Błędy oprogramowania i ataki hakerskie. To zaczyna być nasza codzienność ...
Ubezpieczenia informatyczne możemy podzielić na trzy grupy :
- ubezpieczenie cyber risk - tego typu ubezpieczenie dotyczy ochrony przed skutkami ataków hakerskich, wycieku i utraty danych w tym także powstałych wskutek błędu lub świadomej działalności pracowników. Składa się ono z części dotyczącej kosztów usunięcia skutków zdarzenia (np. koszt odtworzenia danych) co jest charakterystyczne dla ubezpieczeń majątkowych oraz części związanej z odpowiedzialnością wobec osób trzecich, które poniosły szkodę w wyniku zdarzenia (np. wycieku danych) co jest z kolei cechą ubezpieczenia OC. W związku z powszechnym zastosowaniem technik informatycznych w działalności każdej firmy i korzystaniem z globalnej sieci powiązań (internet) - ryzyka cybernetyczne stanowią rzeczywiste zagrożenie dla ciągłości funkcjonowania - a w skrajnych wypadkach - nawet dla istnienia firmy. Stąd oferta ubezpieczeń cybernetycznych kierowana jest szeroko do wszystkich podmiotów prowadzących działalność gospodarczą.
- ubezpieczenie OC producentów oprogramowania i firm świadczących usługi informatyczne - powszechne wykorzystywanie oprogramowania do celów komercyjnych rodzi określone ryzyko dla ich producentów. Wyobraźmy sobie firmę, która przy pomocy własnego oprogramowania obsługuje procesy masowe takie jak np. wydruk faktur dla tysięcy odbiorców. Błąd w treści faktury może oznaczać konieczność ich ponownego przygotowania, wysyłki, poinformowania odbiorców, opóźnień w spływie należności i poniesienia wydatków na odbudowanie wizerunku. Innym przykładem może być zatrzymanie produkcji i kilkudniowy przestój fabryki jako skutek błędu firmy informatycznej, która fabrykę obsługuje. Taka sytuacja oznacza konkretne straty i roszczenia kierowane do sprawcy. Częściową ochronę można uzyskać wykupując polisę OC działalności, często jednak lista wyłączeń odpowiedzialności i nieadekwatne sumy gwarancyjne powodują, że ochrona jest zbyt słaba lub iluzoryczna. Zawsze warto powierzyć zbadanie jej zakresu w relacji do rzeczywistych ryzyk - doświadczonemu brokerowi.
- ubezpieczenie OC specjalistyczne - jest to szczególny rodzaj ubezpieczeń. Nie mają nawet swojej osobnej nazwy. Zazwyczaj powstają jako warunek konieczny przy współpracy korporacji globalnych z ich biznesowymi partnerami. Dotyczą wąskich i szczegółowo opisanych ryzyk związanych z określonymi procesami np. certyfikacją, potwierdzaniem autentyczności, szyfrowaniem itd. Zakres polis i wymagania odnośnie ubezpieczycieli oferujących tego typu ubezpieczenia są wystandaryzowane i nie wszyscy są w stanie je spełnić. Oferujących ubezpieczenia jest niewielu tak jak niewiele jest polis tego typu funkcjonujących na rynku. To oznacza, że mało który broker ma możliwość zdobycia doświadczeń w pracy nad tak specjalistycznymi programami. Sedina Broker ma tego typu doświadczenie. Jeśli chciałbyś porozmawiać bardziej szczegółowo na ten temat - skontaktuj się z nami.
CYBER RISK
Kilka dodatkowych informacji o ryzykach związanych z korzystaniem z cyberprzestrzeni. Trzeba pamiętać, że ochrona przed atakami hakerskimi, wyciekiem i utratą danych to nie tylko sprawa informatyków i działów IT. Kwestie techniczne takie jak organizacja infrastruktury informatycznej, połączenia wzajemne, punkty dostępu z zewnątrz, wykorzystywane programy antywirusowe i procedury związane z kopiami bezpieczeństwa to oczywiście domena działu IT. Ale do tego dochodzi kwestia przestrzegania przez wszystkich pracowników szeregu procedur oraz zasad spisanych i nie spisanych związanych z bezpieczeństwem w sieci. Często niedoskonałość systemu nie wystarczy do przeprowadzenia skutecznego włamania. Potrzebne jest działanie (w tym wypadku błąd) człowieka. Stąd stosowane przez hakerów socjotechniki prowokujące podjęcie określonych czynności skutkujących zainfekowaniem komputera, wyjawieniem poufnych danych itd.
W świetle powyższych informacji warto zwrócić uwagę na oferty ubezpieczeń CYBER RISK tych Ubezpieczycieli, którzy oferują także audyty infrastruktury informatycznej i szkolenie prewencyjne dla pracowników. Przeprowadzenie tzw. pen-testu (czyli testu penetrującego, audytu) w postaci symulowanego ataku hakerskiego ujawni słabe punkty infrastruktury i umożliwi ich skorygowanie.
Szkolenie sytuacyjne dla pracowników uświadomi zagrożenia i obudzi czujność. Przykładem takiego szkolenia może być wysłanie do wszystkich maila z uprawdopodobnioną informacją o organizowanym wydarzeniu - atrakcji w postaci choćby koncertu znanego zespołu) - na które trzeba się zapisać podając dane wrażliwe (np. swój pesel). Idący w ślad za podanymi danymi komunikat o wycieku danych i ich potencjalnym wykorzystaniu na szkodę posiadacza uświadomi pracownikowi, że jego reakcja była niewłaściwa.