Czy ubezpieczenie następstw cyberryzyk jest potrzebne? TAK! W tym miejscu artykuł mógłby się zakończyć, gdyby nie to, że do świadomości polskich menedżerów w dalszym ciągu nie przebił się fakt, że ryzyka cyber to w głównej mierze ryzyka operacyjne, których wystąpienie może czasowo, a w najgorszym wypadku trwale, wyeliminować firmę z rynku.
Na podstawie dwóch poniżej opisanych przykładów prześledźmy, co może się stać, gdy nieproszeni goście wtargną do naszej cyberprzestrzeni. Firmy, o których mowa, miały wiele szczęścia. Innym niekoniecznie musi się udać.
Hop szklankę piwa
Mówi się, że piorun nigdy nie uderza dwa razy w to samo miejsce. O tym, jak mylne jest to powiedzenie, przekonał się gigant branży browarniczej z Antypodów – Lion Beer Australia.
W tydzień po tym, jak na skutek ataku ransomware (oprogramowanie szyfrujące dane i wymuszające okup w zamian za klucz deszyfrujący) firma zmuszona została do wyłączenia linii produkcyjnych oraz systemów IT, hakerzy zaatakowali ponownie. Wszystko zaczęło się 8 czerwca br., kiedy to na skutek owego ataku ransomware zostały, jako „środek ostrożności”, wyłączone „kluczowe systemy”. Kolejny atak tylko pogłębił wyrządzone szkody. Oświadczenia poszkodowanego mówiły o „trwającym śledztwie” oraz szacowaniu czasu trwania ataku i jego wpływu na zdolności operacyjne. Co do następstw ataku, skupiono się przede wszystkim na przywróceniu zdolności produkcyjnych oraz możliwości obsługi klientów.
Atak nie mógł nastąpić w gorszym dla firmy czasie, ponieważ zbiegł się z otwarciem sezonu turystycznego w Australii i Nowej Zelandii po pandemii Covid-19. Punkty gastronomiczne zaczęły właśnie przygotowania do wznowienia działalności, odbudowy zapasów oraz ponownego zatrudniania personelu. By poradzić sobie z zamówieniami, firma zmuszona została do ich ręcznej obsługi. Natomiast wyłączenie systemów spowodowało zakłócenia w łańcuchu dostaw oraz w procesie warzenia piwa. Zauważalne były także braki towaru w sklepach. W dodatku hakerzy zagrozili opublikowaniem poufnych danych finansowych, osobowych oraz biznesowych, żądając okupu w wysokości 800 000 dol. za odstąpienie od publikacji. Australijski browar odzyskał zdolności operacyjne dopiero po trzech tygodniach.
Podsumowując, każdy browar powinien wiedzieć dwie rzeczy. Po pierwsze – wpływ ataku hakerskiego na zakład produkujący piwo może być znacznie większy niż atak na firmę innego typu, ponieważ oprogramowanie ransomware może przypadkowo lub celowo zakłócić kontrolę procesu warzenia piwa, którego prawidłowy przebieg może być znacznie trudniejszy do przywrócenia niż zwykłe odtworzenie danych z kopii zapasowej.
Po drugie – browary, podobnie jak inne firmy, przechowują cenne dane, takie jak dane klientów i dostawców lub własność intelektualną, np. nowy przepis na piwo. Ponadto są informatycznie połączone z innymi firmami w łańcuchu dostaw, co może umożliwić hakerom dostęp do danych wielu firm.
Al
Nie chodzi tu bynajmniej o sztuczną inteligencję (artificial intelligence), lecz o symbol glinu. Pierwiastka chemicznego, znanego także jako aluminium. 19 marca 2019 r. firma Norsk Hydro (norweski producent aluminium, jeden z największych na świecie) została dotknięta rozległym cyberatakiem. W części ze 170 zakładów zatrzymano linie produkcyjne, pozostałe przestawiono na sterowanie ręczne. O pomoc poproszono również emerytowanych pracowników.
Na skutek ataku 35 000 pracowników Norsk Hydro w 40 krajach straciło dostęp do danych znajdujących się na 22 000 serwerów i komputerów. Skutki finansowe szacuje się na 71 000 000 dol. By nie rozprzestrzeniać infekcji, z uwagi na wyłączenie systemów IT, firma zdecydowała się na śmiałe posunięcie, używając Facebooka oraz komunikatorów, by poinformować pracowników o ataku i ostrzec przed włączaniem komputerów po przyjściu do pracy.
Podczas ataku i po nim informatycy Norsk Hydro pracowali 24 godziny na dobę, 7 dni w tygodniu, korzystając ze wszystkich dostępnych zasobów wewnętrznych oraz przy ścisłej współpracy z zewnętrznymi ekspertami, by uniknąć dalszych strat i wznowić działalność. Wszystkie komputery i serwery w firmie zostały dokładnie zbadane pod kątem złośliwego oprogramowania i bezpiecznie przywrócone do pracy zgodnie ze ścisłymi wytycznymi w celu zapewnienia bezpieczeństwa na przyszłość. Zaszyfrowane komputery i serwery zostały wyczyszczone, a ich zawartość odtworzona na podstawie kopii zapasowych.
Ciąg zdarzeń został uruchomiony trzy miesiące wcześniej, kiedy jeden z pracowników nieświadomie otworzył zainfekowaną wiadomość e-mail od zaufanego klienta. To pozwoliło hakerom na spenetrowanie infrastruktury IT i potajemne umieszczenie wirusa LockerGoga, formy oprogramowania ransomware. LockerGoga zaszyfrował pliki na komputerach stacjonarnych, laptopach i serwerach w całej firmie. Na ekranach zainfekowanych komputerów pojawiło się również żądanie okupu. Przestępcy nie doczekali się jednak odpowiedzi.
Dalszy rozwój wypadków to pokaz prawdziwej wirtuozerii, jeśli chodzi o podejście do likwidacji szkody. Ponieważ Norsk Hydro wykupiła polisę ubezpieczenia następstw ryzyk cybernetycznych, zaś koszty komunikacji kryzysowej oraz odtworzenia dobrego imienia są jednymi z wielu kosztów objętych ubezpieczeniem, firma podjęła decyzję, że nie ulegnie żądaniom. Ponadto kierownictwo spółki przyjęło zasadę pełnej transparentności. Codzienne prowadzone były transmisje internetowe, podczas których delegowani pracownicy odpowiadali na pytania zainteresowanych. Również codziennie w siedzibie firmy w Oslo organizowano konferencje prasowe. Spółka publikowała także aktualizacje na Facebooku i zapraszała dziennikarzy do swoich pomieszczeń operacyjnych. Już w pierwszym tygodniu ataku uruchomiono także nową witrynę internetową firmy.
Przyjęta taktyka działania spotkała się z dużym uznaniem na całym świecie. Straty finansowe zostały w dużej mierze skompensowane przez wzrost reputacji.
Na zakończenie
Co może zrobić firma w przypadku ataku cybernetycznego? Jednym z możliwych rozwiązań jest transfer ryzyka na ubezpieczyciela. Dlaczego jednak rozwiązanie to wciąż nie cieszy się popularnością, pomimo iż zysk utracony na skutek cyberincydentu jak i wiele innych kosztów można ubezpieczyć?
Przyjrzyjmy się kilku argumentom, jakie najczęściej padają w rozmowie o ryzykach cyber.
Nie potrzebujemy ubezpieczenia. Inwestujemy w IT
Pomimo często niemałych inwestycji w IT w dalszym ciągu jesteśmy zagrożeni. Ryzyka cyber stale ewoluują, co pozwala im omijać nawet najlepsze z najnowszych zabezpieczeń. Poza tym to ludzie są z reguły najsłabszym ogniwem łańcucha cyberbezpieczeństwa. Nawet do 75% incydentów cybernetycznych wiąże się z ludzkim błędem lub niedopatrzeniem, np.: ujawnienie danych logowania, niedochowanie procedur potwierdzania przelewów lub utrata urządzeń zawierających poufne informacje.
Usługi IT świadczy nam firma zewnętrzna. Nie jesteśmy narażeni
Nic bardziej mylnego. Korzystanie z usług firmy zewnętrznej nie eliminuje odpowiedzialności. Jeśli dojdzie do wycieku danych, przechowywanych przez firmę zewnętrzną, to my będziemy odpowiedzialni za powiadomienie o tym fakcie osób, których te dane dotyczą, i to my spotkamy się z organem nadzoru. Ponadto działalność wielu firm uzależniona jest od zewnętrznych dostawców usług. Błąd lub awaria po stronie dostawcy usługi może mieć katastrofalne konsekwencje dla firmy. Większość dostawców używa standardowych umów, które limitują ich odpowiedzialność w przypadku tego typu zdarzeń.
To ryzyko dotyczy tylko dużych firm. My jesteśmy zbyt mali
Gdyby to tylko była prawda… Chociaż głośno jest głównie o atakach na duże firmy, ponad połowa ataków dotyka firm z sektora małego i średniego biznesu. Przestępcy postrzegają małe i średnie firmy jako łatwą zdobycz, ponieważ często brakuje im środków na inwestycje w IT lub np. szkolenia pracowników. Spółka może również stać się bramą dostępu przestępców do znacznie większego celu.
Nikt nie wie o naszym istnieniu. Mogę spać spokojnie
Nie do końca. Ofiary ransomware rzadko kiedy są przedmiotem ukierunkowanego ataku. Dlaczego miałyby być? Wymagałoby to czasu i pieniędzy. Przestępcom o wiele bardziej opłaca się celować w konkretną, chociaż powszechną lukę, co doprowadzi do szybkiego rozprzestrzenienia się ransomware wśród maksymalnej liczby potencjalnych ofiar. Potem wystarczy sprawdzić, kto połknął przynętę.
Mam to ryzyko pokryte innymi polisami
Owszem, inne polisy mogą obejmować niektóre elementy ochrony, które zapewnia polisa cyber, ale daje to najwyżej częściowe pokrycie szkody. Polisy te nie zostały wymyślone po to, by chronić aktywa cyfrowe, zaś polisa cyber została opracowana, by wypełnić luki w tradycyjnej ochronie oraz zapewnić dostęp do ekspertów ds. likwidacji szkód, którzy pomogą postawić działalność na nogi, minimalizując przerwy w działalności i straty finansowe.
Kwestie cyberbezpieczeństwa powinny w końcu opuścić działy IT i zagościć w gabinetach członków władz spółek, ponieważ to członkowie organów władz, nie zaś pracownicy IT, znają prawdziwe koszty, które może ponieść spółka na skutek utraty dostępu do danych. Niestety, w dalszym ciągu bardzo często słyszę w słuchawce: „dziękuję, nie potrzebuję”.
Łukasz Cichowski
starszy broker w MAI Insurance Brokers Poland sp. z o.o.
Z rynkiem ubezpieczeniowym związany od 2008 r. Specjalizuje się w ubezpieczeniach ryzyk cybernetycznych oraz odpowiedzialności cywilnej członków władz spółki.
