Korunk egyik legnagyobb vívmánya az információk hálózatba kötése, egyszerű és gyors elérhetősége. Ez azonban azt is jelenti, hogy nincs olyan profilú és méretű szervezet, ami ne lenne kitéve azok támadásainak, akik ezekkel az információkkal vissza akar élni.

Naivitás azt feltételezni, hogy a kiberbűnözők célkeresztjében kizárólag azok a nagyvállalatok, szervezetek állnak, akik kifejezetten érzékeny adatokat kezelnek, illetve akik sikeres megtámadása a legnagyobb profittal kecsegtet. A hackerek folyamatosan a leggyengébb láncszemeket keresik, az online szféra azon jelentéktelennek tűnő szereplőit, akiken keresztül megnyílhat az út a már kifejezetten vonzó zsákmányt jelentő, rengeteg adatot kezelő óriásokig. Az elmúlt hónapok példái kiválóan megmutatták, hogy ezeknek a bűnözőknek semmi sem szent: az USA egészségügyi szektora lényegében folyamatos támadás alatt áll egy jó ideje, egyre gyakoribbak az olyan események, melyek akár napokra ellehetetlenítik teljes kórházak működését. A közelmúlt egyik „slágere” ebben a tekintetben a ransomware-nek nevezett zsarolóvírusok térnyerése, melyek egy-egy egészségügyi ellátóközpont IT infrastruktúrát teljes vagy részleges blokk alá helyezik, amíg az intézmény nem fizeti ki a „váltságdíjat”. Közel sem csak az adott kórház likviditása van veszélyben, életmentő műtétek, dialízisek, fontos vizsgálatok válnak lehetetlenné, lényegében az egész intézmény lebénul, a zsarolóknak szemmel láthatóan mindegy, hány életet veszélyeztetnek a haszonszerzés reményében.

A már jelenleg is igen súlyos helyzetet az IoT (Internet of Things) exponenciális növekedése csak tovább fogja súlyosbítani a közeljövőben, a hálózatra kötött eszközök ugyanis mind potenciális rést jelentenek az adott szervezet biztonsági rendszerében, 2020-ra egyes előrejelzések szerint egy főre 6 ilyen eszköz esik majd. De ne álljunk meg itt, a napokban tartott 2017 Cyber Liability Symposium egyik vezérszónoka, Pieter Zatko előadásában megjegyezte, egy korszerű vadászgép pillanatnyilag 3500 olyan alkatrésszel, alrendszerrel rendelkezik, melyek direkt vagy indirekt módon az Internetre kapcsolódik. Zatko elég hiteles forrásnak tekinthető, személyében egy jó ideje az USA szövetségi kormányának alkalmazásában lévő, elismert „etikus hackert” tisztelhetünk. Visszatérve a vállalatok fenyegetettségének területére, a kibertámadások okozta konkrét károk mellett közvetett problémákkal is számolni kell, mint például az adott cég reputációján esett csorba, melyek jellemzően fejek hullásához, és újragondolt kibervédelmi stratégia alkalmazása helyett gyors, pánikszerű látszatintézkedésekhez, kontraproduktív folyamatokhoz, vagy akár az adott cég teljes bedőléséhez is vezet.

Ezt a piacon működő szervezetekre súlyosbodó nyomást csak tovább fokozza a szabályozói környezet rugalmatlansága, nehézkes reakcióideje, melyek sok esetben csak futnak a problémák után, teljesen ignorálják azokat, de arra is van példa, hogy az inkább politikai kommunikációs célokat szolgáló intézkedések egyenesen további terheket ró a kibertámadások potenciális vagy aktuális elszenvedőire. Az általános tapasztalat inkább azt mutatja, hogy a mindenkori törvényhozásnak ugyan foglalkozni kell a kibertámadások okozta fenyegetéssel, de célszerű ezt szigorúan naprakész szakértők bevonása mellett, és az alapvető területekre szorítkozva – mint például a személyiségi jogok védelme, a felelősségi körök egyértelmű definiálása – tennie. Csak egy példát mondva egyre több országban vetődik fel a kötelező kiberbiztosítás ötlete, ami alapvetően nem hangzik rossz gondolatnak. Ha azonban jobban belegondolunk, a gyakorlati megvalósítás sok problémát vetne fel: egy ilyen törvény vélhetően előírná a kötelezően igénybe vehető biztosítás követelményeit, a kiberfenyegetések és az információtechnológia gyors evolúciója mellett azonban jó eséllyel már életbelépése előtt elavulttá válna ez a követelményrendszer. Az állam jellemzően sehol nem tud olyan rugalmasan és gyorsan reagálni, amit ez a problémakör megkövetel, sok esetben egyes vállalatok sem képesek erre. Az utóbbi megállapítást figyelembe véve ugyanakkor mégis jobb gyakorlatnak tűnik, hogy az egyes piaci szereplők saját szakértelműket és tapasztalataikat összevetve alakítják ki, és tartják folyamatosan karban ezeket a sztenderdeket, és adott esetben ugyanúgy megkövetelik potenciális partnereiktől ezek alkalmazását, mint ma teszik azt számos egyéb biztosítás, minősítés esetében.

A túlzott állami szerepvállalás ellen szól az is, hogy még a piaci szereplők, biztosítók és vállalatok, illetve szervezetek számára is óriási fejtörést okoz, pontosan mi tartozik a kiberbiztosítás hatálya alá. Maradva a fejlett piacok példájánál, az USA-ban jelenleg 70 biztosító kínál kiberbiztosítást, és gyakorlatilag nincs két egyforma konstrukció. Nem csoda, hiszen ahogy a kiberkockázatok szinte hónapról-hónapra változnak, úgy alakul az adott vállalatok kitettsége is ezeknek, vagyis az az elképesztően problémás helyzet áll elő sok esetben, hogy még azok sem védettek, akik rendelkeznek kiberbiztosítással. Itt csak és kizárólag a biztosítási forma sztenderdizálódása vezethet eredményre, ami ismételten csak és kizárólag a biztosítási lánc valamennyi szereplőjének fokozott és folyamatos együttműködése esetén alakulhat ki és tartható fenn.

Érdekes módon egy belső, vállalati akadály is áll sok esetben a kiberbiztosítások alkalmazása előtt, ez pedig a cégek IT vezetőnek, munkatársainak, szakértőinek az ellenállása. Szerencsére azt látni, hogy ez a trend lassan letörik, ahogy egyre többen belátják, hogy ez a biztosítási forma nem ellenük irányul, sőt minden eddiginél aktívabb szerepvállalásukat teszi szükségessé, de még mindig jelentős azok tábora, akik saját munkájuk kritikáját látják benne. Roppant káros hozzáállás, tekintve, hogy a kiberbiztosítás léte egyfelől megerősítést jelent abban a tekintetben, hogy a vállalatvezetés abszolút felismeri az érintett szakemberek munkájának szükségességét, hovatovább olyan sztenderdek alkalmazására kötelezheti a vállalatot, melyek épp az ő munkájukat könnyítik meg, sőt hatékonyan hozzájárulhatnak a kármegelőzéshez éppúgy, ahogy egy lakásbiztosítás előírja az érintett ingatlan megfelelő védelmét, melyet a tulajdonosnak kell megvalósítania. Nem utolsósorban arra is érdemes az érintett szakembereknek tekintettel lenniük, hogy a kiberbiztosítás lényegében őket is védi, amennyiben annak előírásait minden kezükben lévő eszközzel betartani, betartatni igyekeztek.

Ehhez kapcsolódóan a kiberbiztosítás abban is komoly szerepet tölthet be, hogy a káresetet követően minél gyorsabban enyhíthetőek legyenek a negatív hatások, minél hamarabb vissza tudjon állni a szokásos ügymenet. Nem kizárólag az érintettek kártalanítását kell ez alatt érteni, hanem azokat az előre leegyeztetett protokollokat, eljárásrendeket, cselekvési terveket, melyek az adott incidenstől függően előírják az alapvető tennivalókat, segítve az esetleges kezdeti pánik eluralkodásának megakadályozását. /forrás.biztositasiszemle.hu/