EN LV EE

Nauji programišių nusikaltimai ir Rusijos sukeltas karas skatina draustis nuo kibernetinių įsilaužimų

Kibernetiniai įsilaužimai šiuo metu tapo viena svarbiausių Lietuvai gresiančių rizikų, teigia pasaulinė draudimo brokerių bendrovė „Aon“. Jos atstovai Lietuvoje praneša, kad per pastaruosius trejus metus paklausa šiai draudimo rūšiai mūsų šalyje auga sparčiausiai, o draudimo įmokų sumos Lietuvos rinkoje auga daugiau nei triskart: nuo 600 tūkst. Eur (2019 m.) iki prognozuojamų 2 mln. Eur šiemet.

Vasarį Rusijos pradėtas karas Ukrainoje draudimo bendroves paskatino iš esmės peržiūrėti Lietuvai gresiančias rizikas. Beprecedentes ekonomines sankcijas patirianti Rusija sieks kerštauti Vakarų valstybėms, pirmiausia – artimiausioms kaimynėms, tarp kurių yra ir Lietuva. Draudikų nuomone, mūsų šalies narystė NATO aljanse teikia daugiau garantijų, kad Rusija nesiims tiesioginių karinių veiksmų, tačiau aktualesnė tampa kita rizika: siekdama sutrikdyti Lietuvos valstybės ir verslo įmonių veiklą, Rusija gali aktyviau vykdyti kibernetines atakas.

„Aon Baltic“ vidiniais duomenimis, norinčių apsidrausti nuo kibernetinių rizikų įmonių skaičius Lietuvoje kasmet auga: 2020 m. draudimą nuo kibernetinių grėsmių įsigijo 51 įmonė, pernai – beveik trečdaliu daugiau, 66. O šiemet tikimasi, kad tokių įmonių skaičius išaugs dar 15 proc. ir sieks 75.

Linas Pikšrys, „Aon Baltic“ specializuotų rizikų draudimo grupės vadovas Lietuvoje atkreipia dėmesį, kad visame pasaulyje daugėjant kibernetinių incidentų skaičiui susidomėjimas draudimu nuo šių grėsmių auga itin sparčiai: pasaulinė brokerė „Aon“ šiemet prognozuoja beveik 19 mlrd. JAV dolerių įmokų sumą, palyginti su pernai pasirašytais 7,15 mlrd. JAV dolerių.

Draudimo ekspertas taip pat pastebi, kad pernai draudimo rinka, atlygindama kibernetinių incidentų sukeltas žalas, patyrė nuostolių, todėl šiemet draudimo įmokos augo.

Aktyviau draustis paskatino pandemija, vėliau – karas

L. Pikšrio pasakojimu, įmonės vis geriau supranta kibernetinių rizikų grėsmes, todėl draudžiasi aktyviau: jei 2020 m. „Aon Baltic“ šiai draudimo paslaugai pasirašytos įmokos siekė 400 tūkst. Eur, pernai šis skaičius išaugo daugiau nei dvigubai, iki 840 tūkst. Eur, o šiemet tikimasi pasirašyti 1,5 mln. Eur įmokų.

„Kibernetinių grėsmių augimui įtakos turėjo ir pandemija, kurios metu daug įmonių darbuotojų turėjo dirbti iš namų, tačiau ne visi buvo tinkamai parengti tokiam darbui, stokojo saugumo žinių“, – sako L. Pikšrys.

Jis atkreipia dėmesį, kad draudimas nuo kibernetinių grėsmių apima 9 svarbiausias atsakomybės sritis. Priklausomai nuo įmonės dydžio ir veiklos pobūdžio, draudikai rekomenduoja apsidrausti nuo tikėtinos žalos klientams, jei dėl kibernetinio įsilaužimo pastarieji patirtų nuostolių. Taip pat svarbu įvertinti, kokią žalą gali tekti patirti ir kiek baudų sumokėti tuo atveju, jei įvyktų su asmens duomenų apsauga susiję BDAR pažeidimai.

Nusikaltėliai sukūrė „naują paslaugą“, susijusią su išpirkos reikalavimu – RaaS (Ransome as a Service)

Draudimo brokerio teigimu, viena iš dažniausiai patiriamų incidentų rūšių – išpirkos reikalavimas iš įmonės po įsibrovimo į jos informacines sistemas ir jų užblokavimo.

„Rinkoje net atsirado terminas RaaS (Ransome as a Service) – tai programišių teikiama kriminalinė paslauga, kuria piktavaliai naudojasi šantažuodami įmones ir reikalaudami atlygio už IT sistemų atrakinimą“, – sako draudimo ekspertas.

Kitas svarbus aspektas – įvertinti, ar įvykus kibernetiniam incidentui gali sustoti verslas. Tai ypač svarbu paslaugas internetu teikiančioms įmonėms, pvz., el. parduotuvėms. Turėdamos draudimą, įmonės gali kreiptis dėl žalos kompensavimo, kurį patirtų sustojus įprastam verslui ir laukdamos, kol būtų atkurta įprasta veikla.

Dar viena rizika, kurią turėtų įvertinti mažos ir vidutinio dydžio bendrovės – tai kibernetiniai nusikaltimai, kurių metu piktavaliai apsimeta kitais asmenimis ir, pvz., prašo atlikti pavedimus į suklastotas sąskaitas. Dažnu atveju įmonės spėja sukčiams pervesti dešimtis tūkstančių eurų ir didesnes sumas, kol išaiškėja, kad įvyko klastotė, o įprasti verslo partneriai negavo atsiskaitymų.

„Drausdami nuo kibernetinių rizikų visuomet primename, kad įsilaužimų metu dažnai prarandami visi duomenys arba jų dalis, o jiems atkurti gali prireikti kelių dienų arba savaičių, – sako L. Pikšrys. – Tik įsivaizduokite, kokių nuostolių gali patirti įmonės, jei dingtų duomenys apie klientų naudojimąsi paslaugomis ir apie jų atsiskaitymus. Tokios informacijos atkūrimas kainuoja brangiai, šias paslaugas teikiančių specializuotų įmonių įkainiai kasmet didėja: įsilaužimų kasmet vis daugėja, tačiau duomenų atkūrimo įmonės nespėja tokiu pačiu tempu auginti kvalifikuoto personalo skaičiaus. Nepaisant tokių paslaugų kainų augimo, draudimas šias išlaidas atlygina.“

Kibernetinių rizikų draudimas apima ir daugiau rizikų – pvz., šmeižto viešojoje erdvėje, darbuotojų netyčia sukeltus nuostolius, intelektinės nuosavybės pažeidimus. O finansinės institucijos įprastai į draudimo sutartį įtraukia dar vieną riziką, susijusią su mokėjimo kortelių naudojimu ir duomenų apie jų naudojimą nutekinimu.

Papildoma nauda – būtinybė pasirūpinti tinkama IT sistemų apsauga

Išskyrus draudiminę apsaugą, užtikrinančią nuostolių kompensavimą, įmonėms prieš apsidraudžiant rekomenduojama atlikti nemažai namų darbų, kuriuos įvykdžius iš esmės sustiprinamas atsparumas kibernetinėms atakoms. Prieš apsidraudžiant kiekvienai įmonei patariama atlikti išsamų auditą, apimantį darbuotojų informuotumą apie saugumą internete, IT sistemų parengimą kibernetinėms atakoms, teisingą teisių ir prieigos suteikimą, techninės ir programinės įrangos apsaugą, ugniasienių ir antivirusinių programų naudojimą, įsibrovimų fiksavimo sistemą, informacijos saugumo politikos ir verslo tęstinumo plano parengimą, kritinių duomenų dubliavimą, kopijų laikymo saugumą, nuotolinės prieigos apsaugas, rizikų valdymo procedūras, trečiųjų šalių prieigos prie duomenų politiką, IT paslaugų teikėjų valdymą, krizių valdymo planą ir daug kitų aspektų.

„Nepaisant to, kad vis daugiau įmonių supranta kibernetinių grėsmių svarbą, vis dėlto kol kas draudimu labiau domisi didelės tarptautinės organizacijos ir IT sektoriaus įmonės. Rekomenduotume kiekvienai organizacijai įvertinti, kokią tikėtiną žalą galėtų sukelti įsilaužimas ar kitos kibernetinės rizikos, ir pasirinkti tinkamą draudimo apsaugą. Ypač tuo turėtų susirūpinti elektroninės parduotuvės ir didelius asmens duomenų kiekius valdančios įmonės“, – reziumuoja L. Pikšrys.