Az Egyesült Királyság kibervédelméért felelős National Cyber Security Centre (NCSC) friss anyaga a zsarolóvirusok és egyéb külső internetes támadások ellen köthető biztosítások témáját veszi górcső alá. Való igaz, a vállalatok kiberfenyegetettsége az elmúlt években folyamatosan növekedett. Egy-egy ilyen sikeres akció következményei pedig igen kellemetlenek és költségesek lehetnek a szerencsétlenül járt szervezet számára. Nem is kell sokat visszalapozni a naptárban, hogy tanulságos példaként megemlíthessük a Garmin súlyos fiaskóját.

A támadás sok, a biztosítás kevés

Az NCSC publikusan elérhető anyaga szerint az Egyesült Királyság cégeinek közel felét érte valamilyen kibertámadás az elmúlt egy év során. Ehhez a megdöbbentően magas arányhoz azonban egyelőre meglehetősen alacsony biztosítottsági szint társul. A központ szakértői valószínűleg úgy gondolkodtak, hogy mindez idővel (és a nyilvánosságra került újabb súlyos esetekkel) javulni fog, ezért igyekeznek segíteni a biztosítás megkötését fontolgató vállalatoknak. 

Rögtön az elején például érdemes tisztázni, hogy önmagában a biztosítás nem tudja kezelni a kiberbűnözéssel kapcsolatos összes rizikófaktort. Egy megfelelő szerződés segíthet pénzügyileg enyhíteni az okozott károkat, sőt bizonyos esetekben a jogi, szabályozói oldalon felmerülő kérdésekben is pozitívumként funkcionálhat. Ugyanakkor egy biztosítás önmagában semmivel sem teszi védettebbé a szervezet informatikai rendszereit, nem fogja megakadályozni a bűnözőket abban, hogy sikeres akciókat indítsanak a cég ellen. Ezek kialakítása rendszerint ugyanúgy kihatással van a megkötendő biztosítás kondícióira, mint ahogy mondjuk egy lakás vagy autó esetében is felmerül a tulajdonos felelős magatartása a káresemények elkerülésére például zárak, riasztók felszerelésével.

Hét kérdés

A brit kibervédelmi központ azt ajánlja a cégeknek, hogy egy biztosítás megkötése előtt a döntéshozók az alábbi hét kérdést válaszolják meg maguknak.

Milyen meglévő kiberbiztonsági megoldások vannak már telepítve?

Rendelkezésre áll a cégnél a szakértelem a biztosítás feltételeinek áttekintéséhez?

Teljes mértékben tisztában van a kiberbiztonsági incidensek lehetséges hatásaival?

Mit fedez (vagy nem fedez) a kiberbiztosítási kötvény?

Milyen kiberbiztonsági szolgáltatások szerepelnek a szerződésben, és szüksége van-e rájuk?

Tartalmaz-e a biztosítás a kiberbiztonsági esemény során (vagy után) nyújtott támogatást?

Milyen feltétlekkel lehet igényelni, illetve megújítani a biztosítási kötvényt?

Általánosságban egy ilyen megállapodás segítséget jelenthet fedezni a megtámadott szervezetnél jelentkező azonnali károkat, illetőleg többségük adatvesztés esetén a felmerülő jogi következmények kezelésében is képes fedezetet biztosítani. Ugyanakkor a megállapodás előtt mindenképpen érdemes azokra a dolgokra figyelni, amelyeket nem fed le a biztosítás. 

Például egyes kötvények nem adnak védelmet az olyan emailes csalásokkal szemben, ahol a bűnözők a cég egyik munkatársát megtévesztve saját számlájukra utaltatnak kisebb, vagy inkább nagyobb összegeket. Mivel a kiberbűnözők folyamatosan bővítik, fejlesztik arzenáljukat, így a vállalatoknak is érdemes követni a legújabb trendeket, és megbizonyosodni róla, hogy a frissen felbukkant módszerek ellen is rendelkezésre áll valamiféle védelem, biztosítás. Szintén nem árt tisztában lenni azzal, hogy az incidens bekövetkeztekor a pénzügyi kompenzáció mellett számíthat-e a vállalat valamiféle konkrét technikai segítségre akár a vészhelyzet felszámolásában, akár az ügy kiértékelésében és a védelmi képességek ennek megfelelő fejlesztésében. 

Végezetül a kiberbiztosítás témaköre nem mentes a kényes kérdésektől sem. A zsarolóvírusos támadások elszenvedőinek általában azt tanácsolják, hogy ne fizessenek, mert az csak újabb akciókra csábítja az elkövetőket. A biztosítók azonban számos ilyen esetben inkább kifizetik a váltságdíjat, mivel még így is jobban járnak, mint abban az esetben, ha a rendszereiből kitiltott cégnél az incidenssel összefüggésbe hozható teljes kárlistát kellene állni.