Eva Csomor
Vice President
A cyber biztosítási károk 80 százaléka támadásból eredően, míg a maradék 20 százalék egyéb eseményből következik be. Emberi mulasztással kapcsolatos események is okozhatnak cyber kárt. Mik tartozhatnak az egyéb események kategóriájába, és milyen hatásuk lehet a vállalatok és intézmények működésére, gazdálkodására?
Eddigi írásainkban elsősorban a kibertámadások fajtáiból (zsarolóvírus támadás, adathalászat, hacker támadás, túlterheléses támadás stb.) eredően jártuk körbe a cyber biztosítás témáját. Nem is csoda, hiszen a Marsh nemzetközi adatai szerint tízből nyolc kiberbiztosítási kár külső támadás eredményeként következik be. Azonban nem csak ezek jelentenek kiberkockázatot, és nem csak ezek hatására van szükség kiberbiztosításra. Tízből két esetben ugyanis egyéb véletlen, váratlan esemény hatására szenvedhet el kiberkárt egy vállalkozás vagy intézmény. Lássuk, hogy milyen egyéb cyber biztosítási események fordulhatnak elő.
A baleset fogalma alatt ebben az esetben természetesen nem a szó köznapi értelmében használt jelentést kell értenünk, vagyis nem egy személyt ért balesetre gondolunk. A biztosítási szakmában a baleset fogalma megközelítőleg az, hogy: véletlen, váratlan, hirtelen fellépő külső behatás eredményeként, negatív kimenettel járó esemény. Ebbe természetesen beletartoznak a személyi sérülések is, de látható, hogy sokkal szélesebb fogalomkörről van szó.
A vállalat eszközparkjával, informatikai eszközeivel is történhetnek olyan események, amelyek balesetnek minősülnek, és amelyek nem csak a „vassal” (számítógéppel, mint vagyontárggyal), hanem az adatokkal kapcsolatban is negatív, pénzben kifejezhető következményekkel, károkkal járnak. Legyenek azok akár a vállalat saját eszközei és adatai, vagy a bekövetkező esemény kapcsán a céggel (informatikai) kapcsolatban álló társaságok adatai. Vagyis egy baleset kapcsán is bekövetkezhet saját kiberbiztosítási kár, vagy harmadik személynek okozott felelősségi kár, amit akár az adatvédelmi felelősségbiztosítás terhére is bejelenthet a károsult. Csakúgy, mint egy gépjárműnél: közlekedési balesetben megsérülhet a saját gépjármű, amire a casco, vagy megsérülhet a másik fél autója, amire a kötelező gépjármű-felelősségbiztosítás nyújt fedezetet, ha a balesetet mi okoztuk. (Hasonlóan közérthető módon a cyber biztosításról ebben a cikkünkben írtunk.) Sok esetben a gépjármű károk emberi mulasztás révén következnek be. Lássuk, hogy is van ez a nem cyber támadásból eredő kiber károk esetében!
Az IBM Cyber Security Intelligence Index jelentése szerint a kiberbiztonsági incidensek 95%-át elsősorban emberi hiba okozza. Kiemelten igaz ez a véletlenszerűen bekövetkező eseményekre. Az IBM 2020-as Az adatszivárgás költsége című jelentése (Cost of a Data Breach Report) szerint az emberi hiba által okozott kiberbiztonsági incidensek átlagos költsége 3,33 millió dollár. Íme néhány példa, hogy „balesetszerű” emberi mulasztás milyen következményekkel járhat:
Látható tehát, hogy egy rendszerprobléma, vagy akár egyetlen meggondolatlan emberi hiba is beláthatatlan következményekkel járhat a szervezetre nézve. Amellett, hogy költséges és kifinomult technológiai biztonsági megoldásba fektet egy cég, az emberi oldalra (képzésre, figyelemfelhívásra stb.) is figyelmet kell fordítani. Minden hiba azonban így sem előzhető meg, hiszen, ahogy a mondás tartja: „csak az nem hibázik, aki nem dolgozik”.
A kiberfenyegetés nagy hatással járó probléma, akár kibertámadás, akár véletlenszerű esemény miatt következik be. Nem mindegy viszont, hogy készültünk-e arra, hogy vállalatunknál bekövetkezik ilyen, vagy nem készültünk rá. Mert, hogy bekövetkezik az nem kérdés. Csupán az, hogy mikor. És mivel a kiberkockázat a vállalatvezetők szerint a csúcskockázatok egyike, ezért, ha tetszik, ha nem, fel kell rá készülni. Egyrészt kibervédelemmel informatikai oldalról (beleértve az oktatásokat is). Az úgynevezett IT security a kiberkockázat bekövetkezésének gyakoriságát képes csökkenteni, de teljesen kiküszöbölni nem tudja. Ezért van mellette szerepe a cyber biztosításnak, amely pedig a megmaradó kockázat áthárításának eszköze, és a bekövetkező kár súlyosságát hivatott csökkenteni. Mindkettő fontos, olyannyira, hogy az informatikai védelem előfeltétele a biztosításnak.
A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői.
Vice President
Vice President, Corporate Client Practice
Hungary