Kibernetinės rizikos ir verslo draudimas. Ko Lietuvos įmonės dažnai nepastebi?

Per pastaruosius kelerius metus Lietuvos verslas vis dažniau susiduria su realybe, kuri dar prieš dešimtmetį atrodė kaip didelių korporacijų problema. Sukčių atsiųstas el. laiškas, dingę prieigos duomenys, užšifruoti serveriai – visa tai šiandien įvyksta ir 10 darbuotojų įmonei, ir vidutinio dydžio pramoninei gamyklai. Skirtumas tik tas, kad mažesnis verslas turi mažiau išteklių susidoroti su pasekmėmis.
Šiame straipsnyje aptariame, kodėl kibernetinės rizikos tapo realia verslo problema, ką iš tikrųjų apima kibernetinis draudimas ir ko dažnai nepastebi įmonės, manančios, kad „mums tai negresia”.
Kodėl kibernetinė rizika nebėra IT skyriaus problema
Tradiciškai įmonėse kibernetinį saugumą priskirdavo IT komandai – pirko antivirusinę programinę įrangą, sukonfigūravo užkardą, tuo viskas baigdavosi. Tačiau šiandienos atakų pobūdis pasikeitė iš esmės. Daugelis incidentų pradedami ne nuo techninės spragos, o nuo žmogaus klaidos: spustelėto laiško, perduotos slaptažodžio frazės, suklastoto skambučio buhalterijai.
Tai reiškia, kad kibernetinė rizika peržengė IT ribas ir tapo bendros verslo rizikos valdymo dalimi – kartu su civiline atsakomybe, turto draudimu ir veiklos prastovomis.
Augantis verslas automatiškai įgyja daugiau skaitmeninių sąlyčio taškų – nuo CRM iki klientų savitarnos sistemų, nuo el. parduotuvės iki integruotų partnerių sistemų. Investicijos į skaitmeninį matomumą – pavyzdžiui, darbas su SEO agentūra ar reklamos kampanijų plėtra – padidina tiek klientų srautą, tiek bendrą skaitmeninį pėdsaką. Kiekvienas naujas kanalas yra ir potencialus atakos paviršius.
Kokie incidentai dažniausiai pasitaiko Lietuvos versle
Iš to, ką matome dirbdami su verslo klientais, ryškėja kelios pasikartojančios situacijos:
- Phishing ir suklastoti laiškai. Buhalterė gauna „direktoriaus” laišką su nurodymu skubiai pervesti pinigus naujam tiekėjui. Suma būna pakankamai didelė, kad skaudėtų, bet pakankamai įprasta, kad nesukeltų įtarimo.
- Ransomware atakos. Užšifruojami serveriai, įmonė kelias dienas negali dirbti. Kibernetiniai užpuolikai reikalauja išpirkos kriptovaliuta, o net sumokėjus duomenų grąžinimas negarantuotas.
- Verslo el. pašto kompromitacija (BEC). Užpuolikai įsibrauna į el. pašto dėžutę, stebi susirašinėjimą, o tinkamu metu pakeičia banko sąskaitos numerį siunčiamoje sąskaitoje faktūroje. Klientas sumoka – į svetimą sąskaitą.
- Duomenų nutekėjimas. Klientų duomenų bazė atsiranda viešoje erdvėje arba parduodama tamsiajame internete. Atsiranda BDAR baudos rizika ir realios klientų pretenzijos.
- Tiekimo grandinės atakos. Įsilaužimas įvyksta ne pas jus, o pas jūsų IT paslaugų tiekėją – ir per jo prieigą pasiekiami visi jo klientai vienu metu.
Ką iš tikrųjų apima kibernetinis draudimas
Kibernetinis draudimas Lietuvoje vis dar santykinai naujas produktas, todėl įmonės dažnai nesuvokia, kas konkrečiai patenka į apsaugos apimtį. Dauguma rinkos polisų sudėliojami pagal keturias pagrindines sritis.
Tiesioginė verslo žala
Į šią dalį patenka serverių atstatymas, duomenų atkūrimas, kibernetinio incidento tyrimas ir dažnai – išpirkos mokėjimo padengimas (su tam tikromis išlygomis). Įprastai dengiama ir įmonės veiklos prastova: prarastas pelnas dėl to, kad kelias dienas neveikė sistemos.
Trečiųjų šalių pretenzijos
Jeigu dėl jūsų sistemos kompromitacijos nukentėjo klientai – jų duomenys, jų pinigai, jų veikla – jie gali pateikti pretenzijas. Kibernetinis draudimas dengia teisinės gynybos išlaidas ir kompensacijas, kurias gali tekti išmokėti pagal teismo sprendimą ar sutarties sąlygas.
BDAR baudos ir teisiniai aspektai
Lietuvos įmonės dažnai pamiršta, kad Valstybinė duomenų apsaugos inspekcija gali skirti reikšmingas baudas už netinkamai apsaugotus asmens duomenis. Dalis polisų dengia BDAR baudas tiek, kiek tai leidžia įstatymai, ir teisinio konsultavimo išlaidas tyrimo metu.
Reputacijos valdymas
Kai įvykis tampa viešas, įmonei dažnai reikia profesionalios komunikacijos paramos – pranešimų klientams, partneriams, žiniasklaidai. Kai kurie polisai apima ir tokias paslaugas, ir tai dažnai būna vienas iš realiausiai padedančių komponentų krizės metu.
Kas dažnai nepatenka į standartinį polisą
Štai kur prasideda nemalonūs siurprizai. Daugelis verslų sužino apie šias išimtis tik žalos metu:
- Vidaus tyčiniai veiksmai. Jeigu duomenis nutekino jūsų pačių darbuotojas, daugumos polisų apsauga ribojama arba neveikia.
- Pasenusios sistemos. Jeigu dirbate su seniai nepalaikoma operacine sistema ar programine įranga, draudikas gali sumažinti išmoką arba ją atmesti dėl „elementarios apsaugos nesilaikymo”.
- Socialinės inžinerijos sukčiai. Kai pinigai pervedami savo noru – apgauto darbuotojo – kai kurie polisai to nedengia, kiti dengia su atskiru, dažnai mažesniu sublimitu.
- Reputacijos žala be konkrečios viešos krizės. Gali būti sunku įrodyti, kad klientai pasitraukė būtent dėl incidento, jeigu jis viešai neeskalavo.
- Trečiųjų šalių paslaugų teikėjų atakos. Jeigu spraga buvo pas jūsų debesijos paslaugų teikėją, atsakomybės paskirstymo klausimas tampa juridiškai sudėtingas.
Praktinis pavyzdys
Įsivaizduokime vidutinio dydžio Lietuvos prekybos įmonę, dirbančią B2B sektoriuje. 35 darbuotojai, metinė apyvarta apie 4 mln. eurų, klientai tiek Lietuvoje, tiek Latvijoje ir Lenkijoje.
Buhalterija gauna „direktoriaus” laišką su nurodymu pervesti 27 800 eurų naujam logistikos partneriui. Sąskaita, antspaudas, parašas – viskas atrodo įprastai. Po dviejų dienų paaiškėja, kad nei direktorius laiško nesiuntė, nei naujo partnerio nėra.
Kas seka toliau:
- Pirmosios dvi–trys dienos: vidaus tyrimas, kreipimasis į banką (kuris dažniausiai jau nieko negali padaryti), kreipimasis į policiją.
- Pirma savaitė: kibernetinio saugumo specialistų kvietimas, sistemų tyrimas, paaiškėja, kad direktoriaus el. paštas buvo kompromituotas dvi savaitės prieš tai.
- Antra savaitė: išryškėja, kad sukčiams buvo pasiekiama dalis klientų sąrašų – vadinasi, pranešimas VDAI ir klientams.
- Pirmas mėnuo: vienas didelis klientas pasitraukia, kitas pradeda tiekėjo peržiūrą.
Be kibernetinio draudimo įmonė vien tiesiogines išlaidas (specialistai, teisininkai, komunikacija) padengia iš pelno – apie 18 000 eurų. Plius 27 800 eurų prarastų pinigų. Plius BDAR procedūra, kuri trunka mėnesius. Su kibernetiniu draudimu didžioji dalis šių nuostolių grąžinama, o pagrindinis skausmas tampa logistinis, ne finansinis.
Kaip pasiruošti pokalbiui su draudimo brokeriu
Skirtingai nei tiesiogiai dirbant su konkrečiu draudiku, kreipiantis į draudimo brokerį galima palyginti kelių draudikų pasiūlymus ir derėtis dėl sąlygų. Tačiau kad pokalbis būtų rezultatyvus, naudinga ateiti su paruoštais atsakymais į kelis pagrindinius klausimus – jie tiesiogiai veikia tiek apsaugos apimtį, tiek kainą:
- Kiek turite darbuotojų ir kiek iš jų reguliariai dirba su klientų asmens duomenimis?
- Kokias pagrindines sistemas naudojate (ERP, CRM, debesijos paslaugas, vidines duomenų bazes)?
- Ar turite veikiantį atsarginių kopijų ir incidentų reagavimo planą?
- Ar kada nors patyrėte kibernetinį incidentą? Jeigu taip, kokiu mastu ir kaip jis buvo sutvarkytas?
- Kokia jūsų metinė apyvarta ir koks didžiausias galimas vienkartinis nuostolis nuo veiklos prastovos?
Šie atsakymai leidžia brokeriui parinkti tinkamus polisus ir derėtis dėl sąlygų, o ne tiesiog atsiųsti standartinį kainoraštį.
Ką verta įsiminti
Kibernetinė rizika nebėra didelių korporacijų ar IT sektoriaus problema – tai bendra verslo rizika, kurią reikia valdyti tiek techniškai, tiek finansiškai. Techninės priemonės (saugumo politika, darbuotojų mokymai, atsarginės kopijos) sumažina tikimybę, kad incidentas įvyks. Kibernetinis draudimas sumažina pasekmes, kai jis vis tiek įvyksta.
Lietuvos verslo realybėje šios dvi pusės papildo viena kitą, o ne yra alternatyvos. Įmonė be techninių priemonių dažnai negaus draudimo arba gaus jį už neproporcingai didelę kainą. Įmonė tik su techninėmis priemonėmis savo lėšomis padengs viską, kas pirmąkart prasprūs pro filtrą.
Brokerio darbas šioje vietoje – ne parduoti polisą, o padėti įmonei suprasti, kur yra didžiausios spragos ir kokia draudimo sudėtis realiai padengia konkrečios veiklos rizikas. Jeigu norite aptarti savo įmonės situaciją, susisiekite su Perlo draudimo brokerio specialistais – kibernetinio draudimo pasiūlymą paruošiame įvertinę konkrečios veiklos kontekstą.


