Kaj je kibernetsko zavarovanje in ali bi ga morali dobiti?

Internet je nevarno mesto, od katerega boste lahko odvisni, če gre za vaše podjetje, finance ali preživetje na splošno. Pa vendar se v svojem hiperpovezanem svetu vsi bolj zanašamo nanj, kot bi si želeli.

Podatke dajemo podjetjem in službam. Plačujemo račune in kupujemo stvari po spletu. Celotno identiteto dajemo v splet, po najboljših močeh zaščitimo svojo identiteto in zaščitimo svoje podatke ter prekrižamo prste, da naslednja množična kršitev podatkov ne bo vplivala na naša podjetja ali katero koli storitev, ki smo ji zaupali cenjene osebne oz. finančne informacije.

Stvar je v tem, da varnost ne postane lažja. Naša digitalna pokrajina je polna lažnega predstavljanja, vseh vrst zlonamerne programske opreme, vključno z odkupno programsko opremo, brutalnimi roboti, ki izvajajo ogromne napade DDoS, in veliko več grdih hekerjev in potencialnih vektorjev napadov. Kiber kriminali postajajo pametnejši šele v letu 2018 in že začnejo uporabljati umetno inteligenco (AI) in strojno učenje (ML) za učinkovitejše ciljanje na podjetja in posameznike.

Ker je kršitev sistema Equifax poučevala praktično vsaka odrasla oseba v Združenih državah Amerike, lahko včasih vaše podatke ogrozi storitev, za katero sploh niste vedeli, da ima vaše osebne podatke (PII). Nedavno razkrite ranljivosti Meltdown in Spectre so še en opomnik, da so lahko vaši računalniki in pametne naprave ogroženi, ne da bi se tega zavedali. Trenutno ni zagotovila, da je kateri koli od vaših podatkov stoodstotno varen.

Kot podjetje ali posameznik lahko pokrijete morebitne izgube s kibernetskim zavarovanjem. Nakup kritja kibernetske odgovornosti (ki ga bomo opisali spodaj) ima veliko in pomanjkljivosti, če pa že imate zavarovalne police za hišo, avto, zdravje, hišne ljubljenčke in življenje, zakaj ne pokrijete svojih spletnih podatkov in digitalna identiteta tudi?

1 Kaj je spletno zavarovanje?

Kibernetsko zavarovanje obstaja že več kot desetletje. Podjetje za raziskave trga Progressive Markets načrtuje, da bo svetovni trg kibernetskih zavarovanj do leta 2025 dosegel več kot 29 milijard dolarjev, medtem ko PwC ocenjuje, da bo leta 2020 dosegel 7, 5 milijarde dolarjev.

Kiber zavarovanje je podkategorija splošnega zavarovanja, ki krije podjetja in posameznike pred internetno odgovornostjo in tveganji. Na splošno obstajata dve stopnji pokritja kibernetske odgovornosti: prva in tretja oseba. Pokritje s strani prve družbe vključuje neposredne izgube za organizacijo ali posameznika, medtem ko pokritje s tretjimi strankami sega tudi na zahtevke in pravne postopke strank ali partnerjev.

Pokritost se razlikuje glede na ponudnika, vendar skupna področja pokritja vključujejo kršitve podatkov, krajo identitete in krajo osebnih podatkov. Obstajajo tudi zajetne pravne takse, globe in stroški, povezani z vračanjem ogroženih podatkov, popravilom sistemov, obnovitvijo osebne identitete prizadetih strank in obveščanjem strank o kršitvah. Pokrivanje se lahko razširi tudi na scenarije, kot so poslovna prekinitev, izsiljevanje ali forenzična preiskava, kar pomeni stroške, povezane z odkrivanjem vzroka in posledice napada. Osnovna ideja kibernetskega zavarovanja je, da vam pomaga, da si opomorete od kršitve podatkov ali kraje identitete, tako da omilite vse stroške, ki nastanejo pozneje.



2 Poslovni ali osebni

Pomembno je razlikovati med policami kibernetskega zavarovanja za posameznike in tistimi, ki pokrivajo celotno podjetje. Večina ponudnikov se bolj posveča poslovnim politikam, nekateri pa ponujajo tudi osebne načrte, ki so osredotočeni predvsem na pokritje kraje identitete. To pomeni dejavnike, kot so zaščita dohodka in povračilo stroškov, povezanih z vračanjem identitete, obnovitvijo kreditne zgodovine in pravnimi dejanji proti tatovom identitete. Drugi načrti za osebno kibernetsko zavarovanje se lahko razširijo na vprašanja, kot so pokritje računalniških virusov ali fizične poškodbe računalnika.

Politike kibernetskega zavarovanja se lahko za podjetja precej bolj zapletejo. Načrti segajo od gostinskih podjetij do malih in srednje velikih podjetij (SMB) do pokritosti velikih korporacij in podjetij. Pokrivanje se začne s podatki, ki jih zbirate in shranjujete strankam, bodisi kreditno kartico številk bančnih računov, socialno varnost ali številke vozniških dovoljenj ali preprosto naslove in telefonske številke. Osnovni načrt pokritja za manjše podjetje lahko zajema obvestila o kršitvah, storitve spremljanja kreditnih in goljufij, stroške, povezane z najemom podjetja za odnose z javnostmi, in stroške obnove in ponovnega pridobivanja podatkov.

Načrti za kibernetsko odgovornost do družb so bolj strogi. Poleg upravljanja tveganj za zmanjševanje in preprečevanje izgube podatkov, odzivanje na izredne dogodke, pa tudi za pravne in regulativne stroške tretjih strank, to pomeni, da morajo politike obsegati obseg. To je še posebej pomembno, ko gre za obvestila o kršitvah podatkov zaradi škandalov, kot je kršitev Uberja 2016, na katere je čakala razkriti leto dni. Zaradi tega je ameriški senat uvedel zakon o varstvu podatkov in obveščanju o kršitvah, zaradi katerega bodo podjetja morala v 30 dneh poročati o kršitvah podatkov. Zahteve so še strožje za podjetja, ki poslujejo v Evropi, kjer Splošna uredba o varstvu podatkov, ki začne veljati letos, zahteva obveščanje strank v roku 72 ur.



3 Kako do kritja

Obstaja seznam pralnih načrtov kibernetskega zavarovanja, ki jih ponujajo tradicionalni ponudniki in podjetja, specifična za varnost. Tukaj je razčlenitev nekaterih najbolj priljubljenih načrtov in ponudnikov in kaj vključuje kritje odgovornosti:
• Zavarovanje ABA: kritje prve in tretje osebe, ki ščiti podjetja pred računalniškimi, omrežnimi in internetnimi tveganji.

• AIG: Po zadnjem poročilu bonitetne agencije Fitch o "tržnem deležu in uspešnosti spletnega zavarovanja" je zavarovalniški gigant AIG ena izmed treh najboljših kibernetskih zavarovalnic na trgu. AIG ponuja več različnih načrtov kibernetskega zavarovanja, vključno z kritjem osebne identitete in svojim načrtom CyberEdge za podjetja, ki pokrivajo izterjavo tretjih in tretjih oseb, preprečevanje izgub, izsiljevanje in drugo. Na voljo je tudi načrt CyberEdge Plus, ki zajema telesne poškodbe ali materialno škodo, povezane s kibernetskim napadom, pa tudi stroške prekinitve poslovanja in odgovornost za izdelke.

• AXIS Capital: kritje poslovne kibernetske odgovornosti, ki vključuje ne samo osnove - kršitve podatkov, izsiljevanje in izgubo, obnovo podatkov, obrambo tretjih oseb itd. - ampak tudi dejavnike, kot so kršitev intelektualne lastnine, goljufija zaposlenih, napadi DDoS in uvedba zlonamerne kode v sistem podjetja.

• BCS: BCS zavarovanje ponuja načrte za zaščito pred kibernetskimi in zasebnimi izgubami prek modrega križa in modrega ščita za kršitve podatkov in omrežij, izgubo podatkov, ki jo povzroči zunanji izvajalec ali prodajalec, in pravno zaščito tretjih oseb ter administrativne funkcije, ki nadzirajo obvestila o kršitvah in odzivanje na incident.

• Chubb: Druga vrhunska zavarovalnica po podatkih Fitch, Chubb ponuja široko paleto kibernetskih zavarovalnih produktov in storitev, vključno z blažitvijo izgub in odzivom na dogodke ter prilagodljivimi politikami upravljanja tveganj, ki zajemajo zasebnost, kršitve omrežja, medije in zahtevke, povezane z napakami in opustitvami.

• CNA: CNA-jevo zavarovanje za spletno odgovornost družbe NetProtect krije dejavnike prve in tretje strani, vključno z izsiljevanjem omrežja, stroški prekinitve poslovanja, elektronsko krajo in odgovornostjo, ki se nanaša na medije, zasebnost, varnost omrežij in kršitve zakonov o obveščanju in obrambe.

• Zavarovanje podatkovnih kršitev: Proces CyberCruiseControl tega ponudnika obsega kibernetsko grožnjo, zaščito, nadzor in številne zavarovalne police, kot so kršitve, kibernetska kriminaliteta in zavarovanje intelektualne lastnine.

• Insureon: Zavarovalnica za mala podjetja Insureon ponuja široko paleto zavarovanj za kibernetsko odgovornost, ki pokrivajo tako odziv prve stranke kot obrambo tretjih oseb.

• Liberty Mutual: k splošnemu zavarovanju odgovornosti za lastnike podjetij ponuja kritje stroškov goljufije identitete ter dodatke za krajo podatkov in kibernetsko kritje.

• Nationwide: Nationwide ponuja tri načrte kibernetskega zavarovanja: zaščito podatkov, zaščito pred krajo in zaščitni načrt CyberOne. CyberOne krije popolno obnovo podatkov in rekreacijo, izgubljene poslovne stroške, obvestila o kršitvah podatkov in poškodovana popravila sistema.

• RSA Broker: Ne gre zamenjati z varnostno konferenco, RSA Broker ponuja politiko kibernetskega tveganja, ki vključuje 24/7 odziv na incident, IT forenziko, PR in pravne nasvete, obrambne stroške in kazni, izsiljevanje, prekinitev poslovanja ter izgubo podatkov in odgovornost za podjetja.

• Popotniki: Zavarovanje popotnikov ponuja več različnih načrtov in povezanih storitev. Načrti vključujejo paket CyberEssentials za mala in srednja podjetja, načrte CyberFirst za tehnološka podjetja in javne subjekte ter načrte CyberRisk za večja podjetja. Zavarovalnica ima tudi tako imenovane "kibernetske trenerje" plus spletno akademijo in središče tveganj ter ponuja storitve pred kršenjem, kot so ocene in usposabljanje s partnerstvom s Symantec.

• Skupina XL: Kiber in tehnološko zavarovanje XL krije zasebnost in varnostno odgovornost, odziv na kršitve podatkov in krizno upravljanje, stroške prekinitve poslovanja, stroške izterjave podatkov, kibernetsko izsiljevanje ter vse globe in kazni iz zakonskih ali regulativnih ukrepov.



4 Nakup dejavnikov, ki jih je treba upoštevati

Ob nakupu police je treba upoštevati številne dejavnike. Ne glede na to, ali grete prek posrednika ali kupujete neposredno pri zavarovalnici, je kibernetsko zavarovanje podobno kakršnemu koli drugemu kritju: za skrite pristojbine in pogoje morate biti pozorni, preden se sklenite s pogodbo.

Dobro izhodišče je vodič kupcev kibernetskega zavarovanja. Pomembno je vedeti, kdaj se bo sprožilo vaše kritje in kdaj ne (na primer večina načrtov ne pokriva kibernetskih napadov, povezanih s terorizmom), ali načrt ustreza vašim specifičnim tveganjem po podatkih in kritju ter katere trditve so izključene.

Zavarovatelji so tudi skozi podroben postopek zavarovanja za oceno tveganja in potencialne izpostavljenosti strank. Zlasti za podjetja je pomembno, da predhodno opravite skrbnost in si priskrbite varnostne droge. Ali ima vaše podjetje CISO? Kakšno varnostno programsko opremo in sisteme za odzivanje na nesreče imate? Katere vrste podatkov o strankah zbirate in kako jih šifrirate in zaščitite? Premije za kibernetsko zavarovanje lahko postanejo precej drage in bodo še dražje, če imate več dejavnikov tveganja. Oglejte si ta kalkulator premije premije za kibernetsko zavarovanje glede na okvirno oceno glede na vrsto in velikost vašega podjetja ali ponudbo lahko zahtevate neposredno pri ponudniku.



5 Ali je vredno?

Ključno dejstvo, ki ga je treba zapomniti, je, da kibernetsko zavarovanje ni nadomestilo za kibernetsko varnost. To ni tehnološka rešitev. Pokrivanje kibernetskega zavarovanja je vaše osebno ali poklicno varno, če in ko pride do kršitve ali kibernetskega napada, in vam ostane ogromno stroškov, da obnovite podjetje, se lotite tožb strank ali povrnete svojo digitalno in finančno identiteto.

Še vedno bi morali imeti na voljo celovit nabor varnostnih orodij, vključno z protivirusno in zaščitno programsko opremo ter programsko opremo za šifriranje. Oh, in ne pozabite na skrbnike gesel in dvofaktorsko overjanje (2FA) za zaščito pred krajo identitete.

Glede nakupa kibernetskega zavarovanja se splača ali ne, gre samo za mir. Ali potencialno visoke premije za zavarovanje, za katere morda ne boste potrebovali nadomestila tveganja, da vam ukradejo identiteto ali poškodujejo infrastrukturo vašega podjetja in ukradejo podatke? Če izberete pravi pravilnik, ki ščiti točno območja pokritosti in napada vektorje, ki jih potrebujete, bo morda vredno denarja, saj se pogostost in resnost v spletu povečujeta incidenti kibernetske varnosti. Hkrati se je vredno vprašati, ali si zavarovalnice sploh lahko privoščijo nevarnost poleta. Medtem ko se kršitve in kraje identitete nadaljujejo in ponudniki bremenijo stroške čiščenja, ali je kibernetsko zavarovanje še en mehurček, ki čaka, da se poruši?