Detail

Jak na kybernetická rizika?

Věděli jste, že i hackeři mají své linky zákaznické spokojenosti?

Kybernetická kriminalita je takový business, že je srovnatelný se 4. největší ekonomikou na světě. A jako každý, kdo bere svou práci vážně, i hackeři musí vědět, zdali byli jejich „klienti“ (rozumějte: oběti) s poskytnutou „službou“ spokojení. Ty pokročilejší hackerské skupiny již dnes fungují po vzoru nadnárodních korporací, mají HR oddělení, zákaznickou podporu, marketing.

Jedné rakouské napadené společnosti se tak stalo, že po vyplacení výkupného dostala svá data zpět, přičemž vzápětí zazvonil šéfovi IT telefon. Mladá slečna jej příjemným hlasem vyzvala, aby na škále od jedné do deseti ohodnotil „kvalitu služeb“ poté, co se mu podařilo usmlouvat výkupné na 2/3 původní výše. „7“, řekl. Na doporučení to nebylo.

 

Velké sousto

Kybernetické hrozby zůstávají pro naprostou většinu firem palčivým bodem, ať už se o něm mluví nahlas, či ne. Pro mnohé subjekty je pak toto téma dále podtrženo povinnostmi souvisejícími s datovou bezpečností z titulu směrnice NIS2. Tato směrnice záhy dopadne nejen na významné soukromé a státní subjekty, ale i jejich dodavatelské řetězce.

Jedná se tedy o poměrně velké sousto. Jak se do něj zakousnout a nezadusit se?

 

Virtuální hrozby – reálné dopady

První a velmi zásadní otázkou při řešení kybernetických hrozeb je: co mi vlastně hrozí? Bez pojmenování a vyčíslení možných škod jsou jakékoli další kroky „na slepo“. Finanční vedení společnosti musí znát alespoň přibližnou výši škody, aby mohlo odpovědně rozhodnout o investicích do minimalizace a přenosu rizika.

Pro vyčíslení možné škody ve společnosti RESPECT, a.s. vytváříme analýzu přerušení provozu doplněnou o další dopady kybernetických rizik jako vydírání a výše výkupného, nároky třetích stran v případě odpovědnosti za jejich data, regulatorní pokuty apod.

Klient tak ví, kolik ho toto riziko může stát.

 

Kybernetická bezpečnost – pohyblivý cíl

Do kybernetické bezpečnosti jsou dnes společnosti nuceny investovat nemalé prostředky. Kdo tak nečiní, hazarduje s budoucností podniku, za nějž je odpovědný. Někoho donutí zdravá obezřetnost, někoho regulátor, někoho až reálná škoda.

Přitom jednorázová investice nikdy nestačí, resp. stačí, ale jen do času a ten běží rychle. Technologie zastarává, stává se zranitelnou, přichází o podporu vývojáře (toto platí zejména o průmyslových technologiích – výroba apod.) a v důsledku překotného vývoje digitalizace je prakticky nemožné dosáhnout naprosto uspokojivého stavu. Natož jej udržet.

Slovy Červené královny: „Zde, jak vidíš, musíš běžet ze všech sil, abys zůstala na místě. Chceš-li se dostat někam jinam, musíš utíkat aspoň dvakrát tak rychle.“

Běžet, dobrá, ale jakým směrem? Jaká opatření zavézt nyní a jaká naopak počkají?

K zodpovězení této komplexní a komplikované otázky je nezbytné posouzení datové bezpečnosti, které Vám řekne, jak na tom jste a kde byste měli případně „přidat“. Standardní a osvědčená metodika vychází ze zákona o datové bezpečnosti, norem jako je ISO27001 apod. a lze ji nasadit v různých úrovních detailu.

I námi používaný dotazník vychází právě z této metodiky a je, nehledě na svou „popularitu“ velmi dobrým základem pro další diskuzi. Za poměrně malou časovou investici je tak možné poznat alespoň zhruba, jak špatně na tom společnost je.

 

Rizika – jaká si „nechat“ a jaká naopak pojistit?

Existují veskrze dva hlavní kameny úrazu kybernetické bezpečnosti:

1) systém, který je naprosto bezpečný neexistuje

2) kybernetická rizika jsou extrémně dynamická

Umělá inteligence, lidská nepozornost, neustále se množící zranitelnosti nultého dne, geopolitická situace, stoupající míra digitalizace a propojenosti – to vše jsou vlivy a hrozby, které může datová bezpečnost přinejlepším více či méně „dohánět“.

Pojištění je efektivním ochranou před tzv. zbytkovým rizikem, tedy tím, které není možné minimalizovat.

Přerušení provozu, ušlý zisk, vydírání, náklady na obnovu systémů, náklady na odborný zásah a sanaci, náklady na PR, odpovědnost za uniklá data, náklady na obranu proti nároku, podvodně odvedené platby – to vše jsou škody, kterým se lze vyhnout dobře sjednaným pojištěním.

Naopak dopady jako odliv klientů, poškození reputace, porušení vlastního obchodního tajemství, jsou rizika, která pojistit nelze a která je nutné řešit jinak: kvalitním ošetřením medializace případného incidentu, dobře nastaveným plánem komunikace během incidentu apod.

Stejně jako neexistuje dokonalé zabezpečení, neexistuje ani dokonalé pojištění. A právě proto si obojí zaslouží expertní přístup.

Kybernetická bezpečnost a pojištění kybernetických rizik dohromady tvoří efektivní tandem, který se vzájemně doplňuje tam, kde pouze jeden z nich nestačí. Naprostým základem je ale znalost.

1) Jaké riziko a výše škody hrozí mojí společnosti?

2) Jak kvalitně se tomuto riziku společnost brání?

3) Jaké zbytkové riziko lze přenést na pojišťovnu?

 

Pokud si nejste jistí, jak je vaše společnost připravena čelit kybernetickým hrozbám nebo byste se rádi dozvěděli více o možnostech pojištění kybernetických rizik, neváhejte se na nás obrátit přes náš kontaktní formulář – rádi s vámi projdeme všechny možnosti a najdeme to nejlepší řešení.

Nastavení soukromí a cookies 🍪

Webové stránky používají k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookies.

 

Následující volbou souhlasíte s našimi zásadami ochrany osobních údajů a cookies. Svá nastavení můžete kdykoli změnit.