Skontaktuj się z nami
+48 61 641 24 24 crb(at)grupacrb(dot)pl
Bez kategorii, 21 Lip 2021

Zagrożenia cybernetyczne – nowe wyzwanie dla zarządów

Dziś już chyba nie ma przedsiębiorcy lub menadżera, który nie byłby świadomy rosnących zagrożeń wynikających z działalności w świecie wirtualnym. Nie ma firmy, która w takim świecie nie byłaby, w mniejszym lub większym stopniu, obecna. Niemniej sama świadomość takich zagrożeń nie uchroni przed ich negatywnymi konsekwencjami. Wielowymiarowość problemu powoduje, że skuteczne zminimalizowanie ryzyk cybernetycznych wymaga wiedzy i skoordynowania pracy wielu specjalistów.

Korzystanie z systemów informatycznych, komunikacja elektroniczna, promowanie firmy w mediach społecznościowych, posiadanie strony internetowej, pozyskiwanie danych i wiedzy z internetu – to wszystko powoduje, iż zagrożenie atakiem hackerskim jest możliwe. Prawdopodobieństwo takiego ataku w ostatnim czasie drastycznie wzrosło, o czym świadczą dane statystyczne – średni roczny poziom wzrostu liczby cyberataków w latach 2009 do 2014 to 66%[1], a nowe złośliwe oprogramowanie pojawia się na świecie średnio co 4,2 sekundy[2].

 

Analizując prasę branżową, praktycznie codziennie można znaleźć informacje o bardziej lub mniej spektakularnym ataku. W ostatnim czasie, bardzo dynamiczny wzrost zagrożenia cyberprzestępczością obserwowany jest również na terytorium Polski, gdzie w 2020 roku odnotowano niemal 55 tys. przestępstw mających związek z naruszeniem bezpieczeństwa informacji w sieci[3]. Silny trend wzrostowy liczby incydentów został niewątpliwie umocniony przez pandemię Covid, która wymusiła przeniesienie części życia zawodowego i prywatnego do sfery wirtualnej.

Nie tylko źródło i rodzaj zagrożenia cybernetycznego może okazać się złożonym problemem, bowiem atak może być zamierzony lub przypadkowy, może wynikać z niedostatecznego poziomu zabezpieczenia infrastruktury teleinformatycznej, ale również sprowokowany świadomie lub nieświadomie przez pracownika. Problematyczne w szczególności mogą być konsekwencje wystąpienia zagrożenia cybernetycznego, gdyż może on skutkować nie tylko naruszeniem danych, wyciekiem, utratą, ale również szkodami majątkowymi wynikającymi z ataku na infrastrukturę sterującą procesami produkcyjnymi lub logistycznymi[4]. Zdarzenia takie mogą powodować szkody własne, np. utratę zysku firmy, dodatkowe koszty działalności, utratę kontaktów handlowych, utratę reputacji, ale również wyrządzić szkody osobom trzecim, narażając firmę na roszczenia cywilne (np. wyciek i ujawnienie danych wrażliwych, straty i utrata korzyści w związku z niedostarczeniem zamówienia itp.).

W problematyce cyberryzyk nie bez znaczenia jest również fakt konsekwencji wynikających z uregulowań prawnych. W obecnym stanie prawnym przedsiębiorcy zobowiązani są do zabezpieczenia systemów przed wyciekiem danych wrażliwych i przestrzegania odpowiednich procedur. Od 25 maja 2018 r. w krajowych porządkach prawnych obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) o Ochronie Danych (RODO)[5], które zrewaluowało zakres obowiązków podmiotów przetwarzających dane osobowe i stworzyło nową perspektywę dla ochrony danych osobowych. Jedną z najbardziej spektakularnych zmian jest znaczące rozbudowanie systemu kar nakładanych na przedsiębiorców, których górna granica została ustalona na poziomie 20 mln EUR lub 4 % całkowitego rocznego światowego obrotu z poprzedniego roku.

 

Oddzielną płaszczyzną problemu jest odpowiednie zabezpieczenie w przypadku wystąpienia skutków cyberryzyka. Do ich minimalizacji przyczynić się może profesjonalny plan odtworzenia oraz kontynuacji działania, zawierający procedury postępowania. Natomiast kompensata strat możliwa będzie w przypadku odpowiednio przygotowanego ubezpieczenia. Profesjonalne podejście do aranżacji ochrony ubezpieczeniowej powinno rozpocząć się od analizy istniejącego programu ubezpieczeniowego, weryfikacji wymagań i potrzeb a następnie przygotowania specjalistycznego rozwiązania, które obejmie problem w sposób optymalny. Z uwagi na różnorodność propozycji dostępnych na rynku ubezpieczeń a także stosunkowo selektywne podejście ubezpieczycieli do akceptacji tego ryzyka, warto powierzyć to zadanie specjaliście.

 

Problem zagrożeń cybernetycznych jest złożony. Odpowiednie podejście do zarządzania nim powinno zakładać współpracę wielu specjalistów – począwszy od osób odpowiadających za bezpieczeństwo firmy, po informatyków, prawników a także brokerów ubezpieczeniowych. Dynamicznie rosnące znaczenie zagrożeń cybernetycznych powoduje, że odpowiedzialna firma nie może poprzestać na ich monitorowaniu, a powinna wdrażać rozwiązania pozwalające unikać i minimalizować przyczyny oraz skutki ich wystąpienia.

 

 

Arkadiusz Biały

 

Broker ubezpieczeniowy

Prezes Zarządu CRB Insurance Solutions Sp. z o.o.

 

Lipiec, 2021 r.

[1] Raport PWC: Zarządzanie ryzykiem w cyberprzestrzeni. Kluczowe obserwacje z wyników ankiety „Globalny stan bezpieczeństwa informacji 2015”, str. 9.

[2] Raport GData, “Malware Trends 2017”, 2017

[3] Artykuł: „Liczba ataków hakerskich rośnie, a wykrywalność spada – Telekomunikacja i IT – rp.pl”

[4] Lloyd’s and the University of Cambridge Centre for Risk Studies: Emerging Risk Report – 2015 „The Insurance implications of a cyber attack on the US power grid”, str. 27.

[5] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

Poprzedni artykul
Krajowy Rejestr Zadłużonych – przesunięcie terminu wejścia w życie ustawy