsižvelgiant į bet kurią bendrą turto žalos / įmonės veiklos sutrikdymo kombinuotą kategoriją. Įmonės veiklos sutrikdymas dėl materialinio draudžiamo turto praradimo ar sugadinimo yra taikomas vadovaujantis galiojančiomis draudimo liudijimo nuostatomis arba taikomomis tarpinėmis rizikos kategorijomis.

Pagrindiniai akcentai

• Plėskite akiratį ir kuo daugiau diskutuokite apie kibernetinės rizikos vertinimą ne tik su vyriausiais informacijos apsaugos pareigūnais ar vyriausiais rizikos valdymo pareigūnais tam, bet į diskusiją įtraukite visų skyrių vadovus.
• Peržiūrėkite visas esamas draudimų rūšis, kad išsiaiškintumėte, kurie draudimo polisai teikia apsaugą nuo kibernetinės grėsmės ir ar reikalinga papildoma apsauga nuo tokio pobūdžio grėsmių. Užduokite papildomus klausimus apie tuos atvejus, kai draudimo liudijime nėra užsimenama apie kibernetines rizikas.
• Užtikrinkite, kad draudimo nuo kibernetinių rizikų liudijime būtų aiškiai įvardintos rizikos.
• Pakartotinai įvertinkite kibernetines grėsmes ir teikiamą draudimo apsaugą, nes nuolat atsiranda naujų kibernetinės rizikos formų.

Tarp kibernetinių grėsmių, su kuriomis susiduria įmonės – finansiniai nuostoliai arba duomenų atskleidimas, pasitelkiant socialinės inžinerijos priemones arba sukčiavimas, pasinaudojant kenkimo programine įranga, fizinė žala turtui, atsiradusi dėl kibernetinių atakų, duomenų pažeidimas, kuomet atskleidžiami asmeniniai klientų duomenys, ir, didžiausią poveikį turintis, įmonės veiklos sutrikdymas. Įmonės, turėdamos turto draudimą ar draudimą nuo nelaimingų atsitikimų ir pasikliaudamos „tyliuoju“ draudimu nuo kibernetinių rizikų, gali būti sunaikintos; bendrovės turėtų siekti užtikrintų apsaugos nuo kibernetinių rizikų garantijų ar sudaryti atskirą draudimą, apsaugantį išskirtinai nuo kibernetinio pobūdžio grėsmių.

„Susidūrusios su nuostoliais, įmonės sieks bet kokių įmanomų nuostolių kompensavimo būdų“,– teigė S. Snyder. „Jei jų draudimo liudijimai nebus pritaikyti tam, kad būtų sprendžiami konkrečiai su pažeidimais susiję nuostoliai, tuomet yra tikimybė, kad nebus suteikta apsauga.“

Holistinis požiūris į kibernetinį pažeidžiamumą ir tinkamos apsaugos kūrimas

Nepakanka „tyliojo“ draudimo nuo kibernetinių rizikų „Įmonėms tikrai reikia suprasti, kokios rūšies apsaugą jos teikia šiuo metu ir kokios joms reikia“, – teigė S. Snyder. Pavyzdžiui, kibernetinių rizikų vertinimo ir kiekybinio įvertinimo analizė gali padėti suprasti galimas silpnąsias vietas ir įvairius kibernetinių atakų scenarijus, modeliuojant galimą kiekvieno tikėtino scenarijaus finansinį poveikį. Kartu su esamų draudimo apsaugos priemonių apžvalga, susipažinimas su egzistuojančiomis silpnosiomis vietomis ir finansiniais padariniais, gali padėti priimti tinkamą sprendimą dėl draudimo nuo kibernetinių rizikų įsigijimo. Išsamiai įsigilinus į siūlomas draudimo apsaugos priemones, draudimas nuo kibernetinių rizikų gali padėti užpildyti esamas organizacijos kibernetinės apsaugos programos spragas.

Draudikai taip pat vaidina nemenką vaidmenį. Pavyzdžiui, modeliavimas ir scenarijų kūrimas gali padėti ne tik draudimo sektoriui pasirengti kibernetiniams nuostoliams, bet ir didesnėms organizacijoms atitinkamai pasiruošti. Bendrovės „Aon“ „Perdraudimo sprendimų“ grupės vadovas Jon Laux teigia: „Naudodamiesi įvairiais scenarijais, draudikai turi galimybę išbandyti savo portfelius, kovodami su kylančius kibernetinės rizikos pavojais. Šitai suvokdami, draudikai gali imtis priemonių, kad sumažintų riziką, pasinaudodami perdraudimo teikiamomis galimybėmis ir bendradarbiaudami su įmonėmis, ir, tokiu būdu, didintų savo pačių atsparumą. “

Suprasdami, kad apsaugai nuo kibernetinių grėsmių nėra vieno universalaus ir visiems tinkančio būdo, organizacijos ir draudikai toliau vystys ir plėtos diskusijas ir keis supratimą apie rizikas. Nuo modeliavimo ir scenarijų kūrimo iki geresnių apsaugos priemonių kūrimo, įvairios suinteresuotosios šalys ir toliau nagrinės dėl rizikos kylančias problemas.

Atsakomybės apribojimas: Visi aprašymai, santraukos ar minėtos apsaugos priemonės yra pateiktos tik bendrojo pobūdžio informaciniais tikslais ir nepanaikina ar nekeičia jokių faktinių draudimo liudijimų sąlygų. Apsaugos priemones reglamentuoja tik atitinkamos individualios draudimo sutarties sąlygos.