A kiberbiztosítás megkötése csupán egyik eleme a vállalat védekezési stratégiájának. Mellette elköteleződésre és pénzbeli befektetésre is szükség van a kockázatok csökkentéséhez.
2017-ben a NotPetya zsarolóvírus szerte a világban komoly gondokat okozott, óriási ipari vállalatok a kártevő estek áldozatául. Közöttük volt a Moeller Maersk logisztikai óriás vállalat is, amelynél a jelentések szerint több mint 40 ezer számítógép volt érintett a támadásban. A fertőzés első körben Ukrajnában jelentkezett, és orosz támadókra gyanakodtak a szakértők.
Mint a legtöbb nagyvállalat, a Maersk is rendelkezett kiberbiztosítással. A biztosító azonban háborús cselekménynek minősítette az esetet, és nem fizette ki a kártérítést. Az ügyet a bíróságra vitték, ahol a közelmúltban született meg az ítélet. Az ügyet az IT-biztonsággal foglalkozók is figyelemmel kísérték, hiszen az precedensként szolgált a többi vállalat és biztosító számára is.
A bíróság döntése értelmében a kártérítés kifizetését nem lehet olyan könnyen elodázni. A két fél közötti szerződés szövegezése csupán a fizikai háborúkat zárta ki, a kibertámadásokat viszont nem. A biztosító nem változtatta meg a szerződés nyelvezetét úgy, hogy azzal minden kétséget kizáróan jelezze, hogy a háborús események alatt kibertámadást is ért. Így a biztosítónak ki kell fizetnie az 1,4 milliárd dolláros kártérítést, amire a Maerck jogosult.
Sokat változott a kiberbiztosítási helyzet
Az öt évvel ezelőtti helyzethez képest napjainkra a kiberbiztosítások helyzete radikálisan megváltozott. 2017-ben a biztosítók szinte mindenkivel kötöttek kiberbiztosítást, eléggé laza feltételeket támasztva a biztosított cégekkel szemben, és a biztosítások ára is alacsony volt. Így nem meglepő, hogy sokan kötöttek biztosítást, miközben a biztosítóknak egyre több kárt kellett kifizetniük.
A helyzet mára megváltozott, nem olyan egyszerű kiberbiztosítást kötni, mint régebben. A zsarolóvírusos támadások gyakorisága és a támadások következtében jelentkező növekvő veszteségek miatt a biztosítók sokkal óvatosabban válogatják ki az ügyfeleket. Megfelelő IT-biztonsági infrastruktúra hiányában már senkivel sem állnak szóba. A biztosításokat úgy módosították, hogy csupán az elszenvedett veszteség adott százalékát térítik meg.
Nem csupán biztosítás és biztonsági infrastruktúra kérdése
Az biztos, hogy ha egy vállalat képes kiberbiztosítást kötni, akkor az egyféle védettséget és meglévő biztonsági infrastruktúrát feltételez. Azonban ez is csupán a védekezés egyik rétege, ahogy önmagában a megfelelő IT-biztonsági infrastruktúra sem megoldás. A vezetőség is el kell kötelezze magát, szerepet kell vállalnia példamutatással, a kollégák oktatásával és az IT csapat felhatalmazásával, hogy szakszerűen kezelhessék a biztonsági problémákat. Ez pedig befektetést jelent, anyagi és emberi erőforrásban is.
A cikk eredetileg a G Data nemzetközi blogján jelent meg