Küberkindlustust võib peagi vajada suur hulk firmasid

Hiljuti teavitas Yahoo järjekordsest suuremahulisest häkkimisest, kui miljardi Yahoo konto andmed lekkisid. Seda peetakse praeguse seisuga üheks suurimaks andmevarguse intsidendiks maailmas. Teateid erinevatest sarnastest juhtumitest jõuab meieni aga iga päev ning see puudutab väga erinevate tegevusvaldkondade ettevõtteid - 400 000 spordiklubi liikme andmed lekkisid veebilehe kaudu, veebisaidi rünnakus lekkisid tuhanded viisabüroo kasutajaandmed, Kapustkiy varastas üle 4000 Slovakkia Kaubanduskoja kasutaja info jne.

Ettevõtte jaoks tähendab see, et koheselt on vaja teavitada üldsust lekke ulatusest ja iga lekkinud andmerea omanikku ehk kliente, kelle andmed lekkisid. Tihti tähendab see PR-kulusid, õiguskulusid, nõuete korral ka kohtukulusid, krediitkaardi andmete lekkimisel krediidimonitooringut, samuti kulusid uurimisele. Selliste juhtumite puhul astub koheselt mängu küberkindlustus. Eelpool nimetatud kulusid hüvitatakse olenemata sellest, kas tegemist on poliisiga kaetud kindlustusjuhtumiga - need on eraldiseisev osa kindlustuskaitsest. Selline kohene sekkumine võimaldab lõplikku kahju vähendada - mida kauem aega on juhtumi ja teavitamise vahel, seda kulukamaks läheb juhtum kindlustusandjale ja kliendile endale.

Eestis täna veel massilist küberkindlustuse ostmist ei toimu

EL-s jõustub peagi uus andmekaitseregulatsioon, mis paneb ilmselt ettevõtteid rohkem mõtlema, mida andmed väärt on ja kui suur on vastutus andmete ees. Hiljaaegu kimbutas muuhulgas ka Eesti veebipoode Venemaalt pärit pahavara, mis klientide andmeid varastas. Uue regulatsiooni valguses tähendaks see, et vastavaid ametkondi tuleb teavitada 72 tunni jooksul peale lekke avastamist, iga kliendiga tuleb eraldi ühendust võtta, vajadusel tellida krediidimonitooring ja teavitada avalikkust andmelekke mahust jms. Sanktsioonid andmetega seotud rikkumiste eest ähvardavad tulla üsna suured - kõige raskemate rikkumiste eest nähakse ette trahv kuni 4% aastakäibest või 20 MEUR (olenevalt kumb on kõrgem).

Eestis täna veel massilist küberkindlustuse ostmist ei toimu ning kahetsusväärselt arvavad kliendid, et on täiesti võimatu, et nende ettevõttesse võiks keegi sisse häkkida. Tegelikult on ettevõtteid kahte tüüpi - need, kellel on intsidente olnud ja need, kellel veel pole olnud ehk et kaitstud ei ole tegelikult keegi.

Ettevõtjad üldiselt ei tea veel, et selliseid juhtumeid on võimalik kindlustada, kuna kohalikud seltsid küberkindlustuse tooteid ei paku. Seega on praegu leping võimalik sõlmida kindlustusmaakleri kaudu mõne rahvusvahelise seltsiga.

Kindlustus moodustab küberturvalisuse eelarvest väikese osa

Kindlustus häkkimise ega küberintsidendi eest ei kaitse, vaid tegeleb tagajärgedega. Kindlustuse eesmärk on võtta kliendi eest kanda kulud, kui intsident on juhtunud ja kahju tekkinud. Loomulikult peab aga igaüks ka ise turvalisusega tegelema - kui kindlustada end tulekahju riski vastu, siis tegeletakse tuleohutusega ja paigaldatakse alarme ja sprinklereid, varaste eest keerame ukse lukku. Sama kehtib küberkindlustuse puhul - tuleb kasutusele võtta mõistlikud abinõud, et ligipääsu oma arvutivõrgule igati takistada

Ennetuseks on lugematu hulk küberturvalisuse tagamise viise - tõrjed, platvormid, tulemüürid, andmete krüpteerimised, tarkvara uuendamine jne. Kindlustus moodustab küberturvalisuse eelarvest vaid väikese osa ja peaks kindlasti olema ettevõtte riskijuhtimise üks oluline osa või meede. Küberriskide kindlustusleping ei saa asendada andmete ja süsteemidega seotud riskijuhtimist ettevõttes, vaid peaks olema osa sellest.

Küberriskid ei puuduta vaid IT-firmasid

Küberrünnakud on meie kaasaegses maailmas igapäevased. Need ei puuduta mitte ainult tehnoloogiaettevõtteid, vaid vastupidi, kõiki ettevõtteid, kelle valduses on delikaatseid isiku- või finantsandmeid või kes kasutavad infosüsteeme ja veebilahendusi.

Näiteks finantssektor, advokaadid, meditsiiniasutused, tootmisettevõtted, e-poed, kaubandusettevõtted (kliendikaardid), hotellimajandus, riigiasutused jne. Kui varakindlustuse kahju realiseerub näiteks tulekahju läbi, siis küberkindlustus realiseerub enamasti küberpahalase loata sissetungist ettevõtte süsteemidesse.

Küberkindlustus pakub kaitset ettevõttele endale, näiteks süsteemide taastamise kuludeks, aga katab ka kolmandate isikute nõudeid, näiteks keegi peab tänu teise ettevõtte juhtumile oma mitme päeva töö taastama või ongi otseselt krediitkaardi pealt raha kadunud.

Kõige haavatavamad on just väiksemad või väiksema IT- eelarvega ettevõtted, kes IT-turvalisusele väga suuri summasid kulutada ei saa. Aga nagu Yahoo näide näitab, siis suured saavad ka pihta, kusjuures selliste intsidentidega võib olla seotud mõni väiksema turvalisusega alltöövõtja.