11.2.2015.

Michael Shen: Sve su tvrtke ranjive na cyber napade

Među te rizike ubrajaju se krađa informacija, virusi koji mogu izbrisati podatke i kompjuterske prijevare, o čemu razgovaramo s Michaelom Shenom, zamjenikom dopredsjednika grupe Liberty Specialty Markets, koji će biti jedan od predavača na seminaru IT Risk u Zagrebu 19. ožujka. Michael Shen u razgovoru za Zaštitu govori što sve podrazumijevaju cyber rizici.

Koliko su, po vama, europske tvrtke zapravo upoznate sa cyber rizicima? Jer, ma koliko bile svjesne činjenice da cyber rizici postoje, čini se kako mnoge industrije olako shvaćaju rizike povezane s računalnom tehnologijom.

Svjesnost uvelike ovisi o veličini tvrtke i industrijskom sektoru. Veliki europski trgovački lanci koji imaju izložene POS uređaje, itekako su svjesni opasnosti. Industrija kartičnog plaćanja, doduše, mnoge svoje zahtjeve postavlja na temelju  Industry Data Security Standarda. Iako imaju itekako razvijenu svijest o zaštiti podataka, to, nažalost, ne znači da takve tvrtke svejedno nisu ranjive. Standard, doduše, pruža temelj za određene sigurnosne zahtjeve, no mnoge s PCI-jem usklađene organizacije svejedno su bile na udaru cyber kriminalaca u posljednjih nekoliko godina. Uz to, treba napomenuti i to da nerijetko manje tvrtke ili sektori industrije, kod kojih, doduše, postoji svijest o izloženosti i potencijalnom riziku od cyber kriminala, nemaju znanja, vremena niti resursa za učinkovito odupiranje cyber rizicima. 

Možete li nam navesti koji su danas cyber rizici najrašireniji?

Cyber špijunaža, DDOS napadi, POS (point of sale) skimmer (skimmer je uređaj koji lopovi postavljaju na bankomate kako bi, nakon što obavite transakciju, imali pristup vašem računu), zlonamjerni softveri koji napadaju RAM, crimeware (zlonamjeran kod poput trojanca), zlonamjerni insajder. Popis bi mogao biti jako dugačak.

Na koji način različite vrste cyber napada mogu utjecati na poslovanje?

Ovisi o tome iz koje perspektive gledate. Ako govorimo o povredi podataka, tada će to umnogome ovisiti o tipu podataka koji se održavaju. Kad je riječ o osobnim podacima ili osobnim zdravstvenim informacijama, ako ih je haker u stanju ukrasti, tada to opet ovisi o specifičnosti tih podataka. Ako se ukradu podaci kreditnih kartica, tada će tvrtka vrlo vjerojatno imati neugodnih posljedica jer će, prema sporazumu o trgovačkim uslugama kroz PCI DSS, biti odgovorna putem svoje banke za PCI naknade, kazne i procjene.

I dok kazne mogu često biti ugovorene na određeni iznos, procjene će se temeljiti na unutarnjem izračunu svakog pružatelja kartice, a ti pružatelji kartičnih usluga bit će u potrazi za naknadom za prijevaru, operativnu naknadu, troškove ponovnog izdavanja kartice, itd.

Velikim tvrtkama iznos troškova može se popeti i na nekoliko milijuna eura. Trenutačno ne postoji generalni zahtjev unutar EU da se obavijesti oštećeno stanovništvo o krađi podataka, ali to će se promijeniti s novom Europskom reformom o zaštiti podataka (European Data Protection Reforms), za koju se očekuje da će proći u 2015. godine, a zemlje članice će od dana njezina usvajanja imati još dvije godine za implementaciju. Pod tom reformom bit će kreiran jedinstven paneuropski zakon o podacima koji će, vrlo vjerojatno, uključivati pojedinačne zahtjeve onih koji su zahvaćeni krađom podataka kako bi bili obaviješteni o toj krađi. Jednom kad se obavijesti zahvaćena populacija, oštećena organizacija ili pojedinac željet će upravljati svojim odgovorima preko konzultanta za odnose s javnošću, unajmiti tvrtku koja se bavi forenzikom i možda osigurati kreditni nadzor. Sve je to vrlo skupo i može biti ugrađeno u police koje pokrivaju cyber rizike. Mogu postojati i civilne i regulatorne akcije koje idu uz to, a koje mogu biti pokrivene cyber osiguranjima.

Allianz Risk Barometer 2015 pokazuje da je cyber rizik među top-rizicima za tvrtke u 2015. godini i da je poslovni svijet najmanje pripremljen za tu vrstu rizika. Zašto je tome tako?

Svaka tvrtka koja ima kompjutersku mrežu istog trenutka kad je uspostavi postaje izložena cyber napadima. Dakako da tvrtke žele biti kompjuterizirane što je više moguće, jer što je više računalnih funkcija, to je i veća učinkovitost štednje, a kao rezultat toga veća je i ovisnost o računalima i posljedično tome izloženost. No, tvrtke često nisu pripremljene za računalne rizike jer tehnologija napreduje tempom koji im ne dopušta potrebno vrijeme za procjenu rizika i stvaranje otpornosti, a to osobito vrijedi za male i srednje tvrtke koje imaju specijalne timove upravljanja rizikom. Cyber rizici su novi i mijenjaju se svaki dan, što misiju tvrtki da ostanu stalno ukorak s njima, čini nevjerojatno teškom. Nemojmo se zavaravati, cijena je također važan čimbenik jer mrežna sigurnost nije jeftina. No, često tvrtke tek nakon što budu pokradene, shvate pravu cijenu neimplementiranja nekih od strategija osiguranja sigurnosni. Jer iako takvo ulaganje nije malo, beznačajno je u usporedbi s posljedicama mrežne krađe. (Nataša Gajski Kovačić)