Cyber biztosítás az ellátási láncban

Egyrészt hasznos, másrészt a legtöbb helyen megszokott, kötelező feltétel az ISO minősítés ahhoz, hogy beszállítóvá válhasson egyik vállalat a másiknál. Sok helyen már az is gyakori, hogy környezetvédelmi, etikai vagy fenntarthatósági minősítést, jelentést kér valaki egy beszerzés vagy tender során. Ez a jövője az ellátási lánc (supply chain) kiberkockázat-kezelésének is.

Digital security technology concept for business, lock on circuit board
Egyrészt hasznos, másrészt a legtöbb helyen megszokott, kötelező feltétel az ISO minősítés ahhoz, hogy beszállítóvá válhasson egyik vállalat a másiknál. Sok helyen már az is gyakori, hogy környezetvédelmi, etikai vagy fenntarthatósági minősítést, jelentést kér valaki egy beszerzés vagy tender során. Ez a jövője az ellátási lánc (supply chain) kiberkockázat-kezelésének is.

Akár társadalmi és fenntarthatósági valós odafigyelésből eredően, akár szimpla kommunikációs megfontolásból, de a legtöbb vállalat ma már fontos sztenderdek és alapelvek szerinti üzletmenetet követel meg a beszállítói láncától. A legismertebb és ezáltal leginkább elfogadott az ISO szabványok szerinti működés, de ide tartozik az etikai, illetve egyéb társadalmi szempontok és értékek betartása, vagy például a környezeti és fenntarthatósági vállalások mentén való tevékenység.

Ma még sokan felkapják a fejüket, ha azt mondjuk, hogy a cyber kockázatok kezelése során sem kizárólag a saját cégünkre kell gondolni, hanem a vevőinknél/vevőinknek és beszállítóinknál/beszállítóinknak is „résen kell lenni”. Ráadásul ez szó szerint értendő, hiszen az ellátási lánc kiberbiztonsági résein beszivárgó és bekövetkező károk a megrendelő cég pénzügyi teljesítményére is kihatással lehetnek.

Növekszik a kibertámadások száma

Megdöbbentő adat, hogy 430%-kal nőtt az ellátási láncon belüli szoftveres támadások száma 2019-ről 2020-ra. Az ellátási lánc cyber támadása során a támadó a vállalat egyik beszállítóján vagy partnerén keresztül fér hozzá a megrendelő cég adataihoz. Az ilyen típusú támadások óriási lehetőségeket jelentenek a támadóknak. Egy beszállító elleni akár egyetlen sikeres kibertámadás során több szervezetről is érzékeny adatok kerülhetnek rossz kezekbe. 

A stratégia része kell, hogy legyen ezen kockázatok szerződéses vagy egyéb módon történő kezelése. Beszállítói oldalon pedig nem szabad meglepődni azon, ha a kiberkockázat kezelését, leginkább kiberbiztosítás megkötésével megvalósuló áthárítását írja elő egy olyan vállalat, amelynek akár terméket, akár szolgáltatást készülünk „beszállítani”.

Felelősen kell kezelni a kiberkockázatot

…a beszerző oldaláról

Manapság már nincs olyan szolgáltatás, melynek az igénybevétele - a beszerzése, majd a megrendelést követően a teljesítése – részben vagy egészben ne a kibertérben történne. Nagy mértékben igaz ez az áruk, termékek beszerzésére is, aminek során bizonyos pontokon szintén számítógépes rendszereket használunk.

Nem elegendő egy szolgáltatási vagy szakmai felelősségbiztosítás, illetve egy termékfelelősség vagy bérlői/bérbeadói felelősségbiztosítás előírása, hanem bizony gondolni kell a beszállító okozta cyber kockázat megfelelő áthárítására is biztosítás formájában. Hogy miért? Leginkább azért, mert a kiberbűnözők sokszor nem magát a megcélzott céget, hanem az ellátásában fontos szerepet játszó kisebb beszállító partnerét támadják meg, azt remélve, hogy gyengébb biztonsági rendszerbe ütköznek. És sok esetben ebben igazuk is van, így sikerrel járnak.

…és a beszállító oldaláról is

A minőségi szolgáltató ismérve, hogy reagál az új kihívásokra, így a kiberfenyegetésekre is. A saját és a megrendelő érdekeit egyaránt szem előtt tartva szükséges gondoskodni a kiberkockázat kezeléséről, áthárításáról. Egy beszállítói kiberincidensből adódó kár a megrendelőnél komoly anyagi veszteséget tud okozni. A megrendelő szemében a kockázat megfelelő kezelése sokkal többet érhet, mintha valaki egy-két százalékkal alacsonyabb árat kínál.

Ha egy cég a kibervédelem terén is minősített beszállítóvá válik, felkészültségével meg tudja különböztetni magát a versenytársaktól. Ma még jelentős versenyelőnyhöz jut ezáltal, de középtávon ez is elvárássá, a beszállítói státusz előfeltételévé alakul majd a megrendelők részéről. 

Nem elég a vagyon- és felelősségbiztosítás

A mai nemzetközi biztosítási gyakorlatban a kiberincidenshez köthető károkra a tradicionális vagyon- és felelősségbiztosítások jellemzően nem nyújtanak fedezetet. Sok esetben már a biztosítási feltételek úgynevezett nevesített kizárásai között szerepel a „cyberkár”. Félreértés ne essék! Szükséges és hasznos a vállalkozói vagyon- és felelősségbiztosítás, csak más biztosítási eseményekre jó: tűzkár, vízkár, géptörés, üzemszünet stb.

Mellette viszont ugyanilyen fontos, hogy cyber biztosítással, valamint GDPR felelősségbiztosítással kezeljük a kiberkockázatot, mind megrendelői mind beszállítói oldalról, hiszen azt rövid- és középtávon is a top 10 kockázat egyikének tekinti a Világgazdasági Fórum által publikált Globális Kockázati Jelentés (Global Risks Report 2022).

A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői.

Author(s):

Image placeholder

Eva Orban

Vice President

Image placeholder

Csaba Németh

Vice President, Corporate Client Practice