Razvoj lokalnih usluga socijalne zastite grada Pancevo
D.bara ict kladovo_prezentacija
1. DANIJEL BARA
ČLAN UPRAVE, JADRANSKO OSIGURANJE D.D.
Šta u očuvanju komjuterske
sigurnosti mogu ponuditi
osiguravajuća društva - kako
kreirati policu koja pokriva
IT rizik
6. LAŽNA SIGURNOST
INTERNET JE U OSNOVI OTVORENA PLATFORMA
- ne znamo što se događa u našoj vlastitoj
mreži
- uobičajene prakse ne nalaze sve
- prijetnje dolaze iznutra
- prijetnja je brža od odgovora
- „granice” su nevažne
- ne znamo što se događa na mreži naših
partnera kao ni na mjestima presjeka
- proboji se događaju unatoč zaštiti
- ovisno o motivaciji neka određena
prijetnja može biti smetnja, koštanje ili
prijeteća misija
ČINJENICE:
Globalni Internet
NEIZMJERNO JE VAŽNO U STVARNOM VREMENU
RAZVITI ODGOVOR I ELASTIČNOST
7. CYBERCRIME
ZLOČIN - radnja ili propust koji predstavlja
kazneno djelo koje može biti procesuirano
od strane države i kažnjivo zakonom.
Najveći zločini ne proizlaze iz nedostatka osjećaja za
druge već iz prevelike osjetljivosti za sebe i prekomjerno
uživanje u vlastitim željama.
Edmund Burke (1729-1797, engleski državnik i filozof)
CYBERCRIME - Zločin počinjen pomoću računala i
Interneta krađom nečijih osobnih podataka,
nelegalnim uvozom ili zlonamjernim programima,
odnosno gdje se računalo koristi kao objekt ili predmet
kriminala
8. CYBERCRIME – PODJELA (INTERPOL)
Napadi na računalni hardware i software
(botnet, malware, upad u mrežu)
Financijski zločini: online prevare, upad
u online financijske servise, phishing
Zlostavljanje , pogotovo mladih , u obliku
seksualnog iskorištavanja
9. CYBER PRIJETNJE
Tip Motivacija Cilj Metoda
Information
Warfare
Vojna ili politička
dominacija
Kritična
infrastruktura,
politička i vojna
imovina
Napad, korupcija,
iskorištavanje, uskraćivanje,
kombinacija s fizičkim
napadom
Cyber
špijunaža
Dobitak intelektualnog
vlasništva ili tajni
Vlade, tvrtke, pojedinci Napredne konstantne prijetnje
Cybercrime Ekonomski dobitak Pojedinci, tvrtke, vlade Prevara, krađa ID-a, iznuda,
napad, iskorištavanje
Cracking Ego, osobno
neprijateljstvo
Pojedinci, tvrtke, vlade Napad, iskorištavanje
Hactivism Politička promjena Vlade, tvrtke Napad, defacing
Cyber teror Politička promjena Nedužne žrtve,
regrutiranje
Marketing, command and
control, kompjutorsko nasilje
11. CYBERCRIME TROŠKOVI GUBITKA PODATAKA
PROSJEČNI TROŠAK PO
STANOVNIKU PODATAKA U
SLUČAJEVIM POVREDE
PODATAKA ZA RAZDOBLJE
VIŠE OD DVIJE GODINE
[MJERENO U US $]
12. CYBERCRIME TROŠKOVI GUBITKA PODATAKA
PROSJEČNI UKUPNI
ORGANIZACIJSKI TROŠKOVI
GUBITKA PODATAKA MJERENI
KROZ RAZDOBLJE VIŠE OD DVIJE
GODINE U USD [U 000.000 $]
18. CYBERCRIME - POS (POINT-OF-SALE) UPADA
UDALJENI NAPADI U SREDINAMA U KOJIMA SE PROVODE RETAIL TRANSAKCIJE,
POSEBNO GDJE SE KUPUJE PUTEM KREDITNIH KARTICA. ZLOČINI KOJE UKLJUČUJU
MANIPULIRANJE ILI ZAMJENU UREĐAJA TE SU POKRIVENI U SKIMMING UZORKU
19. CYBERCRIME - DOS (DENIAL-OF-SERVICE)
SVAKI NAPAD KOJI IMA ZA CILJ KOMPROMITIRATI DOSTUPNOST MREŽE I SUSTAVA.
UKLJUČUJE I MREŽE I PRIMJENA LAYER NAPADA.
DoS napad propusnost i broj paketa 2011-2013
24. TROŠAK SIGURNOSTI KAO % IT TROŠKA
0%
20%
40%
60%
80%
100%
2002 2004 2006 2008 2010
Ništa 1% ili manje 2 do 10% 11 do 25% Veće od 25%
25. OZBILJNOST NAJGORIH SIGURNOSNIH INCIDENATA
0%
20%
40%
60%
80%
100%
2002 2004 2006 2008 2010
Uopće nisu ozbiljni Nisu ozbiljni Ozbiljni Jako ozbiljni Izrazito ozbiljni
26. CYBERSECURITY
ŠIROKI POJAM KOJI OBUHVAĆA SVE ASPEKTE OSIGURANJA ZAŠTITE GRAĐANA ,
PODUZEĆA I KRITIČNE INFRASTRUKTURE OD PRIJETNJI KOJE PROIZLAZE IZ NJIHOVE
UPORABE RAČUNALA I INTERNETA
Opseg cybersecurity-ja:
oTehnike analize i ublažavanja prijetnji i napada
oTehnologije zaštita i oporavka, procesi i procedure za pojedince,
poslovne korisnike i vlade
oPolitike, zakoni i propisi relevantni za korištenje računala i Interneta
27. CYBERSECURITY
PROBLEM SUSTAVA
Povezano je sa, ali je šireg opsega nego:
o Računalna sigurnost
o Sigurnosni inženjering
o šifriranje
o računalni kriminal
o Računalna forenzika
CYBERSECURITY JE SOCIO–TEHNOLOŠKI SUSTAV PROBLEMA
Problemi gotovo uvijek proizlaze iz mješavine tehničkih, kadrovskih i
organizacijskih razloga
28. CYBERSECURITY - IZAZOVI
1) PRAKTIČNOST / FUNKCIONALNOST / ISKORISTIVOST VS SIGURNOST -> KORISNICI
ŽELE KORISNU I / ILI ZABAVNA TEHNOLOGIJU
2) INTERNET JE POSTAO PRIMARNA RAČUNALNA PLATFORMA
SAMOSTALNE APLIKACIJE -> WEB - BASED -> CLOUD COMPUTING
3) ASTRONOMSKI PORAST KOLIČINE PODATAKA [FACEBOOK PROCESIRA VIŠE OD 500
TB PODATAKA DNEVNO]
4) BOGATSTVO TIPOVA PODATAKA [HTML, XHTML, XML, MP3, MP4, MPEG4,
AVI, WMV, JPEG, GIF, BMP, JAVASCRIPTS, JAVA APPLETS]
5) BIG DATA & BI EXTRACTING MEANING FROM DATA AND CREATING DATA PRODUCTS
6) BYOD [BRING YOUR OWN DEVICE]
7) NEUČINKOVITO DIJELJENJE PRIJETNJI I INFORMACIJE ZA UBLAŽAVANJE
8) NEDOVOLJAN BROJ KVALITETNIH DJELATNIKA
29. CYBERSECURITY - PRIJETNJE
KOJA JE PO VAŠEM MIŠLJENJU NAJVEĆA PRIJETNJA CYBER SECURITY-JU ZA VAŠU ORGANIZACIJU U
NAREDNOM PERIODU?
Preko 22% ispitanika
smatra da u ovom
trenutku nemaju
odgovarajuće alate za
cyber security
CIOnet survey on Cyber Security
30. CYBERSECURITY - PRIJETNJE
CIOnet survey on Cyber Security
IMA LI VAŠA ORGANIZACIJA SPECIFIČNU POLITIKU ZA SIGURNOSNO OSOBLJE?
Postoji opasnost od kritične izloženosti
informacija i odljevu znanja kad se ljudi
rotiraju u organizacijama
Sve veća složenost tehnologije i cyber
prijetnji s kojima se organizacija suočava
zahtijeva potrebu adekvatnog
sigurnosnog osoblja specifičnih znanja i
vještina
31. CYBERSECURITY - PRIJETNJE
CIOnet survey on Cyber Security
IMA LI VAŠA ORGANIZACIJA PROGRAME KOJI ĆE POBOLJŠATI SVIJEST O CYBER SECURITY-JU U
SLJEDEĆIM PODRUČJIMA?
32. CYBERSECURITY - PRIJETNJE
CIOnet survey on Cyber Security
IMA LI VAŠA ORGANIZACIJA PLAN
KONTINUITETA POSLOVANJA
SPREMNOG DA PODRŽAVA CYBER
SECURITY RIZIKE?
IMA LI VAŠA ORGANIZACIJA DOKUMENTIRANI, UP TO
DATE, PROAKTIVNI KRIZNI KOMUNIKACIJSKI PLAN U
SLUČAJU DA JE VAŠE POSLOVANJE UGROŽENO OD
STRANE CYBER SECURITY PRIJETNJI?
33. CYBERSECURITY - PRIJETNJE
CIOnet survey on Cyber Security
IMA LI VAŠA ORGANIZACIJA POLICU
OSIGURANJA OD CYBER SECURITY RIZIKA
KOJA ĆE ZAŠTITI VAS I VAŠE KORISNIKE?
UKOLIKO POSJEDUJETE POLICU OSIGURANJA OD
CYBER SECURITY RIZIKA MOŽETE LI NAZNAČITI
ŠTO SVE ONA POKRIVA?
34. MITOVI VEZANI UZ CYBER SECURITY
MIT I: GUBITAK PODATAKA ILI CYBER NAPAD SE NIKADA NE BI MOGAO DOGODITI
NAŠOJ TVRTKI JER SMO PREMALI
NETOČNO: podaci Ponemon instituta pokazuju da najveće
troškove po djelatniku imaju najmanje tvrtke
35. MITOVI VEZANI UZ CYBER SECURITY
MIT II: BRINUTI ĆEMO O TOME KAKO PLATITI GUBITAK PODATAKA UKOLIKO
SE ON DOGODI
NETOČNO:
Uz prosječnu cijenu od 194 dolara po rekordu i prosječnom
trošku organizacije od 5,5 milijuna dolara po gubitku podataka,
prema podacima iz studije Ponemon instituta iz 2011, prosječna
manja tvrtka najvjerojatnije neće imati adekvatne financijske
resurse za pokrivanje gubitaka.
36. MITOVI VEZANI UZ CYBER SECURITY
MIT III: MALA I SREDNJA PODUZEĆA NISU META CYBER NAPADA.
KRIMINALCI IDU NA VELIKE TVRTKE.
NETOČNO:
Gotovo 72 posto ispitanih slučajeva
gubitka podataka koju su forenzički
analizirali u Verizon Communications
u 2011 dogodila se u tvrtkama s
manje od 100 zaposlenih.
37. MITOVI VEZANI UZ CYBER SECURITY
MIT IV: POKRIVENI SMO NAŠOM POSTOJEĆOM GENERALNOM POLICOM
OSIGURANJA OD ODGOVORNOSTI
38. MITOVI VEZANI UZ CYBER SECURITY
SONY
Prvostupanjski sud u New Yorku presudio je slučaju police opće
odgovornosti ( CGL ) pokrivenost da Zurich American Insurance Co
nema dužnost braniti Sony Corp of America i Sony Computer
Entertainment America u parnicama koje proizlaze iz travnja 2011.
odnosno hakiranja Sony Corp. PlayStation online usluge.
Odluka prvostupanjskog suda je prva odluka takve vrste kojom se
bavio sud New Yorka o pitanju može li polica opće odgovornosti [CGL]
biti odgovorna za pokriće potraživanja koja uključuju cyber rizike.
GUBITAK PODATAKA DOVEO JE DO IZLOŽENOSTI OSOBNIH PODATAKA PREKO 100
MILIJUNA KORISNIKA, A GUBICI TVRTKE SONY SE NAVODNO PROCJENJUJU NA VIŠE
OD 2 MILIJARDE DOLARA .
39. MITOVI VEZANI UZ CYBER SECURITY
Tužba se temeljila na činjenici da Sony nije uspio pravilno zaštititi
osobne podatke svojih korisnika od cyber napada. Pojedinačnih 65
tužbi je skupljenu u jednu jedinstvenu tužbu.
U ovom slučaju radilo se o hakerskom upadu na Sony-eve web stranice
na kojima oni drže svoje podatke. Gubitak podataka rezultirao je
njihovim objavljivanjem.
Pitanje je da li je objavljivanje rezultat djelovanja Sony-ja ili hakera.
Sudac je smatrao da ne postoji način na koji bi se vidjelo da je Sony
objavio te informacije iako je Sony uzaludno pokušao održavati
sigurnost podataka no usprkos tome oni su objavljeni. Treća strana
odnosno hakeri su preuzeli informacije. Probili su sve sigurnosne
razine što je dovelo do njihovog objavljivanja od strane hakera.
Opća polica odgovornosti zahtijeva aktivaciju ukoliko je osiguranik
počinio djelo. To ne može biti prošireno na treće strane.
40. CYBER RIZICI
SVAKA ORGANIZACIJA KOJA : (1) KORISTI TEHNOLOGIJU U SVOM POSLOVANJU I / ILI (2)
OBRAĐUJE / SKUPLJA / POHRANJUJE POVJERLJIVE INFORMACIJE IZLOŽENA JE CYBER RIZIKU
o Pravna odgovornost prema drugima zbog kršenja računalne sigurnosti
o Pravna odgovornost prema drugima za kršenja privatnosti povjerljivih
informacija
o Zakonskih propisa, kazne i ispitivanje
o Gubitak ili oštećenje podataka / informacija
o Gubitak prihoda zbog računalnog napada
o Dodatni rashodi za oporavak / odgovor na računalni napad
o Gubitak ili narušavanje reputacije
o Cyber - iznude
o Cyber - terorizam
41. CYBER RIZICI - OBILJEŽJA
Obilježje Opis Primjer
Interni IT Rizik povezan s informatičkom tehnologijom
(uglavnom internom)
Hardware, software, serveri, kao i s tim povezani ljudi i
pripadajući poslovni procesi
Kupci i partneri Rizik od ovisnosti ili izravnoj povezanosti (obično
pravno obvezujući ) s vanjskim organizacijama
Sveučilišno istraživačko partnerstvo ; Odnos između
konkurentskih / partnerskih banaka; korporativnih zajednička
ulaganja ; poslovne udruge
Outsourcing i
ugovori
Rizik od ugovornog odnosa s vanjskim pružateljima
usluga, ljudski potencijali, pravna ili IT, odnosno
cloud usluga
Pružatelji IT ili cloud usluga; usluga ljudskih potencijala, pravnih
usluga, računovodstvenih i savjetodavnih; ugovor o proizvodnji
Tehnološka
nesigurnost
Rizici od nevidljivih učinaka ili prekida bilo u/ili iz
novih tehnologija, bilo onih iz već postojeće, ali
slabo razumljive tehnologije, ili zbog tehnologije
Internet stvari ; Smart Grid ; ugradnja medicinskih uređaja;
automobil bez vozača; uglavnom automatizirana digitalna
ekonomija
Infrastrukturna
podloga
Rizici od zastoja infrastrukture zbog gospodarskih i
društvenih posljedica, posebice električne energije,
financijskih sustava i telekomunikacija
Internet infrastrukture kao što su ključne točke sjecišta
Interneta, podmorski kablovi; neke ključne tvrtke i protokoli koji
se koriste za pokretanje Interneta (BGP i DNS); upravljanje
Internetom
Vanjski izazovi Rizici od incidenata izvan sustava, izvan kontrole
većine organizacija i s vjerojatnošću kaskadnog
učinka
Veliki međunarodni sukobi; pandemija malwarea
Opskrbni lanac Uključuje rizik za opskrbu IT sektora kao i cyber
rizik tradicionalnim opskrbnim lancima i
logistikom
Izloženost jedne zemlje; krivotvoreni ili mijenjani proizvodi;
rizici poremećaja opskrbnog lanca
42. ODNOS OPASNOSTI I KONTROLE
Svake godine, tehnologija i poslovni
procesi guranju nas gore i desno
Opskrbni
lanac
Kupci i
partneri
Interni IT
Vanjski
izazovi
Tehnološka
nesigurnost
Outsourcing
i ugovori
Infrastrukturna
podloga
Ublažavanje risk managementom, raznim ugovorima: SLA, memoranduma razumijevanja itd.
Ublažavanje vladinih akcija standarda, propisa
NajvećaopasnostNajmanjaopasnost
Najveća kontrola Najmanja kontrola
43. ODGOVOR NA CYBER RIZIKE
Risk governance – upravljanje
rizikom
Risk mitigation – ublažavanje rizika
Risk transfer – transfer rizika
Managing complexity – upravljanje
kompleksnošću
44. UPRAVLJANJE RIZIKOM
PREPORUKA: RISK MANAGER TREBA USPOSTAVITI RADNU SKUPINU ZA PRAĆENJE I
OCJENU IZLOŽENOSTI POSLOVANJA DIGITALNIM PRIJETNJAMA I OSIGURATI REDOVITO
INFORMIRANJE SVOG ODBORA.
KONKRETNIJE:
o radna skupina treba odlučiti i pregledati kada Odbor treba biti aktivno
uključen ili jednostavno informiran o digitalnim rizicima u poslovanju.
o radna skupina treba uključiti tehnološke stručnjake i stratege, ključne
poslovne dionike i zakonske zastupnike
o malo je vjerojatno kako će jedinstvena formula vrijediti za redovitu
analizu, ali struktura ovog izvješća može pružiti prikladno polazište
o radna skupina treba preispitati opravdanost ublažavanja rizika i
prijenosnih strategija koje se trenutno koriste u poslu
45. UBLAŽAVANJE RIZIKA
PREPORUKA: RISK MANAGERI TREBAJU SE VIŠE UKLJUČITI U
UPRAVLJANJE I STRATEGIJU IT-A I GLAVNE TEHNOLOŠKE
TRANSFORMACIJE.
KONKRETNIJE BI TREBALI:
o osigurati svijest i razumijevanje ovisnosti o tehnologiji u svim
razinama poslovanja
o znati različite uloge unutar poslovanja koje su uključene u
upravljanje digitalnim rizikom, te osigurati odgovarajućim
stručnjacima i dionicima vlasništvo ili ulaz u digitalni odluke
rizika
o budite svjesni kada se ključne promjene dogode i zbog korištenje
ove mogućnosti za aktivnu procjenu digitalnog rizika
46. UBLAŽAVANJE RIZIKA
PREPORUKA: RISK MANAGERI TREBAJU OSIGURATI KORIŠTENJE
NAJBOLJIH PRAKSE I VAŽEĆIH STANDARDA I OKVIRA KOJI SE KORISTE
KAKO BI SE UPRAVLJALO DIGITALNIM RIZICIMA.
OVO ZNAČI:
o za uobičajene probleme razmisliti o korištenju standarda a
za neuobičajene probleme tragati za bilo kakvim najboljim
praksama i smjernicama
o izbor tima za procjenu rizika uključuje kombinaciju
poslovnih i tehnoloških sudionika
47. PRIKAZ GLAVNIH KATEGORIJA SIGURNOSNIH PROIZVODA
ZAŠTITA PODATAKA I UPRAVLJANJE
PRIVATNOŠĆU
SIGURNOST INFRASTRUKTURE VOĐENJE, RIZIK I UPRAVLJANJE
USKLAĐENOSTI
UPRAVLJANJE
IDENTITETOM I
PRISTUPOM
APLIKATIVNA SIGURNOST SIGURNOST KRAJNJIH TOČKI UPRAVLJANJE RIZIKOM I USKLAĐENOST UPRAVLJANJE
IDENTITETOM
- penetracijsko testiranje
aplikacija
- testiranje/skeniranje aplikacija i
koda
- vatrozidi web aplikacija
- sigurnost servisno orijentirane
arhitekture (SOA)
- osobni vatrozidi
- antivirus, antspyware,
antiadware,
- detekcija upada na računala /
preventivni servisi
- sigurnost mobilnih uređaja
- procjena usklađenosti
- upravljanje prijetnjama i
ranjivošću
- eDiscovery i arhiviranje
- katalog usluga
- korisničko
provizioniranje
SIGURNOST SADRŽAJA MREŽNA SIGURNOST SIGURNOST OPERACIJA KONTROLA
PRISTUPA
- email sigurnost
- filtriranje web sadržaja
- ostali kanali (IM, P2P)
- kontrola mrežnog pristupa
- detekcija upada na mrežu /
preventivni servisi
- vatrozidi
- virtualne privatne mreže
- unificirano upravljanje prijetnjama
- bežična sigurnost
- sigurnosni incident /
upravljanje događajima
- forenzika
- upravljanje logovima događaja
- upravljanje sigurnosnim
konfiguracijama
- centri sigurnosnih operacija
- kontrola pristupa
temeljena na
ulogama
SIGURNOST PODATAKA SIGURNOST DATA CENTRA KONTINUIRANOST POSLOVANJA
- ERM
- enkripcija diskova / datoteka
- PKI
- DLP
- storage sigurnost
- sigurnost baze podataka
- sigurnost u cloudu
- sigurnost virtualizacije
- servisi oporavka poslovanja
- fizička sigurnost
48. TRANSFER RIZIKA
PREPORUKA: RISK MANAGERI TREBAJU UZETI U OBZIR RJEŠENJA
TRANSFERA RIZIKA KAO DIO NJIHOVE SVEUKUPNE STRATEGIJA
UPRAVLJANJA DIGITALNIM RIZICIMA
OVO ZNAČI:
o priznavanje činjenice da većina tradicionalnih polica
osiguranja ne pokriva digitalne rizike
o svijest raspona cyber - proizvoda osiguranja koji su
trenutno dostupni te praćenje razvoja novih proizvoda
o izvještavanje o sigurnosnim incidentima i osiguravanje
dostupnosti industrijskih podataka
49. UPRAVLJANJE KOMPLEKSNOŠĆU
PREPORUKA: RISK MANAGERI MORAJU IGRATI ZNAČAJNU ULOGU U
OBLIKOVANJU ISTRAŽIVANJA OKO DIGITALNIH RIZIKA, POMAŽUĆI
ZNANSTVENICIMA DA RAZUMIJU IZAZOVE U IZRADI UČINKOVITE I
PRAKTIČNE ODLUKE OKO CYBER PRIJETNJI
DETALJNIJE:
o promicanje svijesti o složenoj međusobnoj ovisnosti
između poslovnih rizika, ljudskog faktora, pravnih pitanja i
tehnoloških trendova
o poticanje istraživanja o digitalnim rizicima
50. osobne identifikacijske informacije
zaštićene zdravstvene informacije
brojevi kreditnih kartica i/ili financijske informacije
intelektualno vlasništvo (patenti, autorska prava. zaštitni znakovi)
trgovački planovi – poslovni planovi, liste korisnika itd.
podatke o poslovnim partnerima
PODATKE KOJE JE POTREBNO ZAŠTITITI
KOJI SU TO OSJETLJIVI PODACI?
51. KRATKOROČNI RIZICI KOJE TREBA ZAŠTITITI
o gubitak podataka i upravljanje zapisima
o gubitak kupaca
o financijski gubitak [u slučaju krađe]
o neposredan gubitak dobiti
o obavijest onima koji su pogođeni gubitkom podataka
o zaštita od krađe identiteta
o ponovno izdavanje kompromitiranih kartica
o odvjetničke naknade
o kratkoročni investicije
52. DUGOROČNI RIZICI KOJE TREBA ZAŠTITITI
o šteta nanesena reputaciji branda
o gubitak radnih mjesta
o odvjetničke naknade za vrijeme istrage i suđenja
o ažuriranje sustava
o istraživanje i popravljanje ranjivosti
o nadzor nad kreditima
53. CYBER OSIGURANJE
CYBER OSIGURANJE JE OSMIŠLJENO KAKO BI UBLAŽILO GUBITKE OD RAZNIH CYBER
INCIDENATA, UKLJUČUJUĆI POVREDU PODATAKA, PREKID POSLOVANJA I ŠTETE NA MREŽI.
Robusno tržište cyber osiguranja može pomoći smanjiti broj uspješnih
cyber napada:
1) promovirajući usvajanje preventivnih mjera u zamjenu za veću
pokrivenost; i
2) poticanjem provedbe najboljih praksi bazirajući premiju na
razini samozaštite osiguranika.
Mnoge tvrtke se odriču raspoloživih polica, navodeći kao razloge
percepciju visoke cijene takvih politica, neznanje o tome što one
pokrivaju kao i neizvjesnost da će njihove organizacije pretrpjeti cyber
napad.
54. KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA
ODGOVORA NA INCIDENT
IZRADITI PISANI PLAN ODGOVORA NA INCIDENT
Cyber insurance tvrtkama nudi:
o pomoć kod upravljanja "posljedicama" gubitka podataka /
sigurnosnog incidenta
o tim za odgovor na incident
o Voditelja gubitka podataka
o pomoć u otkrivanju i izvještavanja te obavještavanju onih koji su
zahvaćeni gubitkom vaših podataka / sigurnosnim incidentom
55. KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA
ODGOVORA NA INCIDENT
PRAVILO I: UPRAVLJANJE RIZIKOM NEĆE AUTOMATSKI ELIMINIRATI RIZIK ALI ĆE
POMOĆI SMANJENJU RIZIKA NA MINIMALNU PRIHVATLJIVU VRIJEDNOST
PRAVILO II: U SVOJOJ OSNOVI OSIGURANJE JE PRIJENOS RIZIKA
Cyber rysk polica osiguranja koja uključuje pokrivenost odgovora na
incident [odnosno, servis odgovora na gubitak podataka] nudi odličnu
startnu točku rješenja sveobuhvatnog upravljanja rizicima u trenucima
tijekom incidenta kada se sve odvija jako brzo.
56. POKRIĆA CYBER RISK POLICA
• Zaštita od odgovornosti
• Virus / hacking odgovornost (cyber odgovornost)
• Povreda IP (odgovornost medija)
• Odgovornost / pogreške i propusti
• Obavijest o proboju zaštite
• Sistemska šteta
• Prekid poslovanja
• Cyber crime
• Zaštita branda / krizni management
Odgovornost
treće strane
Gubitak prve
strane
57. OSNOVNA POKRIĆA CYBER RISK POLICA
ZAŠTITA OD ODGOVORNOSTI
• Šteta pretrpjela zbog drugih prikupljanjem ili otkrivanjem povjerljivih informacija
ODGOVORNOST MEDIJA
• Šteta pretrpjela zbog drugih radi nedovoljne sigurnosti svoje mreže i medija.
CYBER-IZNUDA
• troškovi istrage i potražnje zbog iznude [ograničeno pokriće za otkupninu i konzultantske
troškove zbog krize]
POKRIVENOST ZAŠTITE OD ODGOVORNOSTI NE ZAHTIJEVA NEMAR OD STRANE
OSIGURANIKA I PRUŽA POKRIVENOST ZA NAMJERNE RADNJE ZAPOSLENIH OSIGURANIKA
58. OSNOVNA POKRIĆA CYBER RISK POLICA
REGULATORNA OBRANA
• Pravni savjetnik za regulatorne akcije uključujući pokrivenost novčane
kazne i kazne gdje je dopuštena.
TROŠKOVI DOGAĐAJA / PROBOJA
• Troškovi u skladu s raznim zakonima povreda obavijesti i propisima,
uključujući pravnu štetu, call centara, nadzor kreditnih kartica i forenzičke
istrage.
VLASNIŠTVO NAD PODACIMA
• Vrijednost podataka ukradenih , uništenih ili oštećena na napadnutom
računalu
PREKID POSLOVANJA
• Poslovni prihodi koji je prekinut računalnim napadom ili neuspjeh
tehnologije, uključujući i dodatni trošak.
59. GUBICI PRVE STRANE
Troškovi prekida poslovanja
Troškovi upravljačke krize i odnose s javnošću
Obavijesti o proboju privatnosti i troškovi praćenja kreditnih
transakcija
Troškovi povezani s krađom ili vandalizmom mrežne
infrastrukture ili sustava
Nadogradnje u mrežnoj sigurnosti
60. GUBICI TREĆE STRANE
Objavljivanje informacija o incidentu: neovlašteni pristup ili
prenošenje privatnih informacija trećoj strani
Sadržaj informacija o incidentnu: autorska prava, zaštitni znak,
poslovne tajne ili druga potraživanja intelektualnog vlasništva
Ugled incidenta: tužba , ogovaranje , kleveta , invazija
potraživanja privatnosti
Sustav incidenta: sigurnosni propusti ili virusi koji se prenose i
kompromitiraju računalne sustave trećih osoba
Pristup za osobe s oštećenim sustavima: kupci ne mogu pristupiti
svojim računima ili informacijama
61. GUBICI PRVE STRANE U ZAHTJEVU TREĆE STRANE
Često će zahtjev za odgovornosti treće strane uključivati izravne
gubitke od osiguranika
Treća strana police cyber odgovornosti može osigurati pokrivenost
za određene izravne gubitke povezane sa zahtjevom ( ili
potencijalnog zahtjeva ) od strane treće osobe
To može uključivati:
• Povredi sigurnosnih obavijesti
• Troškovi kreditnog praćenja
• Krizni menadžment i savjetovanje
62. ŠEST ODVOJENIH KLAUZULA OSIGURANJA
1. Nezakonito tehnološki sigurnosno djelo
2. Nezakonito djelo privatnosti
3. Kršenje privatnosti informacija
4. Nezakonito djelo prema web informacijskom mediju
5. Gubici iznude od tehnoloških prijetnji
6. Gubici restauracije podataka nakon kršenja
63. CYBER OSIGURANJE – PRIJEDLOG MODELA
MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA
OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA
CILJANIH KLIJENATA.
Početne pretpostavke modela:
o namjerne i nenamjerne štete koje nastaju na području informacijske
sigurnosti kontinuirano rastu, te većina stručnjaka smatra da će se
takav trend i nastaviti pa čak i pojačati čemu u prilog govore i
predstavljeni podaci i gubici nastali iz takvih događaja;
o područje informacijske sigurnosti različito je zakonski regulirano i
percipirano od strane upravljačkog kadra nad državnim institucijama,
bankarskom sektoru, sektoru operatera telekomunikacijama, te
ostalim organizacijama
64. CYBER OSIGURANJE – PRIJEDLOG MODELA
MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA
OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA
CILJANIH KLIJENATA.
Početne pretpostavke modela:
o informacijska sigurnost sastoji se od više dijelova kod kojih segmentacija na
manje ponekad postaje teška, odnosno, nije jednostavno utvrditi jasne
procese i okvire upravljanja
o IT je samo jedna komponenta nad kojom se otvara najviše mogućnosti razvoja
proizvoda osiguranja
o postoji prostor za razvoj više različitih modela koji se mogu prilagoditi
potrebama osiguravajućih kuća i trećih strana, a s ciljem umanjenja rizika za
financijskim gubicima, odnosno, s ciljem ostvarivanja povećanja dobiti
65. KOMPONENTE MODELA OSIGURANJA
NAJVEĆA RAZLIKA IZMEĐU STANDARDIZIRANIH MODELA OSIGURANJA I ONIH NA PODRUČJU
INFORMACIJSKE SIGURNOSTI JEST IDEJA SURADNJE TREĆIH STRANA KOJE SU SPECIJALIZIRANE
NA PODRUČJE SIGURNOSTI TE OSIGURAVAJUĆIH KUĆA.
Razlika se oglede u sljedećem:
1. Osiguravajuća kuća trećoj strani može prema unaprijed definiranim
pravilima povjeriti provjeru razine stanja sigurnosti potencijalnog klijenta
čime dobije profesionalno i sigurno mišljenje;
2. Osiguravajuća kuća klijentu može ponuditi model prema kojemu se
upravljanje incidentnom prepušta trećoj strani pri čemu klijent ne stvara
dodatne troškove [„pokriva osiguranje”] dok se rad treće strane može
unaprijed definirati ugovorima s osiguravajućom kućom. Koncept za
klijenta: osiguraj se ako zadovoljiš naša pravila, a a ukoliko se dogodi
incident treća strana će profesionalno riješiti incident kako bi nastala
najmanja moguća šteta.
66. KOMPONENTE MODELA OSIGURANJA
3. Ovisno o definiranim pravilima s trećom stranom, klijentima se nameće
smanjivanje rizika na način da preporuke daje treća strana čime se u
konačnici dovodi i do smanjivanja rizika za osiguravajuće društvo.
4. Treća strane može u suradnji s osiguravajućim društvom ponuditi nekoliko
različitih modela suradnje:
1. Kontinuirani nadzor IT infrastrukture
2. Sustav ranog upozoravanja
3. Provjera ranjivosti i penetracijsko testiranje [interno i eksterno]
4. Revizija informacijske sigurnosti
5. Appgate access kontrola
6. Intelligence management
7. Analiza izvornog koda web aplikacija
8. Kontrola pristupa računalnim periferijama
69. CYBER ESSENTIALS
FOKUSIRAN NA 5 PITANJA
o Firewalli i Internet Gateway uređaji
o Sigurnosne konfiguracije
o Pristupne kontrole
o Zaštita od malware-a
o Upravljanje nadogradnjama
70. ZADOVOLJAVANJE UVJETA ZA OSIGURANJA
DEFINIRANJE POČETNIH UVJETA OSIGURANJA JE PRIMARNO ŠTO SLUŽI I MODELU IZRAČUNA
PREMIJE. NAIME, PITANJE KOJE SE POSTAVLJA NA PODRUČJU INFORMACIJSKE SIGURNOSTI JEST
ŠTO SE ZAPRAVO OSIGURAVA.
Prijedlozi:
o Razdvojiti modele na tri osnovna područja: informacijska sigurnost
u širem smislu, informacijska sigurnost na segmentu IT-a, te
zasebno definirana područja prema potrebama klijenta [npr.
Internet bankarstvo, baze podataka i sl.]
o definirati područje pokrivanja osiguranjem za dva osnovna
segmenta:
• aktiviranje korištenja treće strane u slučaju incidenta
• pokrivanje direktno nastalih šteta
71. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE
• pokrivanje direktno nastalih šteta:
pokrivanje pravnih posljedica [npr. Zakon o zaštiti osobnih
podataka]
pokrivanje štete za otkrivanje / krađu podataka ili
uništavanje imovine za koju se unaprijed može definirati
vrijednost.
o definirati prihvaćanje uvjeta i/ili standarda kojima se jamči
smanjivanje rizika nastajanja šteta [npr. ISO 27001, PCI DSS i sl.,
ovisno o područjima]
o identificirati koji se postojeći modeli osiguranja i u kojoj mogu
iskoristiti unutar područja informacijske sigurnosti [npr. osiguranje
od odgovornosti]
72. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE
PODRUČJE 1: INFORMACIJSKA SIGURNOST
o definirane i primjenjive organizacijske pretpostavke
[Sigurnosne politike i procedure]
o definirane i primjenjive procedure unutar informacijskog
sustava za standardna područja upravljanja sigurnošću
o izvršena provjera s preporukama
73. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE
PODRUČJE 2: SIGURNOST IT SUSTAVA
o definirane i primjenjive organizacijske i tehničke
pretpostavke [Sigurnosne politike i procedure]
o definirane i primjenjive procedure unutar IT-a za
standardna područja upravljanja sigurnošću
o izvršene tehničke provjere s preporukama
74. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE
PODRUČJE 3: ZASEBNI DIJELOVI SUSTAVA
o definirane i primjenjive mjere koje se odnose na zasebni
sustav [npr. Interne bankarstvo]
o izvršene tehničke provjere prema definiranim mjerama
75. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA
o Osiguravatelji se boje "cyber-uragana" - velike katastrofe
koja bi rezultiralo velikim brojem odštetnih zahtjeva.
o Cyber-uragani predstavljaju neizvjesnu opasnost od vrlo
velikih gubitaka, i kao takvi su osigurateljima vrlo teški za
planiranje.
o Budući su računalni sustavi ovisni i standardizirani, imaju
tendenciju da su posebno osjetljivi na povezane gubitke.
o Taj strah povećava premije osiguranja, jer se osiguratelji
koncentriraju na procjenu očekivanog gubitka najgoreg
mogućeg slučaja, a kako bi održali profitabilnost.
CYBER URAGAN
76. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA
o Osim toga, "cyber-uragani" podižu barijere za ulazak na
tržište osiguranja, jer osiguratelj doslovno može biti izbrisan
ako se veliki događaj dogodi prije nego što su
izgradili dovoljno novčanih rezervi.
o Cijena privatnog tržišta reosiguranja za cyber
osiguravatelje je izuzetno visoka jer se strah od "cyber-
uragan" osjeća najviše u zajednice reosiguratelja.
CYBER URAGAN
77. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA
o Cyber osiguranje je relativno novo područje te su
osiguravatelji suočeni s nedostatkom aktuarskih podataka
kojima bi mogli izračunati premije.
o Osim dodatnog povećanja cijena, nedostatak podataka
dovodi do problema s analizom rizika
poduzete od strane tvrtke prilikom odlučivanja hoće li
osiguranje protiv rizika vrijedno.
o Nedostatak podataka također dovodi do toga da je cyber
osiguranje nepoželjno tvrtkama, dok se istovremeno
povećava cijena cyber-osiguranja.
NEDOSTATAK AKTUARSKIH PODATAKA
78. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA
o Cyber osiguranje je relativno novo područje te su
osiguravatelji suočeni s nedostatkom aktuarskih podataka
kojima bi mogli izračunati premije.
o Osim dodatnog povećanja cijena, nedostatak podataka
dovodi do problema s analizom rizika
poduzete od strane tvrtke prilikom odlučivanja hoće li
osiguranje protiv rizika vrijedno.
o Nedostatak podataka također dovodi do toga da je cyber
osiguranje nepoželjno tvrtkama, dok se istovremeno
povećava cijena cyber-osiguranja.
NEDOSTATAK AKTUARSKIH PODATAKA
79. ZAKLJUČAK
Ekonomska kriza povećava cyber rizike
Odlijevanje kvalitetnog kadra na „drugu stranu”
Područje cyber security-ja je kompleksno i zahtijeva značajnu i
kontinuiranu investiciju u opremu, ljude i znanje
Specijalizirane tvrtke su dodatan nužan izvor sigurnosti uz vlastitu
samozaštitu
Cyber osiguranje je dodatna zaštita u slučaju cyber napada
Cyber osiguranje uz specijaliziranu cyber security tvrtku nudi optimalnu zaštitu
kroz različite modele suradnje