Higiena cyfrowa i polisa cyber na dobry początek

15 lipca, 2024

Komunikacja, zakupy, bankowość, praca zdalna to tylko niektóre z obszarów, w których intensywnie korzystamy z sieci. Jednakże wraz z wygodami jakie niesie ze sobą technologia, pojawiają się również liczne zagrożenia, często przez nas niezauważane, ale również (mając ich świadomość) niestety ignorowane. Zrozumienie i wdrażanie zasad bezpieczeństwa cyfrowego oraz świadomość znaczenia ubezpieczenia od ryzyk cybernetycznych znacząco zwiększają nasze bezpieczeństwo w sieci, oszczędzają sporo czasu, pieniędzy i zdrowia.

Zagrożenia w sieci

Wśród najczęściej spotykanych zagrożeń internetowych wymienia się phishing, malware, ataki typu ransomware czy wycieki danych. Phishing polega na podszywaniu się pod zaufane osoby lub instytucje w celu wyłudzenia poufnych informacji takich jak dane logowania czy numery kart kredytowych. Ataki malware to wprowadzenie złośliwego oprogramowania na komputer ofiary, co może prowadzić do kradzieży danych, monitorowania aktywności lub uszkodzenia systemu. Ransomware to forma ataku, w której hakerzy szyfrują dane ofiary i żądają okupu za ich odblokowanie. Wycieki danych mogą nastąpić w wyniku błędów ludzkich lub celowych działań cyberprzestępców, co może prowadzić do nieuprawnionego dostępu do wrażliwych informacji.

Aktualna sytuacja

Z raportu Cisco Cybersecurity Readiness Index 2024, który analizuje gotowość organizacji na całym świecie do stawienia czoła współczesnym zagrożeniom cybernetycznym, wynika, że 88% polskich firm jest w początkowej fazie „dojrzałości” gotowości na cyberzagrożenia, a tylko 1% (przy 3% na świecie) określa się jako gotowe na tego typu zagrożenia. Blisko 3 na 4 badane firmy wyrażają obawę, że incydent cybernetyczny zakłóci ich działalność w ciągu najbliższych 12-24 miesięcy, co jest również zbieżne z globalnymi obawami. Pomimo tego stanu, aż 31% firm czuje się pewna swoich zdolności do zachowania odporności w sytuacji kryzysu cyberbezpieczeństwa. Dane te pokazują, że polskie firmy mogą przesadnie wierzyć w swoje możliwości obrony przed zagrożeniem cybernetycznym i niewłaściwie oceniają rzeczywistość oraz skalę wyzwań, przed którymi stoją, żeby nie powiedzieć dosadniej – lekceważą je.

Higiena cyfrowa jako fundament bezpieczeństwa

Jak zatem zabrać się za poprawę tego stanu rzeczy?

Pierwszym elementem poprawy stanu cyberświadomości powinno być zadbanie o swoją higienę cyfrową, rozumianą jako zbiór praktyk mających na celu ochronę naszych danych i urządzeń przed zagrożeniami cybernetycznymi. Obejmuje ona zarówno techniczne, jak i behawioralne aspekty korzystania z technologii.

Podstawą „technicznej” e-higieny powinno być stosowanie silnych i unikatowych haseł do różnych kont. O sile hasła decyduje jego długość i oryginalność. Możliwości pamięciowe przeciętnego ludzkiego mózgu oscylują w granicach kilkunastu haseł. Jednak przy niezliczonej liczbie kont online i dostępowych do infrastruktury służbowej nie jest możliwe zapamiętanie ich wszystkich. Z pomocą przychodzą nam menedżery haseł, które służą do ich przechowywania. Można powiedzieć, że są to cyfrowe sejfy na notatniki z hasłami.

Coś co praktycznie nie wymaga żadnego wysiłku od użytkownika i można zastosować to właściwie od zaraz to uwierzytelnianie dwuskładnikowe (2FA). Jest to metoda zabezpieczania dostępu do kont online poprzez wymaganie dwóch odrębnych form potwierdzenia tożsamości użytkownika. Tradycyjnie polega to na połączeniu czegoś, co użytkownik zna (jak hasło), z czymś co posiada (np. telefon komórkowy). Dzięki 2FA, nawet jeśli cyberprzestępca zdobędzie hasło do konta, nie będzie mógł uzyskać dostępu do niego bez drugiego składnika uwierzytelnienia. Znacząco zwiększa to poziom bezpieczeństwa, chroniąc przed atakami m.in. phishingowymi.

Kolejnym ważnym elementem jest aktualizowanie na bieżąco używanego oprogramowania – systemów operacyjnych i aplikacji. Aktualizacje często zawierają poprawki bezpieczeństwa, które eliminują wykryte luki.

Jednym z kluczowych działań, które pozwolą utrzymać ciągłość biznesową i zmniejszą skutki ewentualnego cyberataku, jest wykonywanie regularnych kopii zapasowych. Utrata wskutek cyberataku lub nawet zdarzenia losowego takiego jak awaria serwera, kluczowych danych może oznaczać poważne przestoje, straty finansowe i uszczerbek na reputacji. Regularne backupy umożliwiają szybkie odzyskanie danych i kontynuowanie działalności bez większych zakłóceń. Robienie kopii zapasowych jest fundamentalnym elementem strategii ochrony danych, niezależnie od tego czy dotyczy to użytkowników prywatnych, czy komercyjnych.

Cyberpolisa jako dodatkowa warstwa ochrony

Mimo zachowania wszelkich środków ostrożności nie jesteśmy w stanie całkowicie wyeliminować ryzyka ataku. W takich sytuacjach zbawienne może okazać się ubezpieczenie od ryzyk cybernetycznych. Polisa może obejmować różne scenariusze, takie jak odpowiedzialność cywilną i administracyjną za naruszenie prywatności, koszty obsługi incydentu informatycznego np. ekspertów z zakresu informatyki śledczej, koszty związane z odzyskaniem danych po ataku ransomware, czy pokrycie strat finansowych wynikających z przerw w działalności biznesowej. Dodatkowo polisa może zapewnić wsparcie np. prawne i marketingowe w zakresie zarządzania kryzysowego w celu minimalizacji skutków incydentu.

Znaczenie świadomości i edukacji

Właściwa higiena cyfrowa oraz dobra cyberpolisa stanowią kluczowe elementy skutecznej strategii ochrony w Internecie. Odpowiednia kombinacja środków technicznych, zachowań użytkowników oraz wsparcia finansowego może znacząco zredukować ryzyko i konsekwencje ataków cybernetycznych. W świecie, gdzie technologia odgrywa coraz większą rolę, dbałość o bezpieczeństwo cyfrowe staje się nieodzownym elementem codziennego życia.

artykuł opublikowany w tygodniku Gazeta Ubezpieczeniowa nr 27-28/2024 (1303)

Przemysław Burdach

zastępca dyrektora biura analiz i projektów ubezpieczeniowych
broker ubezpieczeniowy

POWRÓT

Polisa cyber, czyli jak ochronić się przed ryzykiem związanym z cyberatakami

10 marca, 2023

Minął rok od wybuchu wojny na Ukrainie. Rok, który zmienił wiele, w tym nasze postrzeganie cyberbezpieczeństwa. Świat usłyszał o cyberatakach za sprawą Anonymous, które wypowiedziało cyberwojnę Rosji. Jednak cyberataki nie stały się dla nas nowością wraz z nagłośnieniem działalności Anonymous, a jedynie pokazały rozmiar zagrożenia oraz możliwości hackerów.

Atak hackerski może spotkać każdego, nie trzeba być politykiem czy znienawidzoną organizacją by stać się ofiarą cyberataku. Za najpopularniejszymi atakami hackerskimi wcale nie stoją ludzie. Wiele ataków wykonywanych jest przez zautomatyzowane programy komputerowe, takie jak boty i oprogramowanie złośliwe (malware), które mogą atakować masowo i bez celu określonej ofiary, w konsekwencji narażone nie są tylko duże firmy, ale także małe i średnie przedsiębiorstwa.

Znaczenie bezpieczeństwa w zakresie cybernetyki

Wraz z rozwojem technologii i popularności działalności online, bezpieczeństwo w zakresie cybernetyki stało się niezwykle ważne dla polskich przedsiębiorstw. Muszą one zagwarantować bezpieczeństwo swoim klientom w kwestii przechowywania informacji i danych osobowych, a także w zakresie realizacji transakcji online. W celu zapewnienia bezpieczeństwa cybernetycznego firmy wdrażają tzw. politykę bezpieczeństwa, która określa procedury związane z cyberbezpieczeństwem. Same procedury jednak są niewystarczające, ważną kwestią są regularne szkolenia pracowników w zakresie cyberbezpieczeństwa, aby byli świadomi zagrożeń i potrafili zabezpieczyć się przed atakami. Bezpieczeństwo w świecie cyfrowym wymaga ciągłej edukacji i zwiększenia świadomości użytkowników. Ponieważ zagrożenia związane z cyberprzestępczością są coraz bardziej zaawansowane i złożone, a cyberprzestępcy wykorzystują coraz bardziej nowoczesne metody i techniki, aby osiągnąć swoje cele.

W ramach edukacji w zakresie cyberbezpieczeństwa, użytkownicy powinni uczyć się, jak chronić swoje urządzenia, jakie zachowania online są ryzykowne i jak rozpoznawać podejrzane sytuacje. Powinni także wiedzieć, jakie są najczęstsze zagrożenia, takie jak phishing, malware, ransomware, ataki DDoS itp. Oprócz tego, firmy powinny szkolić swoich pracowników w zakresie bezpieczeństwa w środowisku pracy, na przykład w zakresie zarządzania hasłami, identyfikacji i autoryzacji użytkowników, zarządzania urządzeniami, bezpiecznego korzystania z e-maili, a także w zakresie reagowania na incydenty bezpieczeństwa. Wszyscy użytkownicy powinni mieć na uwadze, że bezpieczeństwo w świecie cyfrowym jest procesem ciągłym i wymaga uważności i świadomości ze strony wszystkich osób korzystających z sieci.

W lutym br. ukazał się raport KPMG „Barometr cyberbezpieczeństwa” z wynikami badań na temat bieżących trendów oraz podejścia polskich przedsiębiorstw do kwestii ochrony przed cyberprzestępczością. Badaniu poddano 100 polskich firm, reprezentowanych przez osoby odpowiedzialne za zapewnienie bezpieczeństwa informacji. Zgodnie z przeprowadzonymi badaniami aż 1/3 firm zaobserwowała wzrost intensywności cyberataków na swoje systemy. I chociaż istnieją setki różnych rodzajów cyberataków, najpopularniejszy był atak ransomware. Do ataku ransomware hackerzy używają złośliwego oprogramowania, które szyfruje dane znajdujące się na dysku lub blokuje system. W zamian za odblokowanie systemu należy zapłacić okup. Na szczęście wszystkie badane firmy zdołały poradzić sobie z nim bez płacenia okupu.

Dedykowane produkty ubezpieczeniowe

Naprzeciw cyberbezpieczeństwu wychodzą zakłady ubezpieczeń z dedykowanymi produktami ubezpieczeniowymi. Polisa cyber to rodzaj ubezpieczenia, które chroni przed ryzykiem związanym z cyberatakami i innymi incydentami związanymi z bezpieczeństwem cybernetycznym. Polisa ta może obejmować ochronę przed różnymi rodzajami szkód, w tym kosztami związanymi z naprawą uszkodzeń systemów informatycznych, odzyskiwaniem danych, a także kosztami związanymi z utratą prywatnych lub poufnych informacji klientów. Polisa cyber może również obejmować ochronę przed odpowiedzialnością prawną wynikającą z naruszenia danych osobowych lub przepisów o ochronie prywatności, a także kosztami związanymi z prowadzeniem działań na rzecz odbudowy reputacji i zaufania klientów.

Polisa cyber nie jest jednak dla każdego. Na rynku ubezpieczeń produkt ten nie jest oferowany przez wszystkich ubezpieczycieli, spośród których część w ostatnim czasie zaostrza wymagania co do zabezpieczeń. Z pomocą przychodzi broker, który poszukując ochrony cyber dla swoich klientów niejednokrotnie spotyka się z brakiem elementarnych zabezpieczeń lub wiedzy na ich temat. Brokerzy ubezpieczeniowi pomagają klientom w zrozumieniu złożonych zagadnień związanych z cyberbezpieczeństwem i ubezpieczeniami, takich jak poziomy ochrony, klauzule wyłączenia, weryfikacja warunków ubezpieczenia, a także w wyborze odpowiedniego ubezpieczenia, które najlepiej odpowiada ich potrzebom. Uświadomienie słabości zabezpieczeń jest często wynikiem przeprowadzonej analizy brokera. Niestety poziom świadomości wśród wielu firm nie jest jeszcze na tyle wysoki by z wielkim zapałem inwestowały one w zminimalizowanie ryzyka w swojej organizacji.

Z wyników badania dowiadujemy się, że główną przyczyną jest brak wystarczających budżetów (57%), a także trudności w zatrudnieniu i utrzymaniu wykwalikowanych pracowników (47%). Jednym z rodzajów radzenia sobie z wymienionymi problemami jest outsourcing funkcji i procesów bezpieczeństwa. Na koniec 2022 roku 81% badanych firm powierzyło kwestie bezpieczeństwa danych organizacji zewnętrznym dostawcom. Aż 53% firm oczekiwało wsparcia w reakcji na cyberataki od zewnętrznych podmiotów. Tego typu usługa nie jest tania, dlatego rozwiązaniem jest polisa ubezpieczenia cyber, która swoim zakresem obejmuje pomoc w razie cyberataku. Ograniczona ilość firm informatycznych zajmujących się wsparciem po incydencie hackerskim, przyczynia się do popularności cybezrubezpieczeń. Zakłady ubezpieczeń w razie cyberataku zapewniają profesjonalne wsparcie poszkodowanego. Jednak z wyników badania KPMG wynika, że jedynie 24% ankietowanych przedsiębiorstw posiadało polisę ubezpieczeniową od skutków cyber, a aż 42% miało podpisaną umowę z zewnętrznymi firmami na wypadek konieczności wsparcia przy ewentualnych cyberatakach.

artykuł opublikowany w Gazecie Finansowej z 3-9 marca 2023 – BIZNES RAPORT – BROKER UBEZPIECZENIOWY ROKU 2022

dr Angelika Kuligowska

broker ubezpieczeniowy w Inter-Broker sp. z o.o.

POWRÓT