Cyber balesetek

A cyber biztosítási károk 80 százaléka támadásból eredően, míg a maradék 20 százalék egyéb eseményből következik be. Emberi mulasztással kapcsolatos események is okozhatnak cyber kárt. Mik tartozhatnak az egyéb események kategóriájába, és milyen hatásuk lehet a vállalatok és intézmények működésére, gazdálkodására?

Program code with red cyber attack alert

A cyber biztosítási károk 80 százaléka támadásból eredően, míg a maradék 20 százalék egyéb eseményből következik be. Emberi mulasztással kapcsolatos események is okozhatnak cyber kárt. Mik tartozhatnak az egyéb események kategóriájába, és milyen hatásuk lehet a vállalatok és intézmények működésére, gazdálkodására?

Eddigi írásainkban elsősorban a kibertámadások fajtáiból (zsarolóvírus támadás, adathalászat, hacker támadás, túlterheléses támadás stb.) eredően jártuk körbe a cyber biztosítás témáját. Nem is csoda, hiszen a Marsh nemzetközi adatai szerint tízből nyolc kiberbiztosítási kár külső támadás eredményeként következik be. Azonban nem csak ezek jelentenek kiberkockázatot, és nem csak ezek hatására van szükség kiberbiztosításra. Tízből két esetben ugyanis egyéb véletlen, váratlan esemény hatására szenvedhet el kiberkárt egy vállalkozás vagy intézmény. Lássuk, hogy milyen egyéb cyber biztosítási események fordulhatnak elő.

Baleset miatt bekövetkező károk

A baleset fogalma alatt ebben az esetben természetesen nem a szó köznapi értelmében használt jelentést kell értenünk, vagyis nem egy személyt ért balesetre gondolunk. A biztosítási szakmában a baleset fogalma megközelítőleg az, hogy: véletlen, váratlan, hirtelen fellépő külső behatás eredményeként, negatív kimenettel járó esemény. Ebbe természetesen beletartoznak a személyi sérülések is, de látható, hogy sokkal szélesebb fogalomkörről van szó.

A vállalat eszközparkjával, informatikai eszközeivel is történhetnek olyan események, amelyek balesetnek minősülnek, és amelyek nem csak a „vassal” (számítógéppel, mint vagyontárggyal), hanem az adatokkal kapcsolatban is negatív, pénzben kifejezhető következményekkel, károkkal járnak. Legyenek azok akár a vállalat saját eszközei és adatai, vagy a bekövetkező esemény kapcsán a céggel (informatikai) kapcsolatban álló társaságok adatai. Vagyis egy baleset kapcsán is bekövetkezhet saját kiberbiztosítási kár, vagy harmadik személynek okozott felelősségi kár, amit akár az adatvédelmi felelősségbiztosítás terhére is bejelenthet a károsult. Csakúgy, mint egy gépjárműnél: közlekedési balesetben megsérülhet a saját gépjármű, amire a casco, vagy megsérülhet a másik fél autója, amire a kötelező gépjármű-felelősségbiztosítás nyújt fedezetet, ha a balesetet mi okoztuk. (Hasonlóan közérthető módon a cyber biztosításról ebben a cikkünkben írtunk.) Sok esetben a gépjármű károk emberi mulasztás révén következnek be. Lássuk, hogy is van ez a nem cyber támadásból eredő kiber károk esetében! 

Véletlenszerű cyber biztosítási események

Az IBM Cyber Security Intelligence Index jelentése szerint a kiberbiztonsági incidensek 95%-át elsősorban emberi hiba okozza. Kiemelten igaz ez a véletlenszerűen bekövetkező eseményekre. Az IBM 2020-as Az adatszivárgás költsége című jelentése (Cost of a Data Breach Report) szerint az emberi hiba által okozott kiberbiztonsági incidensek átlagos költsége 3,33 millió dollár. Íme néhány példa, hogy „balesetszerű” emberi mulasztás milyen következményekkel járhat:

  • 2018 augusztusában a Strathmore Secondary College egyik alkalmazottja véletlenül több mint 300 diákkal kapcsolatos diáknyilvántartást tett közzé a minden diák és szülő számára elérhető iskolai intraneten. A közzétett feljegyzések rendkívül érzékeny információkat tártak fel a súlyos betegségben szenvedő diákokról.
  • Egy cég új számlázási szoftvert vezetett be, amelynek a hibája által 203 ezer ügyfélnek rossz bankszámlaszámmal küldött ki számlát. Saját számlájukon hiába várták ezen ügyfelek befizetéseit.
  • Egy csomagküldő cég rendszerhibája miatt 3 héten keresztül kézzel kellett feldolgozni a megrendeléseket és kiszállításokat, ami jóval költségesebb, és a jövőbeli üzletmenetre is hatással bíróan lassabb, mintha az automatizált folyamat szerint működött volna a feldolgozás.

Látható tehát, hogy egy rendszerprobléma, vagy akár egyetlen meggondolatlan emberi hiba is beláthatatlan következményekkel járhat a szervezetre nézve. Amellett, hogy költséges és kifinomult technológiai biztonsági megoldásba fektet egy cég, az emberi oldalra (képzésre, figyelemfelhívásra stb.) is figyelmet kell fordítani. Minden hiba azonban így sem előzhető meg, hiszen, ahogy a mondás tartja: „csak az nem hibázik, aki nem dolgozik”.

Felkészülni, vigyázz!

A kiberfenyegetés nagy hatással járó probléma, akár kibertámadás, akár véletlenszerű esemény miatt következik be. Nem mindegy viszont, hogy készültünk-e arra, hogy vállalatunknál bekövetkezik ilyen, vagy nem készültünk rá. Mert, hogy bekövetkezik az nem kérdés. Csupán az, hogy mikor. És mivel a kiberkockázat a vállalatvezetők szerint a csúcskockázatok egyike, ezért, ha tetszik, ha nem, fel kell rá készülni. Egyrészt kibervédelemmel informatikai oldalról (beleértve az oktatásokat is). Az úgynevezett IT security a kiberkockázat bekövetkezésének gyakoriságát képes csökkenteni, de teljesen kiküszöbölni nem tudja. Ezért van mellette szerepe a cyber biztosításnak, amely pedig a megmaradó kockázat áthárításának eszköze, és a bekövetkező kár súlyosságát hivatott csökkenteni. Mindkettő fontos, olyannyira, hogy az informatikai védelem előfeltétele a biztosításnak.

A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői. 

Author(s):

Image placeholder

Eva Orban

Vice President

Image placeholder

Csaba Németh

Vice President, Corporate Client Practice