Johannesburg/London/München/New York/Pariz/São Paulo/Singapur – 19. studenoga 2020.
Vanjski napadi na tvrtke uzrok su najvećih gubitaka pokrivenih osiguranjem od cyber-rizika, no prema novome izvješću tvrtke Allianz Global Corporate & Specialty (AGCS), Upravljanje učinkom povećanja međupovezanosti – kretanja u području cyber-rizika, najveći broj zahtjeva povezanih sa cyber-incidentima proizlazi iz pogrešaka zaposlenika i tehničkih poteškoća. To se izvješće temelji na istraživanju kojim je obuhvaćeno 1736 odštetnih zahtjeva povezanih sa cyber-incidentima u vrijednosti od 660 milijuna EUR (770 milijuna USD) koje su u razdoblju od 2015. do 2020. zaprimili AGCS i ostali osiguravatelji.
„Odštetni zahtjevi povezani s osiguranjem od cyber-rizika daleko najveće ukupne vrijednosti danas su povezani s incidentima poput distribuiranih napada uskraćivanjem usluge (DDoS), napada radi krađe identiteta i napada ucjenjivačkim softverom“, rekla je Catharina Richter, globalna direktorica Allianzova Centra za upravljanje cyber-rizicima koji je dio AGCS-a. „Međutim, iako na naslovnice novina uglavnom dospijeva cyber-kriminal, incidenti povezani sa svakodnevnim pogreškama u radu sustava, prekidima u radu informacijske tehnologije i ljudskim pogreškama tvrtkama također mogu prouzročiti probleme, čak i ako njihove financijske posljedice u prosjeku nisu toliko ozbiljne. Poslodavci i zaposlenici moraju zajedničkim snagama razviti svijest o važnosti otpornosti na cyber-rizike i podići ju na višu razinu.“
Broj odštetnih zahtjeva povezanih sa cyber-incidentima o kojima je AGCS obaviješten zadnjih nekoliko godina postupno se povećava: dok je 2016. godine, kada je osiguranje od cyber-rizika predstavljalo relativno nov oblik osiguranja, iznosio 77, 2019. godine bio je 809. U prvima trima tromjesečjima 2020. godine tvrtka AGCS već je zaprimila 770 zahtjeva. To se postupno povećanje broja zahtjeva dijelom može pripisati rastu globalnoga tržišta osiguranja od cyber-rizika čiju vrijednost tvrtka Munich Re trenutačno procjenjuje na 7 milijardi USD. AGCS je osiguranje od cyber-rizika u svoju ponudu uvrstio 2013. godine, a 2019. godine zaračunana je bruto premija u tome segmentu iznosila više od 100 milijuna EUR. U istome se izvješću ističe činjenica da se prosječan trošak koji tvrtka mora pokriti zbog cyber-kriminala tijekom pet godina povećao za 70 %, dosegavši 13 milijuna USD, kao i činjenica da se prosječni broj povreda sigurnosti povećao za 60 %[1].
Analizom u sklopu toga izvješća utvrđeno je da su zahtjevi najveće ukupne vrijednosti (85 %) podneseni zbog gubitaka povezanih s vanjskim incidentima, poput distribuiranih napada uskraćivanjem usluge (DDoS), napada radi krađe identiteta i napada zlonamjernim/ucjenjivačkim softverom, a slijede ih zahtjevi podneseni zbog zlonamjernih radnji internih aktera (9 %) – koje nisu česte, ali mogu biti skupe. Istom je analizom utvrđeno da više od pola zahtjeva povezanih sa cyber-incidentima (54 %) proizlazi iz slučajnih internih incidenata, poput pogrešaka koje zaposlenici mogu počiniti obavljajući svakodnevne zadaće, prekida u radu informacijske tehnologije ili platformi, problema povezanih s migracijom sustava i softvera ili gubitka podataka, no financijske posljedice tih incidenata često su mnogo manje od posljedica cyber-kriminala. Međutim, ako je riječ o ozbiljnijemu incidentu, gubitci mogu brzo eskalirati.
Većina troškova povezanih sa cyber-incidentima proizlazi iz prekida poslovanja (uključujući troškove ublažavanja štete i odgovornost za štetu nanesenu trećim stranama). S tim je troškovima povezano oko 60 % vrijednosti svih zahtjeva koji su analizirani u spomenutome izvješću, a slijede ih troškovi povezani s rješavanjem povreda sigurnosti podataka.
U istome se izvješću ističe kako cyber-rizici u budućnosti neće postati ništa manji. Tvrtke i osiguravatelji suočavaju se s nizom izazova, poput prijetnje skupljih prekida poslovanja, učestalijih incidenata povezanih s ucjenjivačkim softverom te većih financijskih posljedica povezanih s većim povredama sigurnosti podataka zbog strožih propisa i većega broja parničnih postupaka, ali i s učinkom razrješavanja političkih razmirica u cyber-sferi u vidu napada pod pokroviteljstvom određenih država. Učinku tih kretanja posvećen je i novi AGCS-ov podcast.
Ogromno povećanje učestalosti rada na daljinu zbog pandemije koronavirusa također predstavlja problem. Zbog činjenice da velik dio radne snage radi na daljinu, cyber-kriminalci na raspolaganju imaju nove prilike za stjecanje pristupa mrežama i osjetljivim informacijama. Već znamo da se broj incidenata povezanih sa zlonamjernim i ucjenjivačkim softverom od početka 2020. godine povećao za trećinu, a internetske prijevare i napadi radi krađe identiteta povezani s pandemijom bolesti COVID-19 ne jenjavaju. Mogući učinak incidenata prouzročenih ljudskim pogreškama ili tehničkim poteškoćama također bi mogao biti veći nego obično.
Iako se izloženost cyber-rizicima povećava, pojavu bolesti COVID-19 ne možemo okarakterizirati kao izravan uzrok štete povezane sa cyber-incidentima. AGCS se susreće s prvim odštetnim zahtjevima povezanima sa cyber-incidentima koji se mogu neizravno pripisati okružju stvorenom pandemijom bolesti COVID-19, uključujući napade ucjenjivačkim softverom koji se mogu dovesti u vezu s prijelazom na rad na daljinu. Međutim, još je uvijek prerano za donošenje konačnih zaključaka o postojanju nekoga šireg kretanja.
Snažan porast broja prijetnji povezanih s ucjenjivačkim softverom
Incidenti povezani s ucjenjivačkim softverom, koji su već i sada vrlo česti, postaju sve štetniji i sve češće pogađaju velike tvrtke uz sofisticirane napade i pozamašne iznuđivačke zahtjeve. Diljem svijeta prošle je godine prijavljeno gotovo pola milijuna incidenata povezanih s ucjenjivačkim softverom, a ti su incidenti pogođene organizacije stajali barem 6,3 milijarde USD, i to samo kada je riječ o iznosima kojih su se napadači nadali domoći iznudom[2]. Procjenjuje se da ukupni troškovi povezani s rješavanjem tih incidenata uvelike premašuju iznos od 100 milijardi USD.
„Skupi hakerski alati postaju pristupačniji zbog sve veće 'komercijalizacije hakiranja'. Kriminalci sve češće prodaju zlonamjerni softver drugim napadačima koji se zatim obrušavaju na tvrtke nastojeći iznuditi novac“, kaže Marek Stanislawski, AGCS-ov globalni voditelj preuzimanja cyber-rizika. „Međutim, iznuđivački su zahtjevi tek dio priče. Prekidi poslovanja mogu dovesti do krajnje teških gubitaka – a prekidi rada traju sve dulje – dok troškovi obnove sustava i podataka mogu vrlo brzo eskalirati.“
Povećanje učestalosti prekida poslovanja i ranjivosti digitalnoga opskrbnog lanca
„Bez obzira na to je li prouzročen ucjenjivačkim softverom, ljudskom pogreškom ili tehničkim kvarom, gubitak ključnih sustava ili podataka u digitaliziranome gospodarstvu današnjice organizaciju može dovesti do ruba propasti“, kaže Joerg Ahrens, AGCS-ov globalni direktor za štete dugoga repa. „Nemogućnost pristupa podatcima tijekom duljega razdoblja može ostaviti dubok trag na prihodima – primjerice ako tvrtka ne može preuzimati narudžbe. Slično tomu, ako je internetska platforma nedostupna zbog tehničke pogreške ili cyber-incidenta, tvrtke koje se oslanjaju na nju mogu pretrpjeti velike gubitke, posebno s obzirom na činjenicu da se danas sve više oslanjamo na internetsku prodaju i digitalne opskrbne lance.“
Povrede sigurnosti podataka i napadi pod državnim pokroviteljstvom
Troškovi povezani s otklanjanjem posljedica velikih povreda sigurnosti podataka sve su veći jer informacijski sustavi i cyber-incidenti postaju sve složeniji, ali i zato što se sve više oslanjamo na usluge u oblaku i usluge trećih strana. Propisi koji se odnose na zaštitu privatnosti podataka, a koji su u mnogim zemljama nedavno postroženi, još su jedan od čimbenika ključnih za porast troškova, kao i sve veće odgovornosti za štetu nanesenu trećim osobama i prijetnja parničnih postupaka za zaštitu kolektivnih prava. Takozvane „megapovrede“ sigurnosti podataka (koje podrazumijevaju povredu sigurnosti više od milijuna podatkovnih zapisa) sve su češće i skuplje pa sada u prosjeku stoje 50 milijuna USD[3] što predstavlja povećanje od 20 % u odnosu na 2019. godinu.
Nadalje, učinci sve snažnijega uplitanja nacionalnih država u cyber-napade daju nam sve više povoda za zabrinutost. Događaji velikih razmjera, poput izbora i pandemije bolesti COVID-19, predstavljaju značajne prilike za takve napade. Google je izjavio da je 2020. godine u svakome tromjesečju morao blokirati više od 11.000 mogućih cyber-napada pod državnim pokroviteljstvom[4]. Tijekom posljednjih nekoliko godina cyber-napadi i napadi ucjenjivačkim softverom bili su usmjereni na ključnu infrastrukturu, poput luka i terminala te naftovoda i plinovoda.
Priprema, vježba i prevencija
Pripremom i izobrazbom zaposlenika može se postići značajno smanjenje štetnih posljedica cyber-incidenata, posebno kada je riječ o napadima radi krađe identiteta i prijevarama preko lažne e-pošte koji često uspijevaju zbog ljudskih pogrešaka. Na isti se način mogu ublažiti posljedice napada ucjenjivačkim softverom, a razmjeri štete prouzročene tim napadima mogu se ograničiti i izradom zaštićenih sigurnosnih kopija. Razmjena znanja i suradnja tvrtki iz različitih sektora – nalik onima koje su uspostavljene Poveljom povjerenja – također su ključne kada je riječ o suprotstavljanju iznimno komercijalno organiziranom cyber-kriminalu, razvoju zajedničkih sigurnosnih normi i povećanju otpornosti na cyber-rizike.
Okružje stvoreno pandemijom bolesti COVID-19 za sobom povlači nove izazove. Budući da je rad od kuće široko rasprostranjen, ključnu ulogu svakako igra zaštita točaka pristupa i točaka za provjeru autentičnosti, no organizacije bi također trebale osigurati odgovarajuće mrežne kapacitete jer prekidi u radu mogu imati velik utjecaj na gubitak prihoda.
[1] Accenture / Institut Ponemon, The Cost of Cyber Crime
[2] Emsisoft, Infosecurity Magazine, Ransomware Costs May Have Hit $170bn in 2019
[3] IBM Security, Institut Ponemon, Cost Of A Data Breach Report 2020
[4] Google Threat Analysis Group, How We’re Tackling Evolving Online Threats, listopad 2020.