Zobacz wszystkie posty

IT Security

Cyberpolisa: parasol na wypadek zachmurzenia w bezpieczeństwie IT

07. marca 2024, Avatar of Benedict WeidingerBenedict Weidinger

Zarządzanie ryzykiem w obszarze cyberbezpieczeństwa i jego potencjalnymi skutkami finansowymi jest obecnie przedmiotem zainteresowania menedżerów najwyższego szczebla. Niniejszy wpis wyjaśnia, dlaczego dyrektorzy ds. bezpieczeństwa informacji oraz dyrektorzy finansowi powinni uznać cyberpolisę za istotny element ogólnego zarządzania ryzykiem w przedsiębiorstwie.

W pigułce

  • Rosnąca liczba cyberataków oraz nowe, rygorystyczne przepisy dotyczące ochrony IT zmieniły klimat wokół bezpieczeństwa informatycznego.
  • Ubezpieczenie od ryzyk cyfrowych jest obecnie postrzegane jako parasol finansowy, zapewniający kluczową ochronę w pochmurnym środowisku cyberbezpieczeństwa, ponieważ pomaga zmniejszyć koszty odzyskiwania danych po kradzieży, uszkodzeniu lub ich utracie, nawet przy zastosowaniu silnych środków zabezpieczających.
  • Choć menedżerowie postrzegają obecnie cyberpolisy jako istotny element strategii zarządzania ryzykiem biznesowym, CISO, CIO i CFO mają odmienne priorytety i wymagania w zakresie ochrony technicznej, operacyjnej i finansowej.

W tej części naszej serii poświęconej cyberpolisom skupiamy się na obowiązkach dyrektorów ds. bezpieczeństwa informacji i dyrektorów finansowych. W poprzedniej odsłonie przyjrzeliśmy się bliżej znaczącej roli administratorów IT w procesie poszukiwania lub odnawiania polisy ubezpieczeniowej.

2023: zmienny klimat bezpieczeństwa IT

Fakty są oczywiste: na całym świecie znacząco wzrasta liczba firm, niezależnie od ich wielkości, które padają ofiarą cyberataków.

  • Według CVEdetails.com w 2023 r. wykryto 29 065 luk w zabezpieczeniach, podczas gdy w 2022 r. było ich 25 083.
  • Raport IBM z 2023 roku "Cost Of A Data Breach" wykazał, że średni koszt wycieków danych wyniósł 4,45 miliona USD lub 4,11 miliona EUR. Światowe Forum Ekonomiczne podało, że koszty cyberprzestępczości na całym świecie wyniosły 11,5 bln USD (10,6 bln EUR) w 2023 r. i oszacowało, że koszty te wzrosną do 23,8 bln USD (22 bln EUR) w 2027 r.
  • Malwarebytes, dostawca oprogramowania z zakresu cyberbezpieczeństwa, opublikował raport, z którego wynika, że liczba znanych ataków ransomware skoczyła o 68 proc. w 2023 r., a średnie żądanie okupu gwałtownie wzrosło, przy czym najwięcej, bo aż 80 mln dolarów, zażądano po ataku na Royal Mail w Wielkiej Brytanii.
  • Zgodnie z danymi Forescout Research, w 2023 r. odnotowano ponad 420 milionów ataków na infrastrukturę krytyczną. To ponad 13 ataków na sekundę, co stanowi 30-procentowy wzrost w porównaniu z 2022 r.

Użytkownicy infrastruktury krytycznej i powiązane z nimi firmy muszą stawić czoła zwiększonej kontroli oraz wymaganiom w zakresie cyberbezpieczeństwa i zgłaszania incydentów. Narodowy Instytut Nauki i Technologii Stanów Zjednoczonych (NIST) opublikował we wrześniu 2023 r. "Guide to Operational Technology (OT) Security", aby pomóc użytkownikom technologii operacyjnych w poprawie ich bezpieczeństwa. Nastąpiło to po przyjęciu w 2022 r. ustawy o zgłaszaniu incydentów cybernetycznych dla infrastruktury krytycznej, która przyznała Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA) uprawnienia do tworzenia i egzekwowania przepisów oraz nakazała zgłaszanie incydentów dostawcom infrastruktury krytycznej.

Nowa unijna dyrektywa NIS2 zaostrzyła wymogi dotyczące bezpieczeństwa IT w firmach i nakłada na menedżerów korporacji odpowiedzialność za zapewnienie, że firma spełnia najnowsze standardy cyberbezpieczeństwa. Dyrektywa NIS2 ma wpływ na firmy zatrudniające ponad 50 pracowników i osiągające roczne przychody w wysokości co najmniej 10 milionów euro w bankowości, opiece zdrowotnej, energetyce, transporcie i wielu innych sektorach. Szeroka gama firm, których dotyczą wymogi NIS2 i rosnące kary za ich nieprzestrzeganie, skłoniły prezesa niemieckiego Federalnego Urzędu ds. Bezpieczeństwa Informacji (Bundesamt für Sicherheit in der Informationstechnik lub BSI) do zalecenia firmom, by przeznaczyły co najmniej 20 proc. swoich budżetów IT na środki cyberbezpieczeństwa.
 

Cyberpolisa: inny rodzaj „parasola” ochronnego

Jednym ze sposobów na uzyskanie przez firmy niezawodnego pakietu ratunkowego na wypadek incydentu cyberbezpieczeństwa jest wykupienie cyberpolisy. Różni się ona od tradycyjnego ubezpieczenia od odpowiedzialności cywilnej z tytułu prowadzenia działalności gospodarczej i zawodowej, które obejmuje szkody wynikające z błędów, awarii lub ograniczeń produktów lub usług. Ubezpieczenie od ryzyk cyfrowych pokrywa koszty powstałe wskutek ataku wpływającego na poufność, integralność lub dostępność danych elektronicznych, pomimo wdrożenia zgodnych z polisą praktyk bezpieczeństwa. Obecnie takie ubezpieczenie powinno być traktowane jako element zarządzania ryzykiem biznesowym i informatycznym.

Szczegółowy raport umożliwiający znalezienie odpowiedniego ubezpieczenia

Ubezpieczyciele przeważnie proszą firmy o wypełnienie specjalnego kwestionariusza, który pomaga określić, czy firma kwalifikuje się do ubezpieczenia oraz jak polisa powinna być skonstruowana. Zawiera on pytania dotyczące wytycznych bezpieczeństwa, zarządzania ryzykiem, ochrony systemów informatycznych, oceny podatności na zagrożenia, tworzenia kopii zapasowych danych i szkoleń pracowników. Przedsiębiorstwa muszą szczegółowo odpowiedzieć na te pytania, ponieważ w przypadku zgłoszenia szkody ubezpieczyciele zweryfikują, czy kryteria zostały spełnione. Generalnie, im mocniejsze są zabezpieczenia firmy, tym lepiej ubezpieczyciele mogą ocenić konkretne ryzyko i zaoferować korzystniejsze polisy ubezpieczeniowe.

Kompleksowe oprogramowanie do ujednoliconego zarządzania punktami końcowymi (UEM) takie jak baramundi Management Suite (bMS) zapewnia, że firmy zawsze posiadają aktualną i dokładną wiedzę na temat ich systemów oraz stanu bezpieczeństwa, a także mogą udokumentować zgodność z obowiązującymi wymogami.

Różne priorytety przy wyborze zakresu ochrony

Proces złożenia wniosku o cyberpolisę wymaga obecnie zaangażowania wielu pracowników i działów firmy. Przykładowo, dyrektorom ds. bezpieczeństwa informacji (Chief Information Security Officer) zależy, aby ubezpieczenie obejmowało określone zagrożenia, takie jak kradzież i naruszenia danych, a także przerwy w działalności. Zakres ochrony i usług reagowania na incydenty również mają istotne znaczenie.

Dyrektorzy IT (CIOs) koncentrują się na pokryciu szkód w infrastrukturze informatycznej i danych firmy, w tym na ochronie przed złośliwym oprogramowaniem i uszkodzeniami fizycznymi. Obejmuje to szczegóły techniczne i wymagania dotyczące ochrony sprzętu i oprogramowania.

Dyrektorzy finansowi (CFO) zainteresowani są pokryciem strat związanych z naruszeniem bezpieczeństwa cyfrowego, w tym przerw w działalności i roszczeń z tytułu odpowiedzialności cywilnej. Nadrzędne znaczenie mają analizy kosztów i korzyści oraz potencjalny wpływ finansowy incydentów bezpieczeństwa.

Ochrona na rzecz bezpieczniejszej przyszłości

Nie ulega wątpliwości, że nie tylko dyrektorzy finansowi zwracają uwagę na koszty. Cyberpolisy są coraz droższe, co wynika po części ze wzrostu liczby konfliktów międzynarodowych oraz sponsorowanych przez państwa i zorganizowanych grup cyberprzestępczych. Na przykład Microsoft stał się ofiarą grupy hakerów finansowanych przez Rosję, co doprowadziło do ujawnienia maili wielu menedżerów najwyższego szczebla.

Inwestycja w ubezpieczenie od ryzyk cyfrowych wymaga dokładnego przygotowania i analizy, ale w sytuacji awaryjnej może mieć decydujące znaczenie dla wielkości szkód i szybkości ich naprawy. Polisa zapewnia odszkodowanie w przypadku cyberataku oraz pokrywa koszty badań kryminalistycznych i przerw w działalności ubezpieczonego.

Ubezpieczyciel zapewnia również dostęp do specjalistycznej wiedzy, która pomoże w ocenie ryzyka i zapobieganiu mu. Dyrektorzy ds. bezpieczeństwa informacji oraz dyrektorzy finansowi muszą się upewnić, że zachowują właściwą równowagę między kosztami ubezpieczenia a zapewnieniem środków bezpieczeństwa spełniających wymagania ubezpieczyciela. Nawet jeśli cyberpolisa nie zastąpi wdrożenia odpowiednich i zgodnych z przepisami środków bezpieczeństwa informatycznego, to zapewni ochronę przed szkodami wynikającymi z cyberataku.

Zgodnie z nowymi przepisami i często zmieniającym się klimatem bezpieczeństwa IT, ubezpieczenia stały się integralną częścią nowoczesnego zarządzania ryzykiem biznesowym i informatycznym.
 

Wskazówki dotyczące uzyskania cyberpolisy

Zastanawiasz się nad dodaniem, odnowieniem lub zwiększeniem zakresu ubezpieczenia od ryzyk cyfrowych w ramach strategii zarządzania ryzykiem IT i biznesowym? Oto 6 kluczowych zaleceń od baramundi, które pomogą Ci uporządkować związane z tym zawiłości.  

Przejdź do checklisty baramundi dotyczącej cyberpolisy

Zobacz wszystkie posty

Czytaj więcej

Wpisy 1 do 3 z 3

baramundi software GmbH
 Forschungsallee 3
86159 Augsburg, Germany

+48 735 91 44 54
info(at)baramundi.com

Newsletter

Zapisz się do naszego darmowego anglojęzycznego newslettera już teraz i bądź na bieżąco!

Do rejestracji
Przejrzyj stronę
Stopka redakcyjna | Polityka prywatności | OWH | Odniesienie do płci
© 2024 baramundi software GmbH. All rights reserved.

Jak możemy Ci pomóc?

+48 735 91 44 54

info(at)baramundi.com

30-dniowa wersja testowa Rejestracja do newslettera