Eva Csomor
Vice President
Akár társadalmi és fenntarthatósági valós odafigyelésből eredően, akár szimpla kommunikációs megfontolásból, de a legtöbb vállalat ma már fontos sztenderdek és alapelvek szerinti üzletmenetet követel meg a beszállítói láncától. A legismertebb és ezáltal leginkább elfogadott az ISO szabványok szerinti működés, de ide tartozik az etikai, illetve egyéb társadalmi szempontok és értékek betartása, vagy például a környezeti és fenntarthatósági vállalások mentén való tevékenység.
Ma még sokan felkapják a fejüket, ha azt mondjuk, hogy a cyber kockázatok kezelése során sem kizárólag a saját cégünkre kell gondolni, hanem a vevőinknél/vevőinknek és beszállítóinknál/beszállítóinknak is „résen kell lenni”. Ráadásul ez szó szerint értendő, hiszen az ellátási lánc kiberbiztonsági résein beszivárgó és bekövetkező károk a megrendelő cég pénzügyi teljesítményére is kihatással lehetnek.
Megdöbbentő adat, hogy 430%-kal nőtt az ellátási láncon belüli szoftveres támadások száma 2019-ről 2020-ra. Az ellátási lánc cyber támadása során a támadó a vállalat egyik beszállítóján vagy partnerén keresztül fér hozzá a megrendelő cég adataihoz. Az ilyen típusú támadások óriási lehetőségeket jelentenek a támadóknak. Egy beszállító elleni akár egyetlen sikeres kibertámadás során több szervezetről is érzékeny adatok kerülhetnek rossz kezekbe.
A stratégia része kell, hogy legyen ezen kockázatok szerződéses vagy egyéb módon történő kezelése. Beszállítói oldalon pedig nem szabad meglepődni azon, ha a kiberkockázat kezelését, leginkább kiberbiztosítás megkötésével megvalósuló áthárítását írja elő egy olyan vállalat, amelynek akár terméket, akár szolgáltatást készülünk „beszállítani”.
Manapság már nincs olyan szolgáltatás, melynek az igénybevétele - a beszerzése, majd a megrendelést követően a teljesítése – részben vagy egészben ne a kibertérben történne. Nagy mértékben igaz ez az áruk, termékek beszerzésére is, aminek során bizonyos pontokon szintén számítógépes rendszereket használunk.
Nem elegendő egy szolgáltatási vagy szakmai felelősségbiztosítás, illetve egy termékfelelősség vagy bérlői/bérbeadói felelősségbiztosítás előírása, hanem bizony gondolni kell a beszállító okozta cyber kockázat megfelelő áthárítására is biztosítás formájában. Hogy miért? Leginkább azért, mert a kiberbűnözők sokszor nem magát a megcélzott céget, hanem az ellátásában fontos szerepet játszó kisebb beszállító partnerét támadják meg, azt remélve, hogy gyengébb biztonsági rendszerbe ütköznek. És sok esetben ebben igazuk is van, így sikerrel járnak.
A minőségi szolgáltató ismérve, hogy reagál az új kihívásokra, így a kiberfenyegetésekre is. A saját és a megrendelő érdekeit egyaránt szem előtt tartva szükséges gondoskodni a kiberkockázat kezeléséről, áthárításáról. Egy beszállítói kiberincidensből adódó kár a megrendelőnél komoly anyagi veszteséget tud okozni. A megrendelő szemében a kockázat megfelelő kezelése sokkal többet érhet, mintha valaki egy-két százalékkal alacsonyabb árat kínál.
Ha egy cég a kibervédelem terén is minősített beszállítóvá válik, felkészültségével meg tudja különböztetni magát a versenytársaktól. Ma még jelentős versenyelőnyhöz jut ezáltal, de középtávon ez is elvárássá, a beszállítói státusz előfeltételévé alakul majd a megrendelők részéről.
A mai nemzetközi biztosítási gyakorlatban a kiberincidenshez köthető károkra a tradicionális vagyon- és felelősségbiztosítások jellemzően nem nyújtanak fedezetet. Sok esetben már a biztosítási feltételek úgynevezett nevesített kizárásai között szerepel a „cyberkár”. Félreértés ne essék! Szükséges és hasznos a vállalkozói vagyon- és felelősségbiztosítás, csak más biztosítási eseményekre jó: tűzkár, vízkár, géptörés, üzemszünet stb.
Mellette viszont ugyanilyen fontos, hogy cyber biztosítással, valamint GDPR felelősségbiztosítással kezeljük a kiberkockázatot, mind megrendelői mind beszállítói oldalról, hiszen azt rövid- és középtávon is a top 10 kockázat egyikének tekinti a Világgazdasági Fórum által publikált Globális Kockázati Jelentés (Global Risks Report 2022).
A szerzők, Orbán Éva és Németh Csaba, a Marsh Kft. cyber biztosítási szakértői.
Vice President
Vice President, Corporate Client Practice
Hungary