SlideShare a Scribd company logo

D.bara ict kladovo_prezentacija

Dejan Jeremic
Dejan Jeremic

Danijel Bara, ICT Security 2015 Kladovo

Economy & Finance
1 of 79
DANIJEL BARA ČLAN UPRAVE, JADRANSKO OSIGURANJE D.D. Šta u očuvanju komjuterske sigurnosti mogu ponuditi osiguravajuća društva - kako kreirati policu koja pokriva IT rizik
SADRŽAJ Pojašnjenje pojmova Internet - povijesni pregled Cyber crime – evolucija Cyber crime – kategorije i tipovi Cyber crime – analiza
TIMELINE INTERNETA
POSLOVANJE I INTERNET Spektar rizika 1. Poruke 2. Spremanje informacija 3. Transakcijski sustavi 4. Integracija tehnologije 5. Potpuno integrirano poslovanje bazirano na digitalnim informacijama Stupanjdigitalizacijepodataka
INFRASTRUKTURA
LAŽNA SIGURNOST INTERNET JE U OSNOVI OTVORENA PLATFORMA - ne znamo što se događa u našoj vlastitoj mreži - uobičajene prakse ne nalaze sve - prijetnje dolaze iznutra - prijetnja je brža od odgovora - „granice” su nevažne - ne znamo što se događa na mreži naših partnera kao ni na mjestima presjeka - proboji se događaju unatoč zaštiti - ovisno o motivaciji neka određena prijetnja može biti smetnja, koštanje ili prijeteća misija ČINJENICE: Globalni Internet NEIZMJERNO JE VAŽNO U STVARNOM VREMENU RAZVITI ODGOVOR I ELASTIČNOST
CYBERCRIME ZLOČIN - radnja ili propust koji predstavlja kazneno djelo koje može biti procesuirano od strane države i kažnjivo zakonom. Najveći zločini ne proizlaze iz nedostatka osjećaja za druge već iz prevelike osjetljivosti za sebe i prekomjerno uživanje u vlastitim željama. Edmund Burke (1729-1797, engleski državnik i filozof) CYBERCRIME - Zločin počinjen pomoću računala i Interneta krađom nečijih osobnih podataka, nelegalnim uvozom ili zlonamjernim programima, odnosno gdje se računalo koristi kao objekt ili predmet kriminala
CYBERCRIME – PODJELA (INTERPOL) Napadi na računalni hardware i software (botnet, malware, upad u mrežu) Financijski zločini: online prevare, upad u online financijske servise, phishing Zlostavljanje , pogotovo mladih , u obliku seksualnog iskorištavanja
CYBER PRIJETNJE Tip Motivacija Cilj Metoda Information Warfare Vojna ili politička dominacija Kritična infrastruktura, politička i vojna imovina Napad, korupcija, iskorištavanje, uskraćivanje, kombinacija s fizičkim napadom Cyber špijunaža Dobitak intelektualnog vlasništva ili tajni Vlade, tvrtke, pojedinci Napredne konstantne prijetnje Cybercrime Ekonomski dobitak Pojedinci, tvrtke, vlade Prevara, krađa ID-a, iznuda, napad, iskorištavanje Cracking Ego, osobno neprijateljstvo Pojedinci, tvrtke, vlade Napad, iskorištavanje Hactivism Politička promjena Vlade, tvrtke Napad, defacing Cyber teror Politička promjena Nedužne žrtve, regrutiranje Marketing, command and control, kompjutorsko nasilje
PORAST CYBER PRIJETNJI
CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠAK PO STANOVNIKU PODATAKA U SLUČAJEVIM POVREDE PODATAKA ZA RAZDOBLJE VIŠE OD DVIJE GODINE [MJERENO U US $]
CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI UKUPNI ORGANIZACIJSKI TROŠKOVI GUBITKA PODATAKA MJERENI KROZ RAZDOBLJE VIŠE OD DVIJE GODINE U USD [U 000.000 $]
CYBERCRIME TROŠKOVI GUBITKA PODATAKA TROŠKOVA PO STANOVNIKU PO INDUSTRIJISKOJ KLASIFIKACIJI [U US $]
CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠKOVI NAKON GUBITKA PODATAKA [U US $]
CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠKOVI GUBITKA POSLOVANJA [U US $]
CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROMJENE U SIGURNOSNIM PRIJETNJAMA TIJEKOM GODINA
CYBERCRIME TROŠKOVI GUBITKA PODATAKA UČESTALOST POJAVLJIVANJA UZORKA KLASIFICIRANIH INCIDENATA
CYBERCRIME - POS (POINT-OF-SALE) UPADA UDALJENI NAPADI U SREDINAMA U KOJIMA SE PROVODE RETAIL TRANSAKCIJE, POSEBNO GDJE SE KUPUJE PUTEM KREDITNIH KARTICA. ZLOČINI KOJE UKLJUČUJU MANIPULIRANJE ILI ZAMJENU UREĐAJA TE SU POKRIVENI U SKIMMING UZORKU
CYBERCRIME - DOS (DENIAL-OF-SERVICE) SVAKI NAPAD KOJI IMA ZA CILJ KOMPROMITIRATI DOSTUPNOST MREŽE I SUSTAVA. UKLJUČUJE I MREŽE I PRIMJENA LAYER NAPADA. DoS napad propusnost i broj paketa 2011-2013
USPOREDBA TROŠKA POJEDINIH AKTIVNOSTI I UPOTREBE TEHNOLOGIJA SIGURNOSNE INTELIGENCIJE
UŠTEDE POSTIGNUTE UPOTREBOM SEDAM AKTIVNOSTI SIGURNOSNOG VOĐENJA U TVRTKAMA
PROSJEČAN BROJ DANA SANIRANJA NAPADA
TROŠKOVNI OKVIR ZA CYBER CRIME
TROŠAK SIGURNOSTI KAO % IT TROŠKA 0% 20% 40% 60% 80% 100% 2002 2004 2006 2008 2010 Ništa 1% ili manje 2 do 10% 11 do 25% Veće od 25%
OZBILJNOST NAJGORIH SIGURNOSNIH INCIDENATA 0% 20% 40% 60% 80% 100% 2002 2004 2006 2008 2010 Uopće nisu ozbiljni Nisu ozbiljni Ozbiljni Jako ozbiljni Izrazito ozbiljni
CYBERSECURITY ŠIROKI POJAM KOJI OBUHVAĆA SVE ASPEKTE OSIGURANJA ZAŠTITE GRAĐANA , PODUZEĆA I KRITIČNE INFRASTRUKTURE OD PRIJETNJI KOJE PROIZLAZE IZ NJIHOVE UPORABE RAČUNALA I INTERNETA Opseg cybersecurity-ja: oTehnike analize i ublažavanja prijetnji i napada oTehnologije zaštita i oporavka, procesi i procedure za pojedince, poslovne korisnike i vlade oPolitike, zakoni i propisi relevantni za korištenje računala i Interneta
CYBERSECURITY PROBLEM SUSTAVA Povezano je sa, ali je šireg opsega nego: o Računalna sigurnost o Sigurnosni inženjering o šifriranje o računalni kriminal o Računalna forenzika CYBERSECURITY JE SOCIO–TEHNOLOŠKI SUSTAV PROBLEMA Problemi gotovo uvijek proizlaze iz mješavine tehničkih, kadrovskih i organizacijskih razloga
CYBERSECURITY - IZAZOVI 1) PRAKTIČNOST / FUNKCIONALNOST / ISKORISTIVOST VS SIGURNOST -> KORISNICI ŽELE KORISNU I / ILI ZABAVNA TEHNOLOGIJU 2) INTERNET JE POSTAO PRIMARNA RAČUNALNA PLATFORMA SAMOSTALNE APLIKACIJE -> WEB - BASED -> CLOUD COMPUTING 3) ASTRONOMSKI PORAST KOLIČINE PODATAKA [FACEBOOK PROCESIRA VIŠE OD 500 TB PODATAKA DNEVNO] 4) BOGATSTVO TIPOVA PODATAKA [HTML, XHTML, XML, MP3, MP4, MPEG4, AVI, WMV, JPEG, GIF, BMP, JAVASCRIPTS, JAVA APPLETS] 5) BIG DATA & BI EXTRACTING MEANING FROM DATA AND CREATING DATA PRODUCTS 6) BYOD [BRING YOUR OWN DEVICE] 7) NEUČINKOVITO DIJELJENJE PRIJETNJI I INFORMACIJE ZA UBLAŽAVANJE 8) NEDOVOLJAN BROJ KVALITETNIH DJELATNIKA
CYBERSECURITY - PRIJETNJE KOJA JE PO VAŠEM MIŠLJENJU NAJVEĆA PRIJETNJA CYBER SECURITY-JU ZA VAŠU ORGANIZACIJU U NAREDNOM PERIODU? Preko 22% ispitanika smatra da u ovom trenutku nemaju odgovarajuće alate za cyber security CIOnet survey on Cyber Security
CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA SPECIFIČNU POLITIKU ZA SIGURNOSNO OSOBLJE? Postoji opasnost od kritične izloženosti informacija i odljevu znanja kad se ljudi rotiraju u organizacijama Sve veća složenost tehnologije i cyber prijetnji s kojima se organizacija suočava zahtijeva potrebu adekvatnog sigurnosnog osoblja specifičnih znanja i vještina
CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA PROGRAME KOJI ĆE POBOLJŠATI SVIJEST O CYBER SECURITY-JU U SLJEDEĆIM PODRUČJIMA?
CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA PLAN KONTINUITETA POSLOVANJA SPREMNOG DA PODRŽAVA CYBER SECURITY RIZIKE? IMA LI VAŠA ORGANIZACIJA DOKUMENTIRANI, UP TO DATE, PROAKTIVNI KRIZNI KOMUNIKACIJSKI PLAN U SLUČAJU DA JE VAŠE POSLOVANJE UGROŽENO OD STRANE CYBER SECURITY PRIJETNJI?
CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA POLICU OSIGURANJA OD CYBER SECURITY RIZIKA KOJA ĆE ZAŠTITI VAS I VAŠE KORISNIKE? UKOLIKO POSJEDUJETE POLICU OSIGURANJA OD CYBER SECURITY RIZIKA MOŽETE LI NAZNAČITI ŠTO SVE ONA POKRIVA?
MITOVI VEZANI UZ CYBER SECURITY MIT I: GUBITAK PODATAKA ILI CYBER NAPAD SE NIKADA NE BI MOGAO DOGODITI NAŠOJ TVRTKI JER SMO PREMALI NETOČNO: podaci Ponemon instituta pokazuju da najveće troškove po djelatniku imaju najmanje tvrtke
MITOVI VEZANI UZ CYBER SECURITY MIT II: BRINUTI ĆEMO O TOME KAKO PLATITI GUBITAK PODATAKA UKOLIKO SE ON DOGODI NETOČNO: Uz prosječnu cijenu od 194 dolara po rekordu i prosječnom trošku organizacije od 5,5 milijuna dolara po gubitku podataka, prema podacima iz studije Ponemon instituta iz 2011, prosječna manja tvrtka najvjerojatnije neće imati adekvatne financijske resurse za pokrivanje gubitaka.
MITOVI VEZANI UZ CYBER SECURITY MIT III: MALA I SREDNJA PODUZEĆA NISU META CYBER NAPADA. KRIMINALCI IDU NA VELIKE TVRTKE. NETOČNO: Gotovo 72 posto ispitanih slučajeva gubitka podataka koju su forenzički analizirali u Verizon Communications u 2011 dogodila se u tvrtkama s manje od 100 zaposlenih.
MITOVI VEZANI UZ CYBER SECURITY MIT IV: POKRIVENI SMO NAŠOM POSTOJEĆOM GENERALNOM POLICOM OSIGURANJA OD ODGOVORNOSTI
MITOVI VEZANI UZ CYBER SECURITY SONY Prvostupanjski sud u New Yorku presudio je slučaju police opće odgovornosti ( CGL ) pokrivenost da Zurich American Insurance Co nema dužnost braniti Sony Corp of America i Sony Computer Entertainment America u parnicama koje proizlaze iz travnja 2011. odnosno hakiranja Sony Corp. PlayStation online usluge. Odluka prvostupanjskog suda je prva odluka takve vrste kojom se bavio sud New Yorka o pitanju može li polica opće odgovornosti [CGL] biti odgovorna za pokriće potraživanja koja uključuju cyber rizike. GUBITAK PODATAKA DOVEO JE DO IZLOŽENOSTI OSOBNIH PODATAKA PREKO 100 MILIJUNA KORISNIKA, A GUBICI TVRTKE SONY SE NAVODNO PROCJENJUJU NA VIŠE OD 2 MILIJARDE DOLARA .
MITOVI VEZANI UZ CYBER SECURITY Tužba se temeljila na činjenici da Sony nije uspio pravilno zaštititi osobne podatke svojih korisnika od cyber napada. Pojedinačnih 65 tužbi je skupljenu u jednu jedinstvenu tužbu. U ovom slučaju radilo se o hakerskom upadu na Sony-eve web stranice na kojima oni drže svoje podatke. Gubitak podataka rezultirao je njihovim objavljivanjem. Pitanje je da li je objavljivanje rezultat djelovanja Sony-ja ili hakera. Sudac je smatrao da ne postoji način na koji bi se vidjelo da je Sony objavio te informacije iako je Sony uzaludno pokušao održavati sigurnost podataka no usprkos tome oni su objavljeni. Treća strana odnosno hakeri su preuzeli informacije. Probili su sve sigurnosne razine što je dovelo do njihovog objavljivanja od strane hakera. Opća polica odgovornosti zahtijeva aktivaciju ukoliko je osiguranik počinio djelo. To ne može biti prošireno na treće strane.
CYBER RIZICI SVAKA ORGANIZACIJA KOJA : (1) KORISTI TEHNOLOGIJU U SVOM POSLOVANJU I / ILI (2) OBRAĐUJE / SKUPLJA / POHRANJUJE POVJERLJIVE INFORMACIJE IZLOŽENA JE CYBER RIZIKU o Pravna odgovornost prema drugima zbog kršenja računalne sigurnosti o Pravna odgovornost prema drugima za kršenja privatnosti povjerljivih informacija o Zakonskih propisa, kazne i ispitivanje o Gubitak ili oštećenje podataka / informacija o Gubitak prihoda zbog računalnog napada o Dodatni rashodi za oporavak / odgovor na računalni napad o Gubitak ili narušavanje reputacije o Cyber - iznude o Cyber - terorizam
CYBER RIZICI - OBILJEŽJA Obilježje Opis Primjer Interni IT Rizik povezan s informatičkom tehnologijom (uglavnom internom) Hardware, software, serveri, kao i s tim povezani ljudi i pripadajući poslovni procesi Kupci i partneri Rizik od ovisnosti ili izravnoj povezanosti (obično pravno obvezujući ) s vanjskim organizacijama Sveučilišno istraživačko partnerstvo ; Odnos između konkurentskih / partnerskih banaka; korporativnih zajednička ulaganja ; poslovne udruge Outsourcing i ugovori Rizik od ugovornog odnosa s vanjskim pružateljima usluga, ljudski potencijali, pravna ili IT, odnosno cloud usluga Pružatelji IT ili cloud usluga; usluga ljudskih potencijala, pravnih usluga, računovodstvenih i savjetodavnih; ugovor o proizvodnji Tehnološka nesigurnost Rizici od nevidljivih učinaka ili prekida bilo u/ili iz novih tehnologija, bilo onih iz već postojeće, ali slabo razumljive tehnologije, ili zbog tehnologije Internet stvari ; Smart Grid ; ugradnja medicinskih uređaja; automobil bez vozača; uglavnom automatizirana digitalna ekonomija Infrastrukturna podloga Rizici od zastoja infrastrukture zbog gospodarskih i društvenih posljedica, posebice električne energije, financijskih sustava i telekomunikacija Internet infrastrukture kao što su ključne točke sjecišta Interneta, podmorski kablovi; neke ključne tvrtke i protokoli koji se koriste za pokretanje Interneta (BGP i DNS); upravljanje Internetom Vanjski izazovi Rizici od incidenata izvan sustava, izvan kontrole većine organizacija i s vjerojatnošću kaskadnog učinka Veliki međunarodni sukobi; pandemija malwarea Opskrbni lanac Uključuje rizik za opskrbu IT sektora kao i cyber rizik tradicionalnim opskrbnim lancima i logistikom Izloženost jedne zemlje; krivotvoreni ili mijenjani proizvodi; rizici poremećaja opskrbnog lanca
ODNOS OPASNOSTI I KONTROLE Svake godine, tehnologija i poslovni procesi guranju nas gore i desno Opskrbni lanac Kupci i partneri Interni IT Vanjski izazovi Tehnološka nesigurnost Outsourcing i ugovori Infrastrukturna podloga Ublažavanje risk managementom, raznim ugovorima: SLA, memoranduma razumijevanja itd. Ublažavanje vladinih akcija standarda, propisa NajvećaopasnostNajmanjaopasnost Najveća kontrola Najmanja kontrola
ODGOVOR NA CYBER RIZIKE Risk governance – upravljanje rizikom Risk mitigation – ublažavanje rizika Risk transfer – transfer rizika Managing complexity – upravljanje kompleksnošću
UPRAVLJANJE RIZIKOM PREPORUKA: RISK MANAGER TREBA USPOSTAVITI RADNU SKUPINU ZA PRAĆENJE I OCJENU IZLOŽENOSTI POSLOVANJA DIGITALNIM PRIJETNJAMA I OSIGURATI REDOVITO INFORMIRANJE SVOG ODBORA. KONKRETNIJE: o radna skupina treba odlučiti i pregledati kada Odbor treba biti aktivno uključen ili jednostavno informiran o digitalnim rizicima u poslovanju. o radna skupina treba uključiti tehnološke stručnjake i stratege, ključne poslovne dionike i zakonske zastupnike o malo je vjerojatno kako će jedinstvena formula vrijediti za redovitu analizu, ali struktura ovog izvješća može pružiti prikladno polazište o radna skupina treba preispitati opravdanost ublažavanja rizika i prijenosnih strategija koje se trenutno koriste u poslu
UBLAŽAVANJE RIZIKA PREPORUKA: RISK MANAGERI TREBAJU SE VIŠE UKLJUČITI U UPRAVLJANJE I STRATEGIJU IT-A I GLAVNE TEHNOLOŠKE TRANSFORMACIJE. KONKRETNIJE BI TREBALI: o osigurati svijest i razumijevanje ovisnosti o tehnologiji u svim razinama poslovanja o znati različite uloge unutar poslovanja koje su uključene u upravljanje digitalnim rizikom, te osigurati odgovarajućim stručnjacima i dionicima vlasništvo ili ulaz u digitalni odluke rizika o budite svjesni kada se ključne promjene dogode i zbog korištenje ove mogućnosti za aktivnu procjenu digitalnog rizika
UBLAŽAVANJE RIZIKA PREPORUKA: RISK MANAGERI TREBAJU OSIGURATI KORIŠTENJE NAJBOLJIH PRAKSE I VAŽEĆIH STANDARDA I OKVIRA KOJI SE KORISTE KAKO BI SE UPRAVLJALO DIGITALNIM RIZICIMA. OVO ZNAČI: o za uobičajene probleme razmisliti o korištenju standarda a za neuobičajene probleme tragati za bilo kakvim najboljim praksama i smjernicama o izbor tima za procjenu rizika uključuje kombinaciju poslovnih i tehnoloških sudionika
PRIKAZ GLAVNIH KATEGORIJA SIGURNOSNIH PROIZVODA ZAŠTITA PODATAKA I UPRAVLJANJE PRIVATNOŠĆU SIGURNOST INFRASTRUKTURE VOĐENJE, RIZIK I UPRAVLJANJE USKLAĐENOSTI UPRAVLJANJE IDENTITETOM I PRISTUPOM APLIKATIVNA SIGURNOST SIGURNOST KRAJNJIH TOČKI UPRAVLJANJE RIZIKOM I USKLAĐENOST UPRAVLJANJE IDENTITETOM - penetracijsko testiranje aplikacija - testiranje/skeniranje aplikacija i koda - vatrozidi web aplikacija - sigurnost servisno orijentirane arhitekture (SOA) - osobni vatrozidi - antivirus, antspyware, antiadware, - detekcija upada na računala / preventivni servisi - sigurnost mobilnih uređaja - procjena usklađenosti - upravljanje prijetnjama i ranjivošću - eDiscovery i arhiviranje - katalog usluga - korisničko provizioniranje SIGURNOST SADRŽAJA MREŽNA SIGURNOST SIGURNOST OPERACIJA KONTROLA PRISTUPA - email sigurnost - filtriranje web sadržaja - ostali kanali (IM, P2P) - kontrola mrežnog pristupa - detekcija upada na mrežu / preventivni servisi - vatrozidi - virtualne privatne mreže - unificirano upravljanje prijetnjama - bežična sigurnost - sigurnosni incident / upravljanje događajima - forenzika - upravljanje logovima događaja - upravljanje sigurnosnim konfiguracijama - centri sigurnosnih operacija - kontrola pristupa temeljena na ulogama SIGURNOST PODATAKA SIGURNOST DATA CENTRA KONTINUIRANOST POSLOVANJA - ERM - enkripcija diskova / datoteka - PKI - DLP - storage sigurnost - sigurnost baze podataka - sigurnost u cloudu - sigurnost virtualizacije - servisi oporavka poslovanja - fizička sigurnost
TRANSFER RIZIKA PREPORUKA: RISK MANAGERI TREBAJU UZETI U OBZIR RJEŠENJA TRANSFERA RIZIKA KAO DIO NJIHOVE SVEUKUPNE STRATEGIJA UPRAVLJANJA DIGITALNIM RIZICIMA OVO ZNAČI: o priznavanje činjenice da većina tradicionalnih polica osiguranja ne pokriva digitalne rizike o svijest raspona cyber - proizvoda osiguranja koji su trenutno dostupni te praćenje razvoja novih proizvoda o izvještavanje o sigurnosnim incidentima i osiguravanje dostupnosti industrijskih podataka
UPRAVLJANJE KOMPLEKSNOŠĆU PREPORUKA: RISK MANAGERI MORAJU IGRATI ZNAČAJNU ULOGU U OBLIKOVANJU ISTRAŽIVANJA OKO DIGITALNIH RIZIKA, POMAŽUĆI ZNANSTVENICIMA DA RAZUMIJU IZAZOVE U IZRADI UČINKOVITE I PRAKTIČNE ODLUKE OKO CYBER PRIJETNJI DETALJNIJE: o promicanje svijesti o složenoj međusobnoj ovisnosti između poslovnih rizika, ljudskog faktora, pravnih pitanja i tehnoloških trendova o poticanje istraživanja o digitalnim rizicima
osobne identifikacijske informacije zaštićene zdravstvene informacije brojevi kreditnih kartica i/ili financijske informacije intelektualno vlasništvo (patenti, autorska prava. zaštitni znakovi) trgovački planovi – poslovni planovi, liste korisnika itd. podatke o poslovnim partnerima PODATKE KOJE JE POTREBNO ZAŠTITITI KOJI SU TO OSJETLJIVI PODACI?
KRATKOROČNI RIZICI KOJE TREBA ZAŠTITITI o gubitak podataka i upravljanje zapisima o gubitak kupaca o financijski gubitak [u slučaju krađe] o neposredan gubitak dobiti o obavijest onima koji su pogođeni gubitkom podataka o zaštita od krađe identiteta o ponovno izdavanje kompromitiranih kartica o odvjetničke naknade o kratkoročni investicije
DUGOROČNI RIZICI KOJE TREBA ZAŠTITITI o šteta nanesena reputaciji branda o gubitak radnih mjesta o odvjetničke naknade za vrijeme istrage i suđenja o ažuriranje sustava o istraživanje i popravljanje ranjivosti o nadzor nad kreditima
CYBER OSIGURANJE CYBER OSIGURANJE JE OSMIŠLJENO KAKO BI UBLAŽILO GUBITKE OD RAZNIH CYBER INCIDENATA, UKLJUČUJUĆI POVREDU PODATAKA, PREKID POSLOVANJA I ŠTETE NA MREŽI. Robusno tržište cyber osiguranja može pomoći smanjiti broj uspješnih cyber napada: 1) promovirajući usvajanje preventivnih mjera u zamjenu za veću pokrivenost; i 2) poticanjem provedbe najboljih praksi bazirajući premiju na razini samozaštite osiguranika. Mnoge tvrtke se odriču raspoloživih polica, navodeći kao razloge percepciju visoke cijene takvih politica, neznanje o tome što one pokrivaju kao i neizvjesnost da će njihove organizacije pretrpjeti cyber napad.
KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA ODGOVORA NA INCIDENT IZRADITI PISANI PLAN ODGOVORA NA INCIDENT Cyber insurance tvrtkama nudi: o pomoć kod upravljanja "posljedicama" gubitka podataka / sigurnosnog incidenta o tim za odgovor na incident o Voditelja gubitka podataka o pomoć u otkrivanju i izvještavanja te obavještavanju onih koji su zahvaćeni gubitkom vaših podataka / sigurnosnim incidentom
KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA ODGOVORA NA INCIDENT PRAVILO I: UPRAVLJANJE RIZIKOM NEĆE AUTOMATSKI ELIMINIRATI RIZIK ALI ĆE POMOĆI SMANJENJU RIZIKA NA MINIMALNU PRIHVATLJIVU VRIJEDNOST PRAVILO II: U SVOJOJ OSNOVI OSIGURANJE JE PRIJENOS RIZIKA Cyber rysk polica osiguranja koja uključuje pokrivenost odgovora na incident [odnosno, servis odgovora na gubitak podataka] nudi odličnu startnu točku rješenja sveobuhvatnog upravljanja rizicima u trenucima tijekom incidenta kada se sve odvija jako brzo.
POKRIĆA CYBER RISK POLICA • Zaštita od odgovornosti • Virus / hacking odgovornost (cyber odgovornost) • Povreda IP (odgovornost medija) • Odgovornost / pogreške i propusti • Obavijest o proboju zaštite • Sistemska šteta • Prekid poslovanja • Cyber crime • Zaštita branda / krizni management Odgovornost treće strane Gubitak prve strane
OSNOVNA POKRIĆA CYBER RISK POLICA ZAŠTITA OD ODGOVORNOSTI • Šteta pretrpjela zbog drugih prikupljanjem ili otkrivanjem povjerljivih informacija ODGOVORNOST MEDIJA • Šteta pretrpjela zbog drugih radi nedovoljne sigurnosti svoje mreže i medija. CYBER-IZNUDA • troškovi istrage i potražnje zbog iznude [ograničeno pokriće za otkupninu i konzultantske troškove zbog krize] POKRIVENOST ZAŠTITE OD ODGOVORNOSTI NE ZAHTIJEVA NEMAR OD STRANE OSIGURANIKA I PRUŽA POKRIVENOST ZA NAMJERNE RADNJE ZAPOSLENIH OSIGURANIKA
OSNOVNA POKRIĆA CYBER RISK POLICA REGULATORNA OBRANA • Pravni savjetnik za regulatorne akcije uključujući pokrivenost novčane kazne i kazne gdje je dopuštena. TROŠKOVI DOGAĐAJA / PROBOJA • Troškovi u skladu s raznim zakonima povreda obavijesti i propisima, uključujući pravnu štetu, call centara, nadzor kreditnih kartica i forenzičke istrage. VLASNIŠTVO NAD PODACIMA • Vrijednost podataka ukradenih , uništenih ili oštećena na napadnutom računalu PREKID POSLOVANJA • Poslovni prihodi koji je prekinut računalnim napadom ili neuspjeh tehnologije, uključujući i dodatni trošak.
GUBICI PRVE STRANE Troškovi prekida poslovanja Troškovi upravljačke krize i odnose s javnošću Obavijesti o proboju privatnosti i troškovi praćenja kreditnih transakcija Troškovi povezani s krađom ili vandalizmom mrežne infrastrukture ili sustava Nadogradnje u mrežnoj sigurnosti
GUBICI TREĆE STRANE Objavljivanje informacija o incidentu: neovlašteni pristup ili prenošenje privatnih informacija trećoj strani Sadržaj informacija o incidentnu: autorska prava, zaštitni znak, poslovne tajne ili druga potraživanja intelektualnog vlasništva Ugled incidenta: tužba , ogovaranje , kleveta , invazija potraživanja privatnosti Sustav incidenta: sigurnosni propusti ili virusi koji se prenose i kompromitiraju računalne sustave trećih osoba Pristup za osobe s oštećenim sustavima: kupci ne mogu pristupiti svojim računima ili informacijama
GUBICI PRVE STRANE U ZAHTJEVU TREĆE STRANE Često će zahtjev za odgovornosti treće strane uključivati ​​izravne gubitke od osiguranika Treća strana police cyber odgovornosti može osigurati pokrivenost za određene izravne gubitke povezane sa zahtjevom ( ili potencijalnog zahtjeva ) od strane treće osobe To može uključivati: • Povredi sigurnosnih obavijesti • Troškovi kreditnog praćenja • Krizni menadžment i savjetovanje
ŠEST ODVOJENIH KLAUZULA OSIGURANJA 1. Nezakonito tehnološki sigurnosno djelo 2. Nezakonito djelo privatnosti 3. Kršenje privatnosti informacija 4. Nezakonito djelo prema web informacijskom mediju 5. Gubici iznude od tehnoloških prijetnji 6. Gubici restauracije podataka nakon kršenja
CYBER OSIGURANJE – PRIJEDLOG MODELA MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA CILJANIH KLIJENATA. Početne pretpostavke modela: o namjerne i nenamjerne štete koje nastaju na području informacijske sigurnosti kontinuirano rastu, te većina stručnjaka smatra da će se takav trend i nastaviti pa čak i pojačati čemu u prilog govore i predstavljeni podaci i gubici nastali iz takvih događaja; o područje informacijske sigurnosti različito je zakonski regulirano i percipirano od strane upravljačkog kadra nad državnim institucijama, bankarskom sektoru, sektoru operatera telekomunikacijama, te ostalim organizacijama
CYBER OSIGURANJE – PRIJEDLOG MODELA MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA CILJANIH KLIJENATA. Početne pretpostavke modela: o informacijska sigurnost sastoji se od više dijelova kod kojih segmentacija na manje ponekad postaje teška, odnosno, nije jednostavno utvrditi jasne procese i okvire upravljanja o IT je samo jedna komponenta nad kojom se otvara najviše mogućnosti razvoja proizvoda osiguranja o postoji prostor za razvoj više različitih modela koji se mogu prilagoditi potrebama osiguravajućih kuća i trećih strana, a s ciljem umanjenja rizika za financijskim gubicima, odnosno, s ciljem ostvarivanja povećanja dobiti
KOMPONENTE MODELA OSIGURANJA NAJVEĆA RAZLIKA IZMEĐU STANDARDIZIRANIH MODELA OSIGURANJA I ONIH NA PODRUČJU INFORMACIJSKE SIGURNOSTI JEST IDEJA SURADNJE TREĆIH STRANA KOJE SU SPECIJALIZIRANE NA PODRUČJE SIGURNOSTI TE OSIGURAVAJUĆIH KUĆA. Razlika se oglede u sljedećem: 1. Osiguravajuća kuća trećoj strani može prema unaprijed definiranim pravilima povjeriti provjeru razine stanja sigurnosti potencijalnog klijenta čime dobije profesionalno i sigurno mišljenje; 2. Osiguravajuća kuća klijentu može ponuditi model prema kojemu se upravljanje incidentnom prepušta trećoj strani pri čemu klijent ne stvara dodatne troškove [„pokriva osiguranje”] dok se rad treće strane može unaprijed definirati ugovorima s osiguravajućom kućom. Koncept za klijenta: osiguraj se ako zadovoljiš naša pravila, a a ukoliko se dogodi incident treća strana će profesionalno riješiti incident kako bi nastala najmanja moguća šteta.
KOMPONENTE MODELA OSIGURANJA 3. Ovisno o definiranim pravilima s trećom stranom, klijentima se nameće smanjivanje rizika na način da preporuke daje treća strana čime se u konačnici dovodi i do smanjivanja rizika za osiguravajuće društvo. 4. Treća strane može u suradnji s osiguravajućim društvom ponuditi nekoliko različitih modela suradnje: 1. Kontinuirani nadzor IT infrastrukture 2. Sustav ranog upozoravanja 3. Provjera ranjivosti i penetracijsko testiranje [interno i eksterno] 4. Revizija informacijske sigurnosti 5. Appgate access kontrola 6. Intelligence management 7. Analiza izvornog koda web aplikacija 8. Kontrola pristupa računalnim periferijama
KOMPONENTE MODELA OSIGURANJA
CYBER ESSENTIALS
CYBER ESSENTIALS FOKUSIRAN NA 5 PITANJA o Firewalli i Internet Gateway uređaji o Sigurnosne konfiguracije o Pristupne kontrole o Zaštita od malware-a o Upravljanje nadogradnjama
ZADOVOLJAVANJE UVJETA ZA OSIGURANJA DEFINIRANJE POČETNIH UVJETA OSIGURANJA JE PRIMARNO ŠTO SLUŽI I MODELU IZRAČUNA PREMIJE. NAIME, PITANJE KOJE SE POSTAVLJA NA PODRUČJU INFORMACIJSKE SIGURNOSTI JEST ŠTO SE ZAPRAVO OSIGURAVA. Prijedlozi: o Razdvojiti modele na tri osnovna područja: informacijska sigurnost u širem smislu, informacijska sigurnost na segmentu IT-a, te zasebno definirana područja prema potrebama klijenta [npr. Internet bankarstvo, baze podataka i sl.] o definirati područje pokrivanja osiguranjem za dva osnovna segmenta: • aktiviranje korištenja treće strane u slučaju incidenta • pokrivanje direktno nastalih šteta
ZADOVOLJAVANJE UVJETA ZA OSIGURANJE • pokrivanje direktno nastalih šteta:  pokrivanje pravnih posljedica [npr. Zakon o zaštiti osobnih podataka]  pokrivanje štete za otkrivanje / krađu podataka ili uništavanje imovine za koju se unaprijed može definirati vrijednost. o definirati prihvaćanje uvjeta i/ili standarda kojima se jamči smanjivanje rizika nastajanja šteta [npr. ISO 27001, PCI DSS i sl., ovisno o područjima] o identificirati koji se postojeći modeli osiguranja i u kojoj mogu iskoristiti unutar područja informacijske sigurnosti [npr. osiguranje od odgovornosti]
ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 1: INFORMACIJSKA SIGURNOST o definirane i primjenjive organizacijske pretpostavke [Sigurnosne politike i procedure] o definirane i primjenjive procedure unutar informacijskog sustava za standardna područja upravljanja sigurnošću o izvršena provjera s preporukama
ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 2: SIGURNOST IT SUSTAVA o definirane i primjenjive organizacijske i tehničke pretpostavke [Sigurnosne politike i procedure] o definirane i primjenjive procedure unutar IT-a za standardna područja upravljanja sigurnošću o izvršene tehničke provjere s preporukama
ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 3: ZASEBNI DIJELOVI SUSTAVA o definirane i primjenjive mjere koje se odnose na zasebni sustav [npr. Interne bankarstvo] o izvršene tehničke provjere prema definiranim mjerama
RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Osiguravatelji se boje "cyber-uragana" - velike katastrofe koja bi rezultiralo velikim brojem odštetnih zahtjeva. o Cyber-uragani predstavljaju neizvjesnu opasnost od vrlo velikih gubitaka, i kao takvi su osigurateljima vrlo teški za planiranje. o Budući su računalni sustavi ovisni i standardizirani, imaju tendenciju da su posebno osjetljivi na povezane gubitke. o Taj strah povećava premije osiguranja, jer se osiguratelji koncentriraju na procjenu očekivanog gubitka najgoreg mogućeg slučaja, a kako bi održali profitabilnost. CYBER URAGAN
RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Osim toga, "cyber-uragani" podižu barijere za ulazak na tržište osiguranja, jer osiguratelj doslovno može biti izbrisan ako se veliki događaj dogodi prije nego što su izgradili dovoljno novčanih rezervi. o Cijena privatnog tržišta reosiguranja za cyber osiguravatelje je izuzetno visoka jer se strah od "cyber- uragan" osjeća najviše u zajednice reosiguratelja. CYBER URAGAN
RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Cyber osiguranje je relativno novo područje te su osiguravatelji suočeni s nedostatkom aktuarskih podataka kojima bi mogli izračunati premije. o Osim dodatnog povećanja cijena, nedostatak podataka dovodi do problema s analizom rizika poduzete od strane tvrtke prilikom odlučivanja hoće li osiguranje protiv rizika vrijedno. o Nedostatak podataka također dovodi do toga da je cyber osiguranje nepoželjno tvrtkama, dok se istovremeno povećava cijena cyber-osiguranja. NEDOSTATAK AKTUARSKIH PODATAKA
RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Cyber osiguranje je relativno novo područje te su osiguravatelji suočeni s nedostatkom aktuarskih podataka kojima bi mogli izračunati premije. o Osim dodatnog povećanja cijena, nedostatak podataka dovodi do problema s analizom rizika poduzete od strane tvrtke prilikom odlučivanja hoće li osiguranje protiv rizika vrijedno. o Nedostatak podataka također dovodi do toga da je cyber osiguranje nepoželjno tvrtkama, dok se istovremeno povećava cijena cyber-osiguranja. NEDOSTATAK AKTUARSKIH PODATAKA
ZAKLJUČAK Ekonomska kriza povećava cyber rizike Odlijevanje kvalitetnog kadra na „drugu stranu” Područje cyber security-ja je kompleksno i zahtijeva značajnu i kontinuiranu investiciju u opremu, ljude i znanje Specijalizirane tvrtke su dodatan nužan izvor sigurnosti uz vlastitu samozaštitu Cyber osiguranje je dodatna zaštita u slučaju cyber napada Cyber osiguranje uz specijaliziranu cyber security tvrtku nudi optimalnu zaštitu kroz različite modele suradnje

Recommended

Upravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseUpravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseDejan Jeremic
 
Kako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraKako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraMicrosoft Hrvatska
 
Kako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraKako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraAntonia Glavan Petanjek
 
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaInformacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaDejan Jeremic
 
794 ponašanje i sigurnost na internetu
794 ponašanje i sigurnost na internetu794 ponašanje i sigurnost na internetu
794 ponašanje i sigurnost na internetuPogled kroz prozor
 
902 dan sigurnijeg interneta
902 dan sigurnijeg interneta902 dan sigurnijeg interneta
902 dan sigurnijeg internetaPogled kroz prozor
 
Sigurniji internet
Sigurniji internetSigurniji internet
Sigurniji internetInforMaticari1
 
179 zatita osobnih podataka renato vincekovic 8b
179 zatita osobnih podataka renato vincekovic 8b179 zatita osobnih podataka renato vincekovic 8b
179 zatita osobnih podataka renato vincekovic 8bPogled kroz prozor
 

Recommended

Upravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseUpravljanje rizicima za ljudske resurse
Upravljanje rizicima za ljudske resurseDejan Jeremic
 
Kako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraKako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraMicrosoft Hrvatska
 
Kako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraKako se zaštititi od zlonamjernog softvera
Kako se zaštititi od zlonamjernog softveraAntonia Glavan Petanjek
 
Informacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaInformacijska sigurnost za menadzere upravljanja ljudskim resursima
Informacijska sigurnost za menadzere upravljanja ljudskim resursimaDejan Jeremic
 
794 ponašanje i sigurnost na internetu
794 ponašanje i sigurnost na internetu794 ponašanje i sigurnost na internetu
794 ponašanje i sigurnost na internetuPogled kroz prozor
 
902 dan sigurnijeg interneta
902 dan sigurnijeg interneta902 dan sigurnijeg interneta
902 dan sigurnijeg internetaPogled kroz prozor
 
Sigurniji internet
Sigurniji internetSigurniji internet
Sigurniji internetInforMaticari1
 
179 zatita osobnih podataka renato vincekovic 8b
179 zatita osobnih podataka renato vincekovic 8b179 zatita osobnih podataka renato vincekovic 8b
179 zatita osobnih podataka renato vincekovic 8bPogled kroz prozor
 
Privatnost i sigurnost na internetu
Privatnost i sigurnost na internetuPrivatnost i sigurnost na internetu
Privatnost i sigurnost na internetuFakultet političkih znanosti
 
Internet(anamarija odak)
Internet(anamarija odak)Internet(anamarija odak)
Internet(anamarija odak)Bozena Ukić
 
Sigurniji internet za djecu i mlade
Sigurniji internet za djecu i mladeSigurniji internet za djecu i mlade
Sigurniji internet za djecu i mladeInforMaticari1
 
410 sigurniji internet antonia miric
410 sigurniji internet antonia miric410 sigurniji internet antonia miric
410 sigurniji internet antonia miricPogled kroz prozor
 
Tehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u HrvatskojTehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u HrvatskojCatalyst Balkans
 
Tehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i HercegoviniTehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i HercegoviniCatalyst Balkans
 
Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9Darko Rakić
 
401 sigurnost na internetu
401 sigurnost na internetu401 sigurnost na internetu
401 sigurnost na internetuPogled kroz prozor
 
Tehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj GoriTehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj GoriCatalyst Balkans
 
809 sigurnost na internetu
809 sigurnost na internetu809 sigurnost na internetu
809 sigurnost na internetuPogled kroz prozor
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...goranvranic
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacicPogled kroz prozor
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetuPogled kroz prozor
 
Ivona jajic safer_internet_day
Ivona jajic safer_internet_dayIvona jajic safer_internet_day
Ivona jajic safer_internet_dayPogled kroz prozor
 
Sigurnost2
Sigurnost2Sigurnost2
Sigurnost2Pogled kroz prozor
 
152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.a152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.aPogled kroz prozor
 
Sigurnost na Internetu 1
Sigurnost na Internetu 1Sigurnost na Internetu 1
Sigurnost na Internetu 1Darko Rakić
 
Sigurnost_na_internetu_1
Sigurnost_na_internetu_1Sigurnost_na_internetu_1
Sigurnost_na_internetu_1Darko Rakić
 
529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovic529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovicPogled kroz prozor
 
Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicDejan Jeremic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicDejan Jeremic
 

More Related Content

Similar to D.bara ict kladovo_prezentacija

Internet(anamarija odak)
Internet(anamarija odak)Internet(anamarija odak)
Internet(anamarija odak)Bozena Ukić
 
Sigurniji internet za djecu i mlade
Sigurniji internet za djecu i mladeSigurniji internet za djecu i mlade
Sigurniji internet za djecu i mladeInforMaticari1
 
410 sigurniji internet antonia miric
410 sigurniji internet antonia miric410 sigurniji internet antonia miric
410 sigurniji internet antonia miricPogled kroz prozor
 
Tehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u HrvatskojTehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u HrvatskojCatalyst Balkans
 
Tehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i HercegoviniTehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i HercegoviniCatalyst Balkans
 
Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9Darko Rakić
 
Tehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj GoriTehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj GoriCatalyst Balkans
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...goranvranic
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIIDinko Korunic
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetuPogled kroz prozor
 
Ivona jajic safer_internet_day
Ivona jajic safer_internet_dayIvona jajic safer_internet_day
Ivona jajic safer_internet_dayPogled kroz prozor
 
152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.a152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.aPogled kroz prozor
 
Sigurnost na Internetu 1
Sigurnost na Internetu 1Sigurnost na Internetu 1
Sigurnost na Internetu 1Darko Rakić
 
Sigurnost_na_internetu_1
Sigurnost_na_internetu_1Sigurnost_na_internetu_1
Sigurnost_na_internetu_1Darko Rakić
 
529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovic529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovicPogled kroz prozor
 

Similar to D.bara ict kladovo_prezentacija (20)

Privatnost i sigurnost na internetu
Privatnost i sigurnost na internetuPrivatnost i sigurnost na internetu
Privatnost i sigurnost na internetu
 
Internet(anamarija odak)
Internet(anamarija odak)Internet(anamarija odak)
Internet(anamarija odak)
 
Sigurniji internet za djecu i mlade
Sigurniji internet za djecu i mladeSigurniji internet za djecu i mlade
Sigurniji internet za djecu i mlade
 
410 sigurniji internet antonia miric
410 sigurniji internet antonia miric410 sigurniji internet antonia miric
410 sigurniji internet antonia miric
 
Tehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u HrvatskojTehnološke potrebe neprofitnih organizacija u Hrvatskoj
Tehnološke potrebe neprofitnih organizacija u Hrvatskoj
 
Tehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i HercegoviniTehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
Tehnološke potrebe neprofitnih organizacija u Bosni i Hercegovini
 
Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9Sigurnost na internetu 2015 9
Sigurnost na internetu 2015 9
 
401 sigurnost na internetu
401 sigurnost na internetu401 sigurnost na internetu
401 sigurnost na internetu
 
Tehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj GoriTehnološke potrebe neprofitnih organizacija u Crnoj Gori
Tehnološke potrebe neprofitnih organizacija u Crnoj Gori
 
809 sigurnost na internetu
809 sigurnost na internetu809 sigurnost na internetu
809 sigurnost na internetu
 
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
Armin Dinar, PwC Rumunija: „Upravljanja IT aktivnostima (IT Governance) u mod...
 
Sigurnost-na-Internetu-III
Sigurnost-na-Internetu-IIISigurnost-na-Internetu-III
Sigurnost-na-Internetu-III
 
Maja kovacic
Maja kovacicMaja kovacic
Maja kovacic
 
157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu157 zaštita osobnih podataka na internetu
157 zaštita osobnih podataka na internetu
 
Ivona jajic safer_internet_day
Ivona jajic safer_internet_dayIvona jajic safer_internet_day
Ivona jajic safer_internet_day
 
Sigurnost2
Sigurnost2Sigurnost2
Sigurnost2
 
152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.a152 zaštita osobnih podataka na internetu by-luka krpač 8.a
152 zaštita osobnih podataka na internetu by-luka krpač 8.a
 
Sigurnost na Internetu 1
Sigurnost na Internetu 1Sigurnost na Internetu 1
Sigurnost na Internetu 1
 
Sigurnost_na_internetu_1
Sigurnost_na_internetu_1Sigurnost_na_internetu_1
Sigurnost_na_internetu_1
 
529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovic529 sigurni internet ante marinkovic josip martinovic
529 sigurni internet ante marinkovic josip martinovic
 

More from Dejan Jeremic

Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicDejan Jeremic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicDejan Jeremic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićDejan Jeremic
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicDejan Jeremic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija Dejan Jeremic
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaDejan Jeremic
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaDejan Jeremic
 
Lokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradLokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradDejan Jeremic
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataDejan Jeremic
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
DeinstitucionalizacijaDejan Jeremic
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadDejan Jeremic
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuDejan Jeremic
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Dejan Jeremic
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizijaDejan Jeremic
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijalaDejan Jeremic
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneDejan Jeremic
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoDejan Jeremic
 

More from Dejan Jeremic (20)

Konferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja IlicKonferencija 09.12. ​Maja Ilic
Konferencija 09.12. ​Maja Ilic
 
Konferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan DjurdjevicKonferencija 09.12. ph d Dragan Djurdjevic
Konferencija 09.12. ph d Dragan Djurdjevic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad KaludjerovicKonferencija 09.12. ph d Nenad Kaludjerovic
Konferencija 09.12. ph d Nenad Kaludjerovic
 
Konferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda MilenkovićKonferencija 09.12. Hilda Milenković
Konferencija 09.12. Hilda Milenković
 
Konferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana SimicKonferencija 9 12 - Biljana Simic
Konferencija 9 12 - Biljana Simic
 
Asistivna tehnologija
Asistivna tehnologija Asistivna tehnologija
Asistivna tehnologija
 
Podrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosaPodrska razvoja siblinskih odnosa
Podrska razvoja siblinskih odnosa
 
Beskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog radaBeskucnistvo i usluga socijalnog rada
Beskucnistvo i usluga socijalnog rada
 
Lokalne usluge GCSR Beograd
Lokalne usluge GCSR BeogradLokalne usluge GCSR Beograd
Lokalne usluge GCSR Beograd
 
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranataPostupanje GCSR u obezbedjivanju podrske maloletne dece migranata
Postupanje GCSR u obezbedjivanju podrske maloletne dece migranata
 
Deinstitucionalizacija
DeinstitucionalizacijaDeinstitucionalizacija
Deinstitucionalizacija
 
Centar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi SadCentar za porodicni smestaj i usvojenje Novi Sad
Centar za porodicni smestaj i usvojenje Novi Sad
 
Podrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvuPodrsak EU inkluzionom drustvu
Podrsak EU inkluzionom drustvu
 
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
Povremeni porodicni smeštaj - sajam socijalnih usluga 2016
 
Forenzička revizija
Forenzička revizijaForenzička revizija
Forenzička revizija
 
Analiza ljudskih potencijala
Analiza ljudskih potencijalaAnaliza ljudskih potencijala
Analiza ljudskih potencijala
 
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbraneSelekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
Selekcija kadrova i njihova uloga u inzinjeringu protivteroristicke odbrane
 
Razvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada PancevoRazvoj lokalnih usluga socijalne zastite grada Pancevo
Razvoj lokalnih usluga socijalne zastite grada Pancevo
 

D.bara ict kladovo_prezentacija

  • 1. DANIJEL BARA ČLAN UPRAVE, JADRANSKO OSIGURANJE D.D. Šta u očuvanju komjuterske sigurnosti mogu ponuditi osiguravajuća društva - kako kreirati policu koja pokriva IT rizik
  • 2. SADRŽAJ Pojašnjenje pojmova Internet - povijesni pregled Cyber crime – evolucija Cyber crime – kategorije i tipovi Cyber crime – analiza
  • 4. POSLOVANJE I INTERNET Spektar rizika 1. Poruke 2. Spremanje informacija 3. Transakcijski sustavi 4. Integracija tehnologije 5. Potpuno integrirano poslovanje bazirano na digitalnim informacijama Stupanjdigitalizacijepodataka
  • 6. LAŽNA SIGURNOST INTERNET JE U OSNOVI OTVORENA PLATFORMA - ne znamo što se događa u našoj vlastitoj mreži - uobičajene prakse ne nalaze sve - prijetnje dolaze iznutra - prijetnja je brža od odgovora - „granice” su nevažne - ne znamo što se događa na mreži naših partnera kao ni na mjestima presjeka - proboji se događaju unatoč zaštiti - ovisno o motivaciji neka određena prijetnja može biti smetnja, koštanje ili prijeteća misija ČINJENICE: Globalni Internet NEIZMJERNO JE VAŽNO U STVARNOM VREMENU RAZVITI ODGOVOR I ELASTIČNOST
  • 7. CYBERCRIME ZLOČIN - radnja ili propust koji predstavlja kazneno djelo koje može biti procesuirano od strane države i kažnjivo zakonom. Najveći zločini ne proizlaze iz nedostatka osjećaja za druge već iz prevelike osjetljivosti za sebe i prekomjerno uživanje u vlastitim željama. Edmund Burke (1729-1797, engleski državnik i filozof) CYBERCRIME - Zločin počinjen pomoću računala i Interneta krađom nečijih osobnih podataka, nelegalnim uvozom ili zlonamjernim programima, odnosno gdje se računalo koristi kao objekt ili predmet kriminala
  • 8. CYBERCRIME – PODJELA (INTERPOL) Napadi na računalni hardware i software (botnet, malware, upad u mrežu) Financijski zločini: online prevare, upad u online financijske servise, phishing Zlostavljanje , pogotovo mladih , u obliku seksualnog iskorištavanja
  • 9. CYBER PRIJETNJE Tip Motivacija Cilj Metoda Information Warfare Vojna ili politička dominacija Kritična infrastruktura, politička i vojna imovina Napad, korupcija, iskorištavanje, uskraćivanje, kombinacija s fizičkim napadom Cyber špijunaža Dobitak intelektualnog vlasništva ili tajni Vlade, tvrtke, pojedinci Napredne konstantne prijetnje Cybercrime Ekonomski dobitak Pojedinci, tvrtke, vlade Prevara, krađa ID-a, iznuda, napad, iskorištavanje Cracking Ego, osobno neprijateljstvo Pojedinci, tvrtke, vlade Napad, iskorištavanje Hactivism Politička promjena Vlade, tvrtke Napad, defacing Cyber teror Politička promjena Nedužne žrtve, regrutiranje Marketing, command and control, kompjutorsko nasilje
  • 11. CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠAK PO STANOVNIKU PODATAKA U SLUČAJEVIM POVREDE PODATAKA ZA RAZDOBLJE VIŠE OD DVIJE GODINE [MJERENO U US $]
  • 12. CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI UKUPNI ORGANIZACIJSKI TROŠKOVI GUBITKA PODATAKA MJERENI KROZ RAZDOBLJE VIŠE OD DVIJE GODINE U USD [U 000.000 $]
  • 13. CYBERCRIME TROŠKOVI GUBITKA PODATAKA TROŠKOVA PO STANOVNIKU PO INDUSTRIJISKOJ KLASIFIKACIJI [U US $]
  • 14. CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠKOVI NAKON GUBITKA PODATAKA [U US $]
  • 15. CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROSJEČNI TROŠKOVI GUBITKA POSLOVANJA [U US $]
  • 16. CYBERCRIME TROŠKOVI GUBITKA PODATAKA PROMJENE U SIGURNOSNIM PRIJETNJAMA TIJEKOM GODINA
  • 17. CYBERCRIME TROŠKOVI GUBITKA PODATAKA UČESTALOST POJAVLJIVANJA UZORKA KLASIFICIRANIH INCIDENATA
  • 18. CYBERCRIME - POS (POINT-OF-SALE) UPADA UDALJENI NAPADI U SREDINAMA U KOJIMA SE PROVODE RETAIL TRANSAKCIJE, POSEBNO GDJE SE KUPUJE PUTEM KREDITNIH KARTICA. ZLOČINI KOJE UKLJUČUJU MANIPULIRANJE ILI ZAMJENU UREĐAJA TE SU POKRIVENI U SKIMMING UZORKU
  • 19. CYBERCRIME - DOS (DENIAL-OF-SERVICE) SVAKI NAPAD KOJI IMA ZA CILJ KOMPROMITIRATI DOSTUPNOST MREŽE I SUSTAVA. UKLJUČUJE I MREŽE I PRIMJENA LAYER NAPADA. DoS napad propusnost i broj paketa 2011-2013
  • 20. USPOREDBA TROŠKA POJEDINIH AKTIVNOSTI I UPOTREBE TEHNOLOGIJA SIGURNOSNE INTELIGENCIJE
  • 21. UŠTEDE POSTIGNUTE UPOTREBOM SEDAM AKTIVNOSTI SIGURNOSNOG VOĐENJA U TVRTKAMA
  • 22. PROSJEČAN BROJ DANA SANIRANJA NAPADA
  • 23. TROŠKOVNI OKVIR ZA CYBER CRIME
  • 24. TROŠAK SIGURNOSTI KAO % IT TROŠKA 0% 20% 40% 60% 80% 100% 2002 2004 2006 2008 2010 Ništa 1% ili manje 2 do 10% 11 do 25% Veće od 25%
  • 25. OZBILJNOST NAJGORIH SIGURNOSNIH INCIDENATA 0% 20% 40% 60% 80% 100% 2002 2004 2006 2008 2010 Uopće nisu ozbiljni Nisu ozbiljni Ozbiljni Jako ozbiljni Izrazito ozbiljni
  • 26. CYBERSECURITY ŠIROKI POJAM KOJI OBUHVAĆA SVE ASPEKTE OSIGURANJA ZAŠTITE GRAĐANA , PODUZEĆA I KRITIČNE INFRASTRUKTURE OD PRIJETNJI KOJE PROIZLAZE IZ NJIHOVE UPORABE RAČUNALA I INTERNETA Opseg cybersecurity-ja: oTehnike analize i ublažavanja prijetnji i napada oTehnologije zaštita i oporavka, procesi i procedure za pojedince, poslovne korisnike i vlade oPolitike, zakoni i propisi relevantni za korištenje računala i Interneta
  • 27. CYBERSECURITY PROBLEM SUSTAVA Povezano je sa, ali je šireg opsega nego: o Računalna sigurnost o Sigurnosni inženjering o šifriranje o računalni kriminal o Računalna forenzika CYBERSECURITY JE SOCIO–TEHNOLOŠKI SUSTAV PROBLEMA Problemi gotovo uvijek proizlaze iz mješavine tehničkih, kadrovskih i organizacijskih razloga
  • 28. CYBERSECURITY - IZAZOVI 1) PRAKTIČNOST / FUNKCIONALNOST / ISKORISTIVOST VS SIGURNOST -> KORISNICI ŽELE KORISNU I / ILI ZABAVNA TEHNOLOGIJU 2) INTERNET JE POSTAO PRIMARNA RAČUNALNA PLATFORMA SAMOSTALNE APLIKACIJE -> WEB - BASED -> CLOUD COMPUTING 3) ASTRONOMSKI PORAST KOLIČINE PODATAKA [FACEBOOK PROCESIRA VIŠE OD 500 TB PODATAKA DNEVNO] 4) BOGATSTVO TIPOVA PODATAKA [HTML, XHTML, XML, MP3, MP4, MPEG4, AVI, WMV, JPEG, GIF, BMP, JAVASCRIPTS, JAVA APPLETS] 5) BIG DATA & BI EXTRACTING MEANING FROM DATA AND CREATING DATA PRODUCTS 6) BYOD [BRING YOUR OWN DEVICE] 7) NEUČINKOVITO DIJELJENJE PRIJETNJI I INFORMACIJE ZA UBLAŽAVANJE 8) NEDOVOLJAN BROJ KVALITETNIH DJELATNIKA
  • 29. CYBERSECURITY - PRIJETNJE KOJA JE PO VAŠEM MIŠLJENJU NAJVEĆA PRIJETNJA CYBER SECURITY-JU ZA VAŠU ORGANIZACIJU U NAREDNOM PERIODU? Preko 22% ispitanika smatra da u ovom trenutku nemaju odgovarajuće alate za cyber security CIOnet survey on Cyber Security
  • 30. CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA SPECIFIČNU POLITIKU ZA SIGURNOSNO OSOBLJE? Postoji opasnost od kritične izloženosti informacija i odljevu znanja kad se ljudi rotiraju u organizacijama Sve veća složenost tehnologije i cyber prijetnji s kojima se organizacija suočava zahtijeva potrebu adekvatnog sigurnosnog osoblja specifičnih znanja i vještina
  • 31. CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA PROGRAME KOJI ĆE POBOLJŠATI SVIJEST O CYBER SECURITY-JU U SLJEDEĆIM PODRUČJIMA?
  • 32. CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA PLAN KONTINUITETA POSLOVANJA SPREMNOG DA PODRŽAVA CYBER SECURITY RIZIKE? IMA LI VAŠA ORGANIZACIJA DOKUMENTIRANI, UP TO DATE, PROAKTIVNI KRIZNI KOMUNIKACIJSKI PLAN U SLUČAJU DA JE VAŠE POSLOVANJE UGROŽENO OD STRANE CYBER SECURITY PRIJETNJI?
  • 33. CYBERSECURITY - PRIJETNJE CIOnet survey on Cyber Security IMA LI VAŠA ORGANIZACIJA POLICU OSIGURANJA OD CYBER SECURITY RIZIKA KOJA ĆE ZAŠTITI VAS I VAŠE KORISNIKE? UKOLIKO POSJEDUJETE POLICU OSIGURANJA OD CYBER SECURITY RIZIKA MOŽETE LI NAZNAČITI ŠTO SVE ONA POKRIVA?
  • 34. MITOVI VEZANI UZ CYBER SECURITY MIT I: GUBITAK PODATAKA ILI CYBER NAPAD SE NIKADA NE BI MOGAO DOGODITI NAŠOJ TVRTKI JER SMO PREMALI NETOČNO: podaci Ponemon instituta pokazuju da najveće troškove po djelatniku imaju najmanje tvrtke
  • 35. MITOVI VEZANI UZ CYBER SECURITY MIT II: BRINUTI ĆEMO O TOME KAKO PLATITI GUBITAK PODATAKA UKOLIKO SE ON DOGODI NETOČNO: Uz prosječnu cijenu od 194 dolara po rekordu i prosječnom trošku organizacije od 5,5 milijuna dolara po gubitku podataka, prema podacima iz studije Ponemon instituta iz 2011, prosječna manja tvrtka najvjerojatnije neće imati adekvatne financijske resurse za pokrivanje gubitaka.
  • 36. MITOVI VEZANI UZ CYBER SECURITY MIT III: MALA I SREDNJA PODUZEĆA NISU META CYBER NAPADA. KRIMINALCI IDU NA VELIKE TVRTKE. NETOČNO: Gotovo 72 posto ispitanih slučajeva gubitka podataka koju su forenzički analizirali u Verizon Communications u 2011 dogodila se u tvrtkama s manje od 100 zaposlenih.
  • 37. MITOVI VEZANI UZ CYBER SECURITY MIT IV: POKRIVENI SMO NAŠOM POSTOJEĆOM GENERALNOM POLICOM OSIGURANJA OD ODGOVORNOSTI
  • 38. MITOVI VEZANI UZ CYBER SECURITY SONY Prvostupanjski sud u New Yorku presudio je slučaju police opće odgovornosti ( CGL ) pokrivenost da Zurich American Insurance Co nema dužnost braniti Sony Corp of America i Sony Computer Entertainment America u parnicama koje proizlaze iz travnja 2011. odnosno hakiranja Sony Corp. PlayStation online usluge. Odluka prvostupanjskog suda je prva odluka takve vrste kojom se bavio sud New Yorka o pitanju može li polica opće odgovornosti [CGL] biti odgovorna za pokriće potraživanja koja uključuju cyber rizike. GUBITAK PODATAKA DOVEO JE DO IZLOŽENOSTI OSOBNIH PODATAKA PREKO 100 MILIJUNA KORISNIKA, A GUBICI TVRTKE SONY SE NAVODNO PROCJENJUJU NA VIŠE OD 2 MILIJARDE DOLARA .
  • 39. MITOVI VEZANI UZ CYBER SECURITY Tužba se temeljila na činjenici da Sony nije uspio pravilno zaštititi osobne podatke svojih korisnika od cyber napada. Pojedinačnih 65 tužbi je skupljenu u jednu jedinstvenu tužbu. U ovom slučaju radilo se o hakerskom upadu na Sony-eve web stranice na kojima oni drže svoje podatke. Gubitak podataka rezultirao je njihovim objavljivanjem. Pitanje je da li je objavljivanje rezultat djelovanja Sony-ja ili hakera. Sudac je smatrao da ne postoji način na koji bi se vidjelo da je Sony objavio te informacije iako je Sony uzaludno pokušao održavati sigurnost podataka no usprkos tome oni su objavljeni. Treća strana odnosno hakeri su preuzeli informacije. Probili su sve sigurnosne razine što je dovelo do njihovog objavljivanja od strane hakera. Opća polica odgovornosti zahtijeva aktivaciju ukoliko je osiguranik počinio djelo. To ne može biti prošireno na treće strane.
  • 40. CYBER RIZICI SVAKA ORGANIZACIJA KOJA : (1) KORISTI TEHNOLOGIJU U SVOM POSLOVANJU I / ILI (2) OBRAĐUJE / SKUPLJA / POHRANJUJE POVJERLJIVE INFORMACIJE IZLOŽENA JE CYBER RIZIKU o Pravna odgovornost prema drugima zbog kršenja računalne sigurnosti o Pravna odgovornost prema drugima za kršenja privatnosti povjerljivih informacija o Zakonskih propisa, kazne i ispitivanje o Gubitak ili oštećenje podataka / informacija o Gubitak prihoda zbog računalnog napada o Dodatni rashodi za oporavak / odgovor na računalni napad o Gubitak ili narušavanje reputacije o Cyber - iznude o Cyber - terorizam
  • 41. CYBER RIZICI - OBILJEŽJA Obilježje Opis Primjer Interni IT Rizik povezan s informatičkom tehnologijom (uglavnom internom) Hardware, software, serveri, kao i s tim povezani ljudi i pripadajući poslovni procesi Kupci i partneri Rizik od ovisnosti ili izravnoj povezanosti (obično pravno obvezujući ) s vanjskim organizacijama Sveučilišno istraživačko partnerstvo ; Odnos između konkurentskih / partnerskih banaka; korporativnih zajednička ulaganja ; poslovne udruge Outsourcing i ugovori Rizik od ugovornog odnosa s vanjskim pružateljima usluga, ljudski potencijali, pravna ili IT, odnosno cloud usluga Pružatelji IT ili cloud usluga; usluga ljudskih potencijala, pravnih usluga, računovodstvenih i savjetodavnih; ugovor o proizvodnji Tehnološka nesigurnost Rizici od nevidljivih učinaka ili prekida bilo u/ili iz novih tehnologija, bilo onih iz već postojeće, ali slabo razumljive tehnologije, ili zbog tehnologije Internet stvari ; Smart Grid ; ugradnja medicinskih uređaja; automobil bez vozača; uglavnom automatizirana digitalna ekonomija Infrastrukturna podloga Rizici od zastoja infrastrukture zbog gospodarskih i društvenih posljedica, posebice električne energije, financijskih sustava i telekomunikacija Internet infrastrukture kao što su ključne točke sjecišta Interneta, podmorski kablovi; neke ključne tvrtke i protokoli koji se koriste za pokretanje Interneta (BGP i DNS); upravljanje Internetom Vanjski izazovi Rizici od incidenata izvan sustava, izvan kontrole većine organizacija i s vjerojatnošću kaskadnog učinka Veliki međunarodni sukobi; pandemija malwarea Opskrbni lanac Uključuje rizik za opskrbu IT sektora kao i cyber rizik tradicionalnim opskrbnim lancima i logistikom Izloženost jedne zemlje; krivotvoreni ili mijenjani proizvodi; rizici poremećaja opskrbnog lanca
  • 42. ODNOS OPASNOSTI I KONTROLE Svake godine, tehnologija i poslovni procesi guranju nas gore i desno Opskrbni lanac Kupci i partneri Interni IT Vanjski izazovi Tehnološka nesigurnost Outsourcing i ugovori Infrastrukturna podloga Ublažavanje risk managementom, raznim ugovorima: SLA, memoranduma razumijevanja itd. Ublažavanje vladinih akcija standarda, propisa NajvećaopasnostNajmanjaopasnost Najveća kontrola Najmanja kontrola
  • 43. ODGOVOR NA CYBER RIZIKE Risk governance – upravljanje rizikom Risk mitigation – ublažavanje rizika Risk transfer – transfer rizika Managing complexity – upravljanje kompleksnošću
  • 44. UPRAVLJANJE RIZIKOM PREPORUKA: RISK MANAGER TREBA USPOSTAVITI RADNU SKUPINU ZA PRAĆENJE I OCJENU IZLOŽENOSTI POSLOVANJA DIGITALNIM PRIJETNJAMA I OSIGURATI REDOVITO INFORMIRANJE SVOG ODBORA. KONKRETNIJE: o radna skupina treba odlučiti i pregledati kada Odbor treba biti aktivno uključen ili jednostavno informiran o digitalnim rizicima u poslovanju. o radna skupina treba uključiti tehnološke stručnjake i stratege, ključne poslovne dionike i zakonske zastupnike o malo je vjerojatno kako će jedinstvena formula vrijediti za redovitu analizu, ali struktura ovog izvješća može pružiti prikladno polazište o radna skupina treba preispitati opravdanost ublažavanja rizika i prijenosnih strategija koje se trenutno koriste u poslu
  • 45. UBLAŽAVANJE RIZIKA PREPORUKA: RISK MANAGERI TREBAJU SE VIŠE UKLJUČITI U UPRAVLJANJE I STRATEGIJU IT-A I GLAVNE TEHNOLOŠKE TRANSFORMACIJE. KONKRETNIJE BI TREBALI: o osigurati svijest i razumijevanje ovisnosti o tehnologiji u svim razinama poslovanja o znati različite uloge unutar poslovanja koje su uključene u upravljanje digitalnim rizikom, te osigurati odgovarajućim stručnjacima i dionicima vlasništvo ili ulaz u digitalni odluke rizika o budite svjesni kada se ključne promjene dogode i zbog korištenje ove mogućnosti za aktivnu procjenu digitalnog rizika
  • 46. UBLAŽAVANJE RIZIKA PREPORUKA: RISK MANAGERI TREBAJU OSIGURATI KORIŠTENJE NAJBOLJIH PRAKSE I VAŽEĆIH STANDARDA I OKVIRA KOJI SE KORISTE KAKO BI SE UPRAVLJALO DIGITALNIM RIZICIMA. OVO ZNAČI: o za uobičajene probleme razmisliti o korištenju standarda a za neuobičajene probleme tragati za bilo kakvim najboljim praksama i smjernicama o izbor tima za procjenu rizika uključuje kombinaciju poslovnih i tehnoloških sudionika
  • 47. PRIKAZ GLAVNIH KATEGORIJA SIGURNOSNIH PROIZVODA ZAŠTITA PODATAKA I UPRAVLJANJE PRIVATNOŠĆU SIGURNOST INFRASTRUKTURE VOĐENJE, RIZIK I UPRAVLJANJE USKLAĐENOSTI UPRAVLJANJE IDENTITETOM I PRISTUPOM APLIKATIVNA SIGURNOST SIGURNOST KRAJNJIH TOČKI UPRAVLJANJE RIZIKOM I USKLAĐENOST UPRAVLJANJE IDENTITETOM - penetracijsko testiranje aplikacija - testiranje/skeniranje aplikacija i koda - vatrozidi web aplikacija - sigurnost servisno orijentirane arhitekture (SOA) - osobni vatrozidi - antivirus, antspyware, antiadware, - detekcija upada na računala / preventivni servisi - sigurnost mobilnih uređaja - procjena usklađenosti - upravljanje prijetnjama i ranjivošću - eDiscovery i arhiviranje - katalog usluga - korisničko provizioniranje SIGURNOST SADRŽAJA MREŽNA SIGURNOST SIGURNOST OPERACIJA KONTROLA PRISTUPA - email sigurnost - filtriranje web sadržaja - ostali kanali (IM, P2P) - kontrola mrežnog pristupa - detekcija upada na mrežu / preventivni servisi - vatrozidi - virtualne privatne mreže - unificirano upravljanje prijetnjama - bežična sigurnost - sigurnosni incident / upravljanje događajima - forenzika - upravljanje logovima događaja - upravljanje sigurnosnim konfiguracijama - centri sigurnosnih operacija - kontrola pristupa temeljena na ulogama SIGURNOST PODATAKA SIGURNOST DATA CENTRA KONTINUIRANOST POSLOVANJA - ERM - enkripcija diskova / datoteka - PKI - DLP - storage sigurnost - sigurnost baze podataka - sigurnost u cloudu - sigurnost virtualizacije - servisi oporavka poslovanja - fizička sigurnost
  • 48. TRANSFER RIZIKA PREPORUKA: RISK MANAGERI TREBAJU UZETI U OBZIR RJEŠENJA TRANSFERA RIZIKA KAO DIO NJIHOVE SVEUKUPNE STRATEGIJA UPRAVLJANJA DIGITALNIM RIZICIMA OVO ZNAČI: o priznavanje činjenice da većina tradicionalnih polica osiguranja ne pokriva digitalne rizike o svijest raspona cyber - proizvoda osiguranja koji su trenutno dostupni te praćenje razvoja novih proizvoda o izvještavanje o sigurnosnim incidentima i osiguravanje dostupnosti industrijskih podataka
  • 49. UPRAVLJANJE KOMPLEKSNOŠĆU PREPORUKA: RISK MANAGERI MORAJU IGRATI ZNAČAJNU ULOGU U OBLIKOVANJU ISTRAŽIVANJA OKO DIGITALNIH RIZIKA, POMAŽUĆI ZNANSTVENICIMA DA RAZUMIJU IZAZOVE U IZRADI UČINKOVITE I PRAKTIČNE ODLUKE OKO CYBER PRIJETNJI DETALJNIJE: o promicanje svijesti o složenoj međusobnoj ovisnosti između poslovnih rizika, ljudskog faktora, pravnih pitanja i tehnoloških trendova o poticanje istraživanja o digitalnim rizicima
  • 50. osobne identifikacijske informacije zaštićene zdravstvene informacije brojevi kreditnih kartica i/ili financijske informacije intelektualno vlasništvo (patenti, autorska prava. zaštitni znakovi) trgovački planovi – poslovni planovi, liste korisnika itd. podatke o poslovnim partnerima PODATKE KOJE JE POTREBNO ZAŠTITITI KOJI SU TO OSJETLJIVI PODACI?
  • 51. KRATKOROČNI RIZICI KOJE TREBA ZAŠTITITI o gubitak podataka i upravljanje zapisima o gubitak kupaca o financijski gubitak [u slučaju krađe] o neposredan gubitak dobiti o obavijest onima koji su pogođeni gubitkom podataka o zaštita od krađe identiteta o ponovno izdavanje kompromitiranih kartica o odvjetničke naknade o kratkoročni investicije
  • 52. DUGOROČNI RIZICI KOJE TREBA ZAŠTITITI o šteta nanesena reputaciji branda o gubitak radnih mjesta o odvjetničke naknade za vrijeme istrage i suđenja o ažuriranje sustava o istraživanje i popravljanje ranjivosti o nadzor nad kreditima
  • 53. CYBER OSIGURANJE CYBER OSIGURANJE JE OSMIŠLJENO KAKO BI UBLAŽILO GUBITKE OD RAZNIH CYBER INCIDENATA, UKLJUČUJUĆI POVREDU PODATAKA, PREKID POSLOVANJA I ŠTETE NA MREŽI. Robusno tržište cyber osiguranja može pomoći smanjiti broj uspješnih cyber napada: 1) promovirajući usvajanje preventivnih mjera u zamjenu za veću pokrivenost; i 2) poticanjem provedbe najboljih praksi bazirajući premiju na razini samozaštite osiguranika. Mnoge tvrtke se odriču raspoloživih polica, navodeći kao razloge percepciju visoke cijene takvih politica, neznanje o tome što one pokrivaju kao i neizvjesnost da će njihove organizacije pretrpjeti cyber napad.
  • 54. KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA ODGOVORA NA INCIDENT IZRADITI PISANI PLAN ODGOVORA NA INCIDENT Cyber insurance tvrtkama nudi: o pomoć kod upravljanja "posljedicama" gubitka podataka / sigurnosnog incidenta o tim za odgovor na incident o Voditelja gubitka podataka o pomoć u otkrivanju i izvještavanja te obavještavanju onih koji su zahvaćeni gubitkom vaših podataka / sigurnosnim incidentom
  • 55. KORISTITE CYBER INSURANCE KAO KOMPONENTU PLANA ODGOVORA NA INCIDENT PRAVILO I: UPRAVLJANJE RIZIKOM NEĆE AUTOMATSKI ELIMINIRATI RIZIK ALI ĆE POMOĆI SMANJENJU RIZIKA NA MINIMALNU PRIHVATLJIVU VRIJEDNOST PRAVILO II: U SVOJOJ OSNOVI OSIGURANJE JE PRIJENOS RIZIKA Cyber rysk polica osiguranja koja uključuje pokrivenost odgovora na incident [odnosno, servis odgovora na gubitak podataka] nudi odličnu startnu točku rješenja sveobuhvatnog upravljanja rizicima u trenucima tijekom incidenta kada se sve odvija jako brzo.
  • 56. POKRIĆA CYBER RISK POLICA • Zaštita od odgovornosti • Virus / hacking odgovornost (cyber odgovornost) • Povreda IP (odgovornost medija) • Odgovornost / pogreške i propusti • Obavijest o proboju zaštite • Sistemska šteta • Prekid poslovanja • Cyber crime • Zaštita branda / krizni management Odgovornost treće strane Gubitak prve strane
  • 57. OSNOVNA POKRIĆA CYBER RISK POLICA ZAŠTITA OD ODGOVORNOSTI • Šteta pretrpjela zbog drugih prikupljanjem ili otkrivanjem povjerljivih informacija ODGOVORNOST MEDIJA • Šteta pretrpjela zbog drugih radi nedovoljne sigurnosti svoje mreže i medija. CYBER-IZNUDA • troškovi istrage i potražnje zbog iznude [ograničeno pokriće za otkupninu i konzultantske troškove zbog krize] POKRIVENOST ZAŠTITE OD ODGOVORNOSTI NE ZAHTIJEVA NEMAR OD STRANE OSIGURANIKA I PRUŽA POKRIVENOST ZA NAMJERNE RADNJE ZAPOSLENIH OSIGURANIKA
  • 58. OSNOVNA POKRIĆA CYBER RISK POLICA REGULATORNA OBRANA • Pravni savjetnik za regulatorne akcije uključujući pokrivenost novčane kazne i kazne gdje je dopuštena. TROŠKOVI DOGAĐAJA / PROBOJA • Troškovi u skladu s raznim zakonima povreda obavijesti i propisima, uključujući pravnu štetu, call centara, nadzor kreditnih kartica i forenzičke istrage. VLASNIŠTVO NAD PODACIMA • Vrijednost podataka ukradenih , uništenih ili oštećena na napadnutom računalu PREKID POSLOVANJA • Poslovni prihodi koji je prekinut računalnim napadom ili neuspjeh tehnologije, uključujući i dodatni trošak.
  • 59. GUBICI PRVE STRANE Troškovi prekida poslovanja Troškovi upravljačke krize i odnose s javnošću Obavijesti o proboju privatnosti i troškovi praćenja kreditnih transakcija Troškovi povezani s krađom ili vandalizmom mrežne infrastrukture ili sustava Nadogradnje u mrežnoj sigurnosti
  • 60. GUBICI TREĆE STRANE Objavljivanje informacija o incidentu: neovlašteni pristup ili prenošenje privatnih informacija trećoj strani Sadržaj informacija o incidentnu: autorska prava, zaštitni znak, poslovne tajne ili druga potraživanja intelektualnog vlasništva Ugled incidenta: tužba , ogovaranje , kleveta , invazija potraživanja privatnosti Sustav incidenta: sigurnosni propusti ili virusi koji se prenose i kompromitiraju računalne sustave trećih osoba Pristup za osobe s oštećenim sustavima: kupci ne mogu pristupiti svojim računima ili informacijama
  • 61. GUBICI PRVE STRANE U ZAHTJEVU TREĆE STRANE Često će zahtjev za odgovornosti treće strane uključivati ​​izravne gubitke od osiguranika Treća strana police cyber odgovornosti može osigurati pokrivenost za određene izravne gubitke povezane sa zahtjevom ( ili potencijalnog zahtjeva ) od strane treće osobe To može uključivati: • Povredi sigurnosnih obavijesti • Troškovi kreditnog praćenja • Krizni menadžment i savjetovanje
  • 62. ŠEST ODVOJENIH KLAUZULA OSIGURANJA 1. Nezakonito tehnološki sigurnosno djelo 2. Nezakonito djelo privatnosti 3. Kršenje privatnosti informacija 4. Nezakonito djelo prema web informacijskom mediju 5. Gubici iznude od tehnoloških prijetnji 6. Gubici restauracije podataka nakon kršenja
  • 63. CYBER OSIGURANJE – PRIJEDLOG MODELA MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA CILJANIH KLIJENATA. Početne pretpostavke modela: o namjerne i nenamjerne štete koje nastaju na području informacijske sigurnosti kontinuirano rastu, te većina stručnjaka smatra da će se takav trend i nastaviti pa čak i pojačati čemu u prilog govore i predstavljeni podaci i gubici nastali iz takvih događaja; o područje informacijske sigurnosti različito je zakonski regulirano i percipirano od strane upravljačkog kadra nad državnim institucijama, bankarskom sektoru, sektoru operatera telekomunikacijama, te ostalim organizacijama
  • 64. CYBER OSIGURANJE – PRIJEDLOG MODELA MODEL U SKLADU S RAZVOJIMA NA TRŽIŠTU OSIGURANJA EU I SAD GDJE IMA POSTORA ZA OSMIŠLJAVANJE DODATNIH IDEJA I KREIRANJE MODELA OSGURANJA PREMA POTREBAMA CILJANIH KLIJENATA. Početne pretpostavke modela: o informacijska sigurnost sastoji se od više dijelova kod kojih segmentacija na manje ponekad postaje teška, odnosno, nije jednostavno utvrditi jasne procese i okvire upravljanja o IT je samo jedna komponenta nad kojom se otvara najviše mogućnosti razvoja proizvoda osiguranja o postoji prostor za razvoj više različitih modela koji se mogu prilagoditi potrebama osiguravajućih kuća i trećih strana, a s ciljem umanjenja rizika za financijskim gubicima, odnosno, s ciljem ostvarivanja povećanja dobiti
  • 65. KOMPONENTE MODELA OSIGURANJA NAJVEĆA RAZLIKA IZMEĐU STANDARDIZIRANIH MODELA OSIGURANJA I ONIH NA PODRUČJU INFORMACIJSKE SIGURNOSTI JEST IDEJA SURADNJE TREĆIH STRANA KOJE SU SPECIJALIZIRANE NA PODRUČJE SIGURNOSTI TE OSIGURAVAJUĆIH KUĆA. Razlika se oglede u sljedećem: 1. Osiguravajuća kuća trećoj strani može prema unaprijed definiranim pravilima povjeriti provjeru razine stanja sigurnosti potencijalnog klijenta čime dobije profesionalno i sigurno mišljenje; 2. Osiguravajuća kuća klijentu može ponuditi model prema kojemu se upravljanje incidentnom prepušta trećoj strani pri čemu klijent ne stvara dodatne troškove [„pokriva osiguranje”] dok se rad treće strane može unaprijed definirati ugovorima s osiguravajućom kućom. Koncept za klijenta: osiguraj se ako zadovoljiš naša pravila, a a ukoliko se dogodi incident treća strana će profesionalno riješiti incident kako bi nastala najmanja moguća šteta.
  • 66. KOMPONENTE MODELA OSIGURANJA 3. Ovisno o definiranim pravilima s trećom stranom, klijentima se nameće smanjivanje rizika na način da preporuke daje treća strana čime se u konačnici dovodi i do smanjivanja rizika za osiguravajuće društvo. 4. Treća strane može u suradnji s osiguravajućim društvom ponuditi nekoliko različitih modela suradnje: 1. Kontinuirani nadzor IT infrastrukture 2. Sustav ranog upozoravanja 3. Provjera ranjivosti i penetracijsko testiranje [interno i eksterno] 4. Revizija informacijske sigurnosti 5. Appgate access kontrola 6. Intelligence management 7. Analiza izvornog koda web aplikacija 8. Kontrola pristupa računalnim periferijama
  • 69. CYBER ESSENTIALS FOKUSIRAN NA 5 PITANJA o Firewalli i Internet Gateway uređaji o Sigurnosne konfiguracije o Pristupne kontrole o Zaštita od malware-a o Upravljanje nadogradnjama
  • 70. ZADOVOLJAVANJE UVJETA ZA OSIGURANJA DEFINIRANJE POČETNIH UVJETA OSIGURANJA JE PRIMARNO ŠTO SLUŽI I MODELU IZRAČUNA PREMIJE. NAIME, PITANJE KOJE SE POSTAVLJA NA PODRUČJU INFORMACIJSKE SIGURNOSTI JEST ŠTO SE ZAPRAVO OSIGURAVA. Prijedlozi: o Razdvojiti modele na tri osnovna područja: informacijska sigurnost u širem smislu, informacijska sigurnost na segmentu IT-a, te zasebno definirana područja prema potrebama klijenta [npr. Internet bankarstvo, baze podataka i sl.] o definirati područje pokrivanja osiguranjem za dva osnovna segmenta: • aktiviranje korištenja treće strane u slučaju incidenta • pokrivanje direktno nastalih šteta
  • 71. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE • pokrivanje direktno nastalih šteta:  pokrivanje pravnih posljedica [npr. Zakon o zaštiti osobnih podataka]  pokrivanje štete za otkrivanje / krađu podataka ili uništavanje imovine za koju se unaprijed može definirati vrijednost. o definirati prihvaćanje uvjeta i/ili standarda kojima se jamči smanjivanje rizika nastajanja šteta [npr. ISO 27001, PCI DSS i sl., ovisno o područjima] o identificirati koji se postojeći modeli osiguranja i u kojoj mogu iskoristiti unutar područja informacijske sigurnosti [npr. osiguranje od odgovornosti]
  • 72. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 1: INFORMACIJSKA SIGURNOST o definirane i primjenjive organizacijske pretpostavke [Sigurnosne politike i procedure] o definirane i primjenjive procedure unutar informacijskog sustava za standardna područja upravljanja sigurnošću o izvršena provjera s preporukama
  • 73. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 2: SIGURNOST IT SUSTAVA o definirane i primjenjive organizacijske i tehničke pretpostavke [Sigurnosne politike i procedure] o definirane i primjenjive procedure unutar IT-a za standardna područja upravljanja sigurnošću o izvršene tehničke provjere s preporukama
  • 74. ZADOVOLJAVANJE UVJETA ZA OSIGURANJE PODRUČJE 3: ZASEBNI DIJELOVI SUSTAVA o definirane i primjenjive mjere koje se odnose na zasebni sustav [npr. Interne bankarstvo] o izvršene tehničke provjere prema definiranim mjerama
  • 75. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Osiguravatelji se boje "cyber-uragana" - velike katastrofe koja bi rezultiralo velikim brojem odštetnih zahtjeva. o Cyber-uragani predstavljaju neizvjesnu opasnost od vrlo velikih gubitaka, i kao takvi su osigurateljima vrlo teški za planiranje. o Budući su računalni sustavi ovisni i standardizirani, imaju tendenciju da su posebno osjetljivi na povezane gubitke. o Taj strah povećava premije osiguranja, jer se osiguratelji koncentriraju na procjenu očekivanog gubitka najgoreg mogućeg slučaja, a kako bi održali profitabilnost. CYBER URAGAN
  • 76. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Osim toga, "cyber-uragani" podižu barijere za ulazak na tržište osiguranja, jer osiguratelj doslovno može biti izbrisan ako se veliki događaj dogodi prije nego što su izgradili dovoljno novčanih rezervi. o Cijena privatnog tržišta reosiguranja za cyber osiguravatelje je izuzetno visoka jer se strah od "cyber- uragan" osjeća najviše u zajednice reosiguratelja. CYBER URAGAN
  • 77. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Cyber osiguranje je relativno novo područje te su osiguravatelji suočeni s nedostatkom aktuarskih podataka kojima bi mogli izračunati premije. o Osim dodatnog povećanja cijena, nedostatak podataka dovodi do problema s analizom rizika poduzete od strane tvrtke prilikom odlučivanja hoće li osiguranje protiv rizika vrijedno. o Nedostatak podataka također dovodi do toga da je cyber osiguranje nepoželjno tvrtkama, dok se istovremeno povećava cijena cyber-osiguranja. NEDOSTATAK AKTUARSKIH PODATAKA
  • 78. RAZLOZI NERAZVIJENOG TRŽIŠTA CYBER OSIGURANJA o Cyber osiguranje je relativno novo područje te su osiguravatelji suočeni s nedostatkom aktuarskih podataka kojima bi mogli izračunati premije. o Osim dodatnog povećanja cijena, nedostatak podataka dovodi do problema s analizom rizika poduzete od strane tvrtke prilikom odlučivanja hoće li osiguranje protiv rizika vrijedno. o Nedostatak podataka također dovodi do toga da je cyber osiguranje nepoželjno tvrtkama, dok se istovremeno povećava cijena cyber-osiguranja. NEDOSTATAK AKTUARSKIH PODATAKA
  • 79. ZAKLJUČAK Ekonomska kriza povećava cyber rizike Odlijevanje kvalitetnog kadra na „drugu stranu” Područje cyber security-ja je kompleksno i zahtijeva značajnu i kontinuiranu investiciju u opremu, ljude i znanje Specijalizirane tvrtke su dodatan nužan izvor sigurnosti uz vlastitu samozaštitu Cyber osiguranje je dodatna zaštita u slučaju cyber napada Cyber osiguranje uz specijaliziranu cyber security tvrtku nudi optimalnu zaštitu kroz različite modele suradnje