Od vodstva in poslovne kulture je odvisno, kako ozaveščena so podjetja o pomembnosti kibernetske varnosti. Pa seveda tudi od dejavnosti in velikosti podjetja, saj to vpliva tudi na sredstva, ki so na voljo za ukvarjanje s temami kibernetske varnosti oziroma zaščite.

Velika podjetja že imajo pogosto uveden program skladnosti z ustreznimi standardi. Nacionalni odzivni center za kibernetsko varnost SI-Cert pa opaža, da bi bilo nujno dodatno ozaveščanje v malih in srednjih podjetjih. Vodja SI-Certa Gorazd Božič je pojasnil, da so prav zato lani dali na voljo brezplačni tečaj za zaposlene v podjetjih, varnivpisarni.si, kjer so v ospredje postavili zaposlene.

Na kratki rok bo težko nadomestiti upad naročil in izgubo trga

Na vprašanje, kaj je ključno pri pripravi strategije kibernetske varnosti za podjetja, Božič pravi, da je tudi to odvisno od dejavnosti podjetja, njegove velikosti in drugih dejavnikov. »Vsekakor je pametno začeti pri vprašanju, kaj želimo zaščititi in kakšnim tveganjem smo izpostavljeni. Kakšni so realni scenariji, ki lahko ogrozijo poslovanje? Pri tem so lahko v pomoč informacije SI-Cert, tudi naša letna poročila in sprotne objave o aktualnih grožnjah. Ali bo dovolj samo sprotno spoznavanje 'krajine tveganj' (angl. threat landscape) ali pa bo podjetje sestavilo tim ljudi, ki bodo nato izvedli formulacijo strategije in proces ustrezne skladnosti (recimo z ISO 27000 standardi), je odločitev vodstva.« Pri tem poudarja, da so najpomembnejši element zagotavljanja ustrezne zaščite strokovno kompetentni kadri s primerno ravnijo tehničnega znanja. »To pa je treba redno vzdrževati z ustreznim izobraževanjem, ne samo z brskanjem po spletu, češ, da je to za podjetje najceneje.«

Povečanje ozaveščanja

S kakšnimi ukrepi bi lahko povečali ozaveščanje zaposlenih in prebivalstva na splošno glede kibernetske varnosti, je vprašanje, ki si ga tudi v SI-Cert postavljajo vsak dan, in odgovore preslikajo v njihova konkretna dejanja. »Lani je namreč minilo deset let, odkar smo začeli program ozaveščanja Varni na internetu (varninainternetu.si). Že na začetku smo se zavedali, da je to tek na dolge proge. V tem času smo uporabili različne pristope ter zgradili bazo znanja in priporočil. Upam si trditi, da smo bili pri tem uspešni, saj smo za program prejeli številne nagrade in pohvale, naši kolegi v tujini pa nam priznavajo vodilno vlogo na tem področju,« je še pojasnil Božič.

Na ravni države je bil ključni trenutek, je še dodal Gorazd Božič, ko je bilo pred desetletjem ozaveščanje javnosti prepoznano na pristojnem ministrstvu kot pomemben element zagotavljanja zdravega kibernetskega ekosistema. Pri podjetjih pa je podoben moment ta, da samo vodstvo spozna, kako je investicija v ozaveščanje na tem področju pomembna za zmanjševanje tveganj.

Mihael Nagelj, predsednik sekcije za kibernetsko varnost Združenja za informatiko in telekomunikacije na GZS, pa dodaja, da je cilj ozaveščanja tako posameznikov in vodilnih v podjetjih kot prebivalstva spreminjanje varnostne kulture. »Ustrezna varnostna kultura pomeni redno pravilno ravnanje vsakega posameznika pri uporabi informacijskih tehnologij. To se nanaša na redno spreminjanje in uporabo ustreznih dostopnih gesel, pozornost pri dostopu do spletnih strani in še posebno odzivanju na vse številnejša sporočila, ki so lahko tudi poskus prevare.«

Nagelj pravi, da so vodilni v podjetjih odgovorni tudi za varnostna tveganja, kjer morajo odločati o ukrepih za zmanjševanje kibernetskih tveganj in upoštevati dejstvo, da namenjanje virov za ukrepe kibernetske varnosti pomeni vložek v kakovost delovanja podjetja in zagotavljanja produktov svojim partnerjem. »Vsi projekti digitalne transformacije morajo vključiti tudi ukrepe za varnejše zagotavljanje delovanja digitalno transformiranega področja. To vključuje analizo tveganj spremenjenega poslovnega področja, aktivnosti ozaveščanja uporabnikov, preverjanja ranljivosti ali zagotavljanje monitoringa nad delujočim sistemom in pripravljenost za ukrepanje v primeru uresničene grožnje.«

Kibernetsko zavarovanje dodatna zaščita

Kibernetska ogroženost podjetij se zaradi hitrega tehnološkega napredka nenehno povečuje. Tako se pojavljajo nova tveganja in število kibernetskih incidentov se povečuje. Popolne varnostne zaščite ni. Osnova je preventiva oziroma ustrezni varnostni ukrepi, vendar tudi ti ne zadoščajo vedno. Ker kibernetski vdori lahko povzročijo podjetjem visoko finančno škodo in za več dni onemogočijo poslovanje, se pri pravnih osebah vse bolj izraža potreba po kibernetskem zavarovanju kot dodatni zaščiti pred finančnimi posledicami kibernetskih vdorov.

Tako v Zavarovalnici Sava opažajo, da je raven zavesti za te nevarnosti vse višja in posledično nastajajo večja vlaganja v samo preventivo, povpraševanja po zavarovanju pa se ne povečujejo. Kibernetsko zavarovanje pomeni zavarovanje premoženja podjetja za odpravo oziroma zmanjšanje posledic kibernetskega vdora. »Govorimo o zaščiti podjetja v primeru nevarnosti kibernetskega vdora. To tveganje, ki so mu danes izpostavljena vsa podjetja, se lahko delno ali v celoti prenese za zavarovalnico. Gre za 'temeljno' zaščito podjetja v primeru vdora v računalniški sistem in napada na baze podatkov, programsko opremo, varnostne nastavitve in tako dalje,« pojasnjujejo v Zavarovalnici Sava.

Pri tem dodajajo, da so predmet zavarovanja računalniški sistem (IKT) zavarovanca. To so vsi informacijsko-komunikacijski sistemi, vključno s strojno in programsko opremo ter drugimi napravami, ki so namenjene podpori okolja IKT in so v lasti zavarovanca. Predmet zavarovanja pa niso IOT (naprave, ki med seboj komunicirajo s pomočjo medmrežja) in IKT zunanjih izvajalcev, ki za zavarovanca hranijo ali obdelujejo podatke).

Pojasnjujejo tudi, da je z zavarovancem nujno sodelovanje že na stopnji preventive in ocene rizika. Pred sklenitvijo zavarovanja je treba opredeliti samooceno informacijske varnosti zavarovanca in oceno izpostavljenosti zavarovalnice. Hkrati je nujen pregled »forme« zavarovanca, da se ugotovi, kje je na področju informacijske varnosti in kajna tem področju lahko še stori. »Zavarovanje je mogoče skleniti le ob pogojih zagotavljanja minimalnih standardov informacijske varnosti zavarovanca, ki jih ugotavljamo z vprašalniki za samooceno informacijske varnosti v organizaciji.«

Asistenca v primeru kibernetskega napada

Zavarovalnica Sava ima vzpostavljeno tudi asistenco v primeru kibernetskega napada. »Prednost našega produkta je v vključeni asistenci in preventivi, ki je zelo pomembna za našega zavarovanca. Ker reševanje kibernetskih vdorov zahteva specifična strokovna tehnična znanja, kibernetsko zavarovanje pravnih oseb Zavarovalnice Sava vsebuje tudi asistenčno pomoč. Asistenca je prisotna v vseh fazah – pred sklenitvijo, pri oceni rizikov, ob nastanku incidenta in po njem.«

Kot dodajajo, ima Zavarovalnica Sava zagotovljene zunanje strokovnjake na področju kibernetske varnosti podjetij. Aktivnost asistenčnega centra je običajno od 8. do 22. ure sedem dni v tednu, izjemoma tudi 24/7. Asistenca zagotavlja ob kibernetskem vdoru takojšnjo pomoč, ne daje samo »osnovnega napotka«, ampak poskuša odpraviti škodo. Asistenca je prisotna pri večini zavarovanih nevarnosti v sklopu zavarovanja (forenzika vzrokov vdora, obnova podatkov in varnostnih nastavitev, obnova programske opreme in podobno).

Različna kritja

Zavarovalnica Sava ponuja svojim strankam osnovno ali razširjeno kritje. Pri posameznih kritjih pa je mogoče izbirati med različnimi zavarovalnimi vsotami I. rizika.

K osnovnemu kritju spadajo stroški za odpravo škode na računalniški strojni opremi in organizacija pomoči ob škodi na programski opremi do dogovorjene zavarovalne vsote; stroški obrambe v postopkih pred nadzornimi organi do dogovorjene zavarovalne vsote; stroški za obnovo podatkov iz arhivskega (»backup«) sistema zavarovanca do dogovorjene zavarovalne vsote, in če je deloval v skladu z internimi pravili in je letno pregledan; stroški za obnovo programske opreme, kot je ponovna namestitev operacijskega sistema in programske opreme, nujne za delovanje podjetja, na primer Adobe reader, brskalniki, Office, CRM in podobno. Poleg tega pa še stroški za obnovo varnostnih nastavitev primarno iz varnostnih kopij, kot so namestitve antivirusnega programa, varnostne konfiguracije na mrežne naprave ter skupinske politike podjetja; stroški za odpravljanje negativnega vtisa v javnosti in stroški obveščanja prizadetih strank do dogovorjene zavarovalne vsote ter stroški, ki se nanašajo na kaznivo izsiljevanje.

V okviru razširjenega kritja pa je možno dodatno vključiti eno ali več od naslednjih kritij: kritje škode v primeru zakonske civilne odgovornosti zaradi kršitve varstva podatkov; kritje izgube dobička zaradi obratovalnega zastoja ter kritje forenzičnih stroškov za ugotovitev vzrokov škodnega dogodka, ki nastanejo pri kloniranju in pregledu diska, pregledu dnevniških datotek na strežnikih, za katere je utemeljen sum, da so bili kompromitirani, pregledu izbrisanih datotek na mediju, če obstaja utemeljen sum, da so te povezane z napadom in pri pregledu odziva mrežnih varnostnih naprav (zapisi antivirusnih sistemov, požarnih pregrad, sistemov IPS/IDS, proxy strežnika), so še pojasnili na Zavarovalnici Sava.