„Pigaus ir lengvo“ kibernetinio draudimo laikai baigėsi

2022 m. pabaigoje IT milžinė „Microsoft“ skelbė, kad prasidėjus karui Ukrainoje Lietuva taip pat tapo vienu iš priešakinių kibernetinių atakų taikinių, o per vienerius metus slaptažodžių atakų skaičius pasaulyje išaugo 74 proc. Skaičiuojama, kad kas sekundę įvyksta 921 tokia ataka. Nusikaltėliai savo taikiniais pasirenka viešąjį sektorių, už kritinę infrastruktūrą atsakingas įmones, dideles IT ir telekomunikacijų įmones, bankus. Taip siekiama sutrikdyti valstybių veiklą, įbauginti gyventojus, sėti chaosą ir paniką.

L. Pikšrys atkreipia dėmesį, kad kibernetinių išpuolių pobūdis pastaraisiais metais pasikeitė – anksčiau nusikaltėliai dažniau naudojo „nulaužimo“ taktiką, o dabar siekiama įsibrauti į paskyras ir tinklus pasitelkiant socialinės inžinerijos būdus: stebimos pasirinktos „aukos“, analizuojamas jų elgesys ir mėginama atspėti tikėtinus prisijungimo būdus. Pavienių programišių laikai tampa praeitis – dabar jie buriasi į profesionaliai valdomas nusikalstamas grupuotes, pasitelkia duomenų analitikus.

Pastaruoju metu nusikaltėliai nusitaikė į pramonines įmones, mat šiuolaikinės gamybos linijos paprastai valdomos automatiškai, būna prijungtos prie bendrovės IT tinklo, susietos su buhalterine apskaita ir kitomis valdymo sistemomis. Sutrikimai vienoje gamybinėje linijoje gali sustabdyti visos įmonės veiklą – tai paprastai sukelia milžiniškų nuostolių. IBM duomenimis, 2022 m. vidutinis įsilaužimo nuostolis siekė 4,35 mln. Eur.

Pasak L. Pikšrio, keletą pastarųjų metų didžiausią stresą įmonėms kėlė išpirkų reikalavimai po įsibrovimo į vidinius tinklus arba grasinimai paviešinti klientų duomenis, tačiau dabar dauguma bendrovių išmoko šifruoti duomenis ir pasirūpinti jų kopijomis. Todėl šiuo metu daugiau žalos gali sukelti prieigos prie IT infrastruktūros blokavimas, darbuotojų neatidumas arba tapimas fišingo aukomis. Tokiais atvejais sukčiai kliaujasi žmogiškuoju veiksniu – negebėjimu atpažinti suklastotus tinklapius, psichologiniu poveikiu skubinant darbuotojus atlikti pavedimą suklastotu adresu.

L. Pikšrys atkreipia dėmesį, kad didelėms įmonėms, turinčioms išplėtotas IT sistemas, kvalifikuotus specialistus ir pakankamai resursų, lengviau apsisaugoti nuo kibernetinių grėsmių. Tačiau mažoms ir vidutinėms įmonėms, kurios sudaro daugiau kaip 95 proc. visų bendrovių Lietuvoje, dažnai pritrūksta tiek finansinių galimybių, tiek kompetencijų, todėl jos tampa labiau pažeidžiamos, jas greičiau pasirenka atakų taikiniu.

Programišių taikiniais tampa ir pavieniai asmenys, ir skirtingo dydžio organizacijos. Paplitęs nuotolinis darbas, įvairių programėlių ir asmeninės komunikacijos kanalų gausa – „Messenger“, „LinkedIn“, „WhatsApp“, „SnapChat“, taip pat žaidimų populiarumas – tik didina riziką patirti įsibrovimų. Atsižvelgiant į tai, įmonėms tenka vis daugiau investuoti į IT saugumo sprendimus, vidinių politikų kūrimą ir jų laikymosi užtikrinimą.

„Vis daugiau žmonių tą patį įrenginį naudoja darbo užduotims atlikti bei asmeninėms reikmėms ir tai tampa silpnąja vieta, – pastebi L. Pikšrys. – Šios problemos aktualumas tik auga, o darbuotojams būtina įgyti daugiau žinių – mokėti patvirtinti savo autentiškumą, įsitikinti kito žmogaus tapatybe, atpažinti suklastotą tinklapį.“

Atsižvelgdami į gausėjančias kibernetines rizikas, incidentų skaičių ir augančias nuostolių sumas, draudikai griežtina reikalavimus ir kelia draudimo įkainius.

„Draudikai vis labiau perpranta ganėtinai naują kibernetinių rizikų draudimo rūšį, išmoksta valdyti grėsmes, tiksliau suformuluoti draudimo sąlygas bei apskaičiuoti įmokas. Dabar įmonėms, prieš suteikiant draudimo apsaugą, keliama kur kas daugiau reikalavimų, nei tai buvo daroma prieš metus ar anksčiau“, – sako L. Pikšrys.

Ekspertas teigia, kad norėdamos apsidrausti įmonės turės parengti ir įsidiegti tvirtą kibernetinę strategiją. Priklausomai nuo įmonės veiklos pobūdžio, dydžio, apyvartos ir rizikingumo, draudikai taip pat gali reikalauti įdiegti dviejų pakopų vartotojų autentifikavimą ir profesionalias saugumo technologijas. Esant didesnei rizikai, draudimas gali būti suteiktas tik įsidiegus papildomus sprendimus, tokius kaip SIEM, XDR, PAM, „Zero trust“ politiką ir kt. Šie sprendimai padeda tiksliai identifikuoti vartotojus, valdyti jų prieigos teises, laiku aptikti grėsmes ir į jas sureaguoti prieš joms padarant žalos.

Be to, įmonėms teks nusiteikti, jog draudimo apsauga vis brangsta. Pvz., 60 kompiuterizuotų darbo vietų turinčiai įmonei kibernetinių rizikų draudimas per keletą metų pabrango beveik tris kartus: 2019 m. draudimas kainavo 3300 Eur, 2020 m. – 5100 Eur (55 proc. daugiau), 2021 m. – 6850 Eur (35 proc. daugiau), o 2022 m. – 8650 Eur (26 proc. daugiau).

„Toks įmokos augimas atspindi vis didėjantį kibernetinių grėsmių skaičių, galimų incidentų skaičiaus bei jų sukeliamos žalos augimą. Pasaulyje įsivyravo praktika, kad viena draudimo bendrovė prisiima kibernetinių rizikų vienoje apdraudžiamoje įmonėje tik 5 mln. JAV dolerių sumai, o didesnes sumas apdraudžia kitas draudikas. Ir, jei pernai rizikų draudimas sumoms nuo 5 iki 10 mln. JAV dolerių pabrango 30–50 proc., tai draudimas didesnėms sumoms brango iki 82 proc.“, – aiškina kibernetinių rizikų draudimo specialistas.

L. Pikšrys taip pat atkreipia dėmesį, kad įmonėse augant daiktų interneto sprendimams, jos turės daugiau dėmesio skirti tokių prietaisų apsaugai. Šiuo metu vis daugiau bendrovių naudoja įvairius kortelių skaitytuvus, internetu valdomus spausdintuvų ir kavos aparatų tinklus, išmanias šviesos, šildymo ir vėsinimo sistemas. Jei tokie sprendimai nebus tinkamai apsaugoti, kibernetinių incidentų atveju gali sutrikti ne tik jų veikimas, bet ir apskaitos duomenų valdymas, o veiklos atstatymas gali užtrukti iki kelių dienų ir pareikalauti nemenkų papildomų išlaidų.

Vis dėlto draudimo ekspertas atkreipia dėmesį, kad prieš priimant sprendimą, kokias saugos sistemas diegti, verta pasitarti ne tik su IT ekspertais, bet ir draudimo specialistais.

„Kiekvienai įmonei, priklausomai nuo jos dydžio, veiklos pobūdžio, jau esamų IT sprendimų gali būti taikomi skirtingi reikalavimai. Siekiant pasirinkti tinkamiausią sprendimą ir skirti protingą pinigų sumą, pravartu susipažinti su draudikų reikalavimais – paprastai draudikų informacija apsaugo nuo perinvestavimo ir padeda tiksliau pasirinkti konkrečiai įmonei tinkamą sprendimą“, – pataria „Aon Baltic“ kibernetinių rizikų draudimo vadovas.