Lai mērītu risku nozīmīgumu un to ietekmi uz uzņēmējdarbību, katru gadu tiek veiktas aptaujas starp uzņēmējiem un apkopoti industriju dati. Kā liecina Allianz “Risk Barometer 2020”, kiberdrošības risks ir ierindojies pirmajā vietā
*www.agcs.allianz.com/news-and-insights/expert-risk-articles/allianz-risk-barometer-2020-business-risks.html |
Ne tikai Eiropas, bet arī Latvijas kontekstā, balstoties uz neseniem gadījumiem, varam runāt par kiberuzbrukumiem kā biežāku parādību. Jāpiebilst par dažām tendencēm, proti, kiberuzbrukumu mērķa klientu fokusa pārvietošanās no lielo korporatīvo uzņēmumu segmenta uz vidējo, kā arī pārorientēšanos no finanšu industrijas uz citām – nekustamā īpašuma, mazumtirdzniecības un dažādu ikdienas pakalpojumu uzņēmējdarbību. Ņemot vērā, ka šāda rakstura uzbrukumi parasti ir saistīti ar datu noplūdi, uzņēmumi ir ļoti atturīgi (diskrēti) šādas informācijas publiskošanā, jo tas var apdraudēt to reputāciju un samazināt klientu uzticamību. Tāpēc ir virkne šādu uzbrukumu, par kuriem publiski sabiedrība neuzzina. Svarīgi saprast, ka aizvien biežāk izvērtējot kiberrisku iestāšās iespējamību, uzņēmumiem ir jāuzdod jautājumus: “”Kad tas notiks?”, nevis mierināt sevi ar:”Vai tas notiks?”
Jo lielāka ir uzņēmuma darbības atkarība no informācijas tehnoloģijām, jo pievilcīgāks mērķis kiberuzbrukumam. Ja kombinācija ir uzņēmuma atkarība no informācijas tehnoloģijām + sensitīvo datu apstrāde, uzglabāšana, tad divkārt paaugstinās risks tikt pakļautiem kiberuzbrukumiem. Tāpēc jo īpaša uzmanība kiberrisku vadībā būtu jāpievērš uzņēmumiem un organizācijām, kas apstrādā klientu veselības datus. Kā piemēru šeit vēlētos minēt kiberuzbrukuma gadījumu 2020.gada oktobrī Somijā, Vastaamo psihiatrijas centram. Šajā gadījumā dati, 40 000 klientu individuālo sesiju ieraksti, tika iegūti no uzņēmuma serveriem, bet naudas izspiešanas prasības par datu nopludināšanu tika izvirzītas pašiem klientiem. Uzņēmuma gala finansiālie zaudējumi ir rezultējušies uzsāktā bankrota procedūrā**. Izdevumu pozīcijas veidojās no: a) IT speciālistu piesaistes, kas ierobežotu/apstādinātu datu noplūdi, b) datu atjaunošanu, c) valsts uzraugošās iestādes sodu par GDPR normu pārkāpšanu, d) trešo personu – klientu tiesvedības prasības par zaudējumiem un morālo kaitējumu, e) juristu, reputācijas atjaunošanas izdevumi, f) kā arī dīkstāves izdevumi, kamēr tiek atjaunotas sistēmas un uzņēmums spēj pilnvērtīgi atsākt uzņēmējdarbību. Pēc starptautiskās pieredzes šādu zaudējumu apmērs var sasniegt pat vairākus miljonus, atkarībā no tā, cik liels ir uzņēmuma holdinga apgrozījums (GDPR sods) + jau iepriekš minētie zaudējumi, kas lielā mērā atkarīgi no cietušo trešo personu zaudējuma apjoma. Tāpat kā jebkurus citus neparedzamus zaudējumus, kā, piemēram, īpašumam, transportam, tā arī šos izdevumus ir iespējams apdrošināt un minimizēt to ietekmi uz uzņēmējdarbību.
** https://www.computerweekly.com/news/252496227/Hacked-Finnish-therapy-business-collapsesCik sakārtota ir katra uzņēmuma digitālā vide, ir grūti spriest, jo nav noteikta ārējā regulējuma vai rekomendāciju šajā sfērā. Labākās prakses gadījumos uzņēmums ir pasūtījis IT auditu, kas sniedz vērtējumu par faktisko stāvokli un uzlabojumiem, kas nepieciešami, lai sasniegtu maksimāli labāko šīs sfēras risku regulējumu. Iespējams, ka visi uzņēmumi kaut uz brīdi pārskatīja savu digitālo vidi brīdī, kad tapa un stājās spēkā GDPR - Vispārīgā datu aizsardzības regula. Jautājums ir , vai tā bija vienreizēja darbība, vai uzņēmuma digitālā labbūtība tiek pārskatīta regulāri.
Pēc pieredzes Latvijas uzņēmumu kiberrisku vadības pieeja ir sekojoša:
- Šim riskam pakļautas citas nozares – nav iespējams novērtēt, vai un cik katra uzņēmuma darbība var būt interesanta kibernoziedzniekiem, jo, kā redzams, pēdējā laikā kiberuzbrukumos ir cietuši uzņēmumi, kas nodarbojas ar nekustamo īpašumu apsaimniekošanu un auto koplietošanaas pakalpojumu sniegšanu.
- IT servisa piegādātāja vai iekšējās nodaļas atbildība/lēmums par kiberrisku vadību – tas ir uzņēmuma vadības lēmums par šāda jautājuma atbildības deleģēšanu, tomēr aicinātu uzņēmuma vadībai:
- Pārliecināties, uz kādiem nosacījumiem, atbildībām un sankcijām ir noslēgti līgumi ar iekšējo/ārējo IT pakalpojumu nodrošinātājiem – vai pakalpojuma sniedzējs ir apdrošinājis kiberriskus un savu kā IT pakalpojuma sniedzēja atbildību. Šo jautājumu var pagriezt vienkāršāk, ja iestāsies IT pakalpojuma sniedzēja atbildība, proti, ja būs kiberuzbrukums vai nespēja piegādāt pakalpojumu, vai pakalpojuma sniedzējs spēs segt Jūsu uzņēmuma zaudējumus.
- Veikt iekšējo biznesa nepārtrauktības analīzi un aprēķināt potenciālos zaudējumus, kas uzņēmumam var rasties, ja iestātos kiberrisks vai IT pakalpojuma nekvalitatīva piegāde. Tad izvērtējiet to samēru ar uzņēmuma ienākumiem – veiciet savas bilances posteņu stresstestu.
- Tiek pievērsta nozīme, bet risinājumi ir noteikti ar salīdzinoši zemāku prioritāti starp uzņēmuma ieviešamajiem projektiem/produktiem, nenovērtējot paredzamos zaudējumus, ja šis risks iestājas. Nereti jaunieviestā produkta ieņēmumi pat nesastāda pusi no iespējamā zaudējuma, ja iestājas kiberrisks. Arī šajā gadījumā aicinu iesaistīties uzņēmuma vadību un izvērtēt iepriekš minētos 1) un 2) ieteikumus.
Ja, veicot iepriekšējos ieteikumus, uzņēmuma vadība nerod pārliecību, ka uzņēmums spēs segt šādus potenciālos zaudējumus, tad aicinu izvērtēt kiberrisku un IT pakalpojuma sniedzēju risku apdrošināšanu.
- Ja uzņēmums ir dzirdējis par šāda riska vadību caur apdrošināšanu, tad ir uzskats, ka process ir sarežģīts, dārgs un laikietilpīgs.
Balstoties uz tirgū esošu kiberrisku apdrošināšanas polišu prēmijām/cenām, varat pārliecināties par prēmiju/cenas saprātīgumu.
Ir izstrādātas pieteikuma formas, kas ļauj jebkuram uzņēmuma sniegt atbildes uz jautājumiem, lai varētu sagatavot piedāvājumu. Nav nepieciešamības piesaistīt IT speciālistu.
Raksta nobeigumā aicinu aizpildīt aptauju, lai saprastu, vai uzņēmumam ir jāizvērtē kiberdrošība.
Ja vairumā gadījumu atbildējāt ar “JĀ”, tad aicinu izvērtēt Jūsu uzņēmuma digitālo labbūtību.