Ob vedno večji družbeni odvisnosti od sodobnih tehnologij pri poslovanju se izjemno povečuje obseg osebnih in poslovnih informacij v lasti podjetij. Informacije, ki jih podjetja hranijo v digitalni ali fizični obliki so izpostavljene kršitvam zaupnosti s strani zlonamernih hekerjev (kibernetski kriminal) oz. zaradi napačnih ali namernih dejanj zaposlenih. Stroški povezani s takšnimi dejanji so lahko za podjetje neobvladljivi, celo usodni za obstoj. Zloraba zaupnih informacij ima lahko velik vpliv na ugled blagovne znamke ter zaupanje strank in zaposlenih.

Kakšen je najprimernejši odziv v primeru informacijskega varnostnega incidenta? Koga bi poklicali za nasvet? Kako bi komunicirali s strankami, zaposlenimi in mediji? Ali vaša družba lahko prenese morebitno finančno breme in izgubo ugleda zaradi tožbe oškodovancev?

Cyber zavarovanje je vrsta zavarovanja, ki podjetjem pomaga pri prevenciji in varstvu pred kršitvami varstva osebnih in poslovnih podatkov zaradi vdora v računalniški sistem, napake zaposlenega, motnje poslovanja ali poškodovanja omrežja. Gre za relativno nov produkt na zavarovalnem trgu, čigar namen je zapolniti vrzel premoženjskih in odgovornostnih zavarovanj ter zavarovanja komercialnega kriminala, ki ne krijejo škode nematerialnih sredstev (podatkov) in z računalniškim omrežjem povezanih nevarnosti.

Cyber_1

Za koga je cyber zavarovanje primerno?

Družbe, ki posedujejo velike količine osebnih ali poslovnih podatkov – v digitalni ali fizični obliki –, so velika potencialna tarča napadov, toliko bolj, ko so ti podatki občutljive narave oz. imajo finančno vrednost.

Cyber zavarovanje je primerno za vse družbe, ne glede na njihovo velikost ali vrsto storitev, ki jo zagotavljajo. Zaradi manj robustnih nadzornih mehanizmov so na udaru tudi manjše družbe.

50% družb, ki so v letu 2012 bila tarča cyber napada, ima manj kot 2.500 zaposlenih (vir: Symantec, 2014)

Najpogostejši vzroki izgube podatkov:

  • hekerski napad na notranje sisteme podjetja,
  • vdor na spletno stran družbe, na kateri se zbirajo osebni podatki uporabnikov,
  • sistemska napaka,
  • zlonamerno dejanje zaposlenega,
  • človeška napaka; izgubljen službeni telefon, tablica ali ukraden prenosni računalnik, ki vsebuje osebne podatke ipd.

Uredba (EU) 2016/679 o varstvu osebnih podatkov – General Data Protection Regulation (GDPR)

Uredba (EU) 2016/679 je bila sprejeta s strani Evropskega Sveta in Parlamenta dne 27. aprila 2016, veljati je začela 24. maja 2016. Uporabljati se začne neposredno in hkrati v vseh državah članicah  Evropske Unije 25.5.2018.

Bistvene novosti, ki jih prinaša GDPR:

  • za hujše kršitve višje globe v višini od 20 milijonov EUR do 4% letnega svetovnega prometa družbe,
  • nova teritorialna razsežnost,
  • definicija osebnega podatka prilagojena modernim tehnologijam,
  • strožji pogoji obdelave osebnih podatkov,
  • obveznost poročanja o kršitvah,
  • pravica do pozabe (»right to be forgotten«),
  • vgrajena zasebnost (»privacy by design),
  • pravica prenosa podatkov (»data portability«) itd.

Več o novostih, ki jih prinaša GDPR si lahko preberete tukaj.

Osebni podatek je vsaka informacija, ki se nanaša na posameznika in njegovo zasebno, poklicno ali javno življenje. To so lahko imena, fotografije, e-poštni naslovi, bančni podatki, objave na družbenih omrežjih, zdravstvene informacije ali računalniški IP naslovi.

Že ena družba od petih uporablja storitve shranjevanja podatkov v oblaku, kar poveča nevarnost izgube podatkov družbe zaradi napake ali vdora v oblačni sistem.

tabela

Odmevnejši primeri napadov na varovane osebne podatke

  • eBay – spletni velikan je utrpel enega od največjih cyber napadov med spletnimi prodajalci. Napadalci so kompromitirali manjše število vstopnih podatkov zaposlenih, s katerimi so pridobili dostop v omrežje družbe in kompromitirali podatkovno bazo imen, gesel, e-poštnih naslovov, telefonskih številk in rojstnih datumov 233 milijonov registriranih uporabnikov.
  • JPMorgan Chase – eden od največjih izdajateljev kreditnih kartic v ZDA je bil žrtev cyber napada, ki je kompromitiral račune 76 milijonov gospodinjstev in 7 milijonov malih podjetij, kar postavlja ta napad med največje doslej. Računalniški vlomilci so prišli do imen, naslovov, e-poštnih naslovov in telefonskih številk strank.
  • Target – tretjemu trgovskemu velikanu v ZDA je bilo odtujeno okoli 70 milijonov osebnih kontaktnih podatkov in 40 milijonov podatkov kreditnih in debetnih kartic svojih kupcev, kar je druga največja kršitev prijavljena s strani kakšnega ameriškega prodajalca. Kršitev naj bi bankam in drugim kreditnim institucijam povzročila več kot $200 milijonov škode.

Cyber_2