Ubezpieczenie cyberbezpieczeństwa – co to jest i dlaczego go potrzebuję?

Cyberprzestępczość kosztuje globalne firmy 450 miliardów dolarów rocznie, zgodnie z najnowszymi badaniami Hiscox Insurance opartymi na danych z 2016 roku. Jednak wiele firm wciąż nie zdaje sobie sprawy z powagi tego zagrożenia.


W tym przewodniku dotyczącym ubezpieczenia w zakresie bezpieczeństwa cybernetycznego omówię, co to jest, dlaczego go potrzebujesz, oraz inne przydatne wskazówki, których możesz użyć, aby chronić siebie i swoją firmę.

Co to jest cyberbezpieczeństwo?

Cyberbezpieczeństwo to ochrona przed przestępczym lub nieuprawnionym wykorzystaniem danych oraz środki podjęte w tym celu.

Ponadto cyberbezpieczeństwo obejmuje techniki przeciw bezpieczeństwu całej sieci komputerowej; to oprogramowanie i dane z wyżej wymienionych uszkodzeń i nieautoryzowanego dostępu.

Koszt cyberprzestępczości

Jak wspomniano, cyberprzestępczość kosztuje globalne firmy 450 miliardów dolarów rocznie. Liczba ta jest tak znacząca, że ​​może wydawać się poza zasięgiem większości ludzi. Aby skala problemu była bardziej powiązana, być może łatwiej jest rozważyć wpływ jednego z wielu głośnych cyberataków - tego, który uderzył w agencję informacji kredytowej Equifax w USA.

To naruszenie bezpieczeństwa spowodowało, że 143 miliony Amerykanów ujawniły swoje dane osobowe hakerom. Dane osobowe, w tym daty urodzenia, adresy domowe i numery ubezpieczenia społecznego. Ponad 200 000 konsumentów dotkniętych naruszeniem ujawniło również numery swoich kart kredytowych.

Liczba obywateli USA dotkniętych tym naruszeniem była bardzo zbliżona do połowy populacji Ameryki. Co więcej, nie był to pierwszy tak duży cyberatak i jest mało prawdopodobne, aby był ostatnim.

Czasami wydaje się, że ludzie stają się odczulani na takie zdarzenia związane z bezpieczeństwem IT. Relacje prasowe po ataku Equifax sugerowały, że pomimo obaw związanych z wpływem cyberataku, mniej niż jedna na pięć osób faktycznie zrobiła wszystko, aby wzmocnić bezpieczeństwo swoich danych osobowych. Możemy jednak być pewni, że gdy tylko dotknięte nią osoby staną się ofiarami kradzieży tożsamości lub straty finansowej, natychmiast będą szukać możliwości odwołania się.

Dlatego w świecie, w którym cyberprzestępczość kwitnie (pamiętajmy raz jeszcze, że 450 miliardów dolarów), ubezpieczenie cyberbezpieczeństwa zyskuje również na popularności wśród firm każdej wielkości. Słusznie starają się uchronić przed stratami finansowymi i problemami prawnymi, jeśli i kiedy staną się kolejnymi Equifax.

Wzrost Cyberbezpieczeństwa

Ubezpieczenie cyberbezpieczeństwa jest produktem ubezpieczeniowym, który historycznie powoli opuszczał bloki startowe, przede wszystkim ze względu na trudność w wyeliminowaniu związanego z tym ryzyka oraz stale zmieniający się charakter zagrożeń dla systemów informatycznych firmy. Wpis w Wikipedii dotyczący cyberbezpieczeństwa odnosi się do rynku takich ubezpieczeń rosnącego znacznie wolniej niż oczekiwano dziesięć lat temu.

Przychody premium wzrosły 35% między 2015 a 2016 r

Mimo to raporty pokazują, że w ubiegłym roku ponad 130 firm ubezpieczeniowych dodało cyberbezpieczeństwo do swoich produktów. Jest to coraz bardziej rodzaj zasięgu, który firmy różnej wielkości muszą wziąć pod uwagę, aby chronić je, gdy i pomimo ich najlepszych starań stają się kolejną ofiarą rosnącej na świecie armii hakerów i cyberprzestępców.

W tym momencie możesz zastanawiać się, czy Equifax ma ubezpieczenie cyberbezpieczeństwa. Niedługo po naruszeniu przedstawiciel firmy stwierdził, że „Equifax prowadzi cyberbezpieczeństwo, przestępczość, ogólną odpowiedzialność i inne ubezpieczenia”. Jednak doniesienia prasowe spekulują, że ubezpieczenie firmy, chroniące ich przed szkodami do 100-150 milionów USD, okaże się żałośnie niewystarczające, aby chronić ich przed pełnym skutkiem finansowym naruszenia bezpieczeństwa IT. Pozwy zbiorowe będą prawdopodobnie toczyć się jeszcze przez wiele lat.

Czy potrzebuję ubezpieczenia cyberbezpieczeństwa??

Odpowiedź „TL; DR” na pytanie, czy potrzebujesz ubezpieczenia Cyberbezpieczeństwa, brzmi prawdopodobnie „tak”, jeśli prowadzisz jakąkolwiek firmę powiązaną i chcesz lepiej spać w nocy.

Hiscox z brytyjskiego ubezpieczyciela podaje listę powodów, dla których firma może chcieć ubezpieczenia Cybersecurity, i obejmują one „poleganie na systemach komputerowych do prowadzenia działalności” oraz „posiadanie strony internetowej”. W dzisiejszych czasach to nie opuszcza pokój dla wielu wyjątków!

Chociaż to wydarzenia na dużą skalę cyberprzestępczości, takie jak hack Equifax, które trafiły na pierwsze strony gazet, i podobne zdarzenia, takie jak Yahoo! oraz brytyjską National Health Service, to zdecydowanie nie tylko duże organizacje, które stają w obliczu ataków hakerów i muszą poradzić sobie z następstwami. Jest to następstwo, które często może obejmować wpływ finansowy, szkody dla reputacji i operację czyszczenia, która ma ogromne zakłócenia w codziennej działalności.

Zastanów się: co roku hackowanych jest 60% wszystkich małych firm. Co więcej, te małe firmy nie mają zwykle zasobów, które ich większe odpowiedniki muszą im pomóc w odzyskaniu sił po incydencie z cyberprzestępczością. Zasoby te mogą obejmować wszystko, od dobrze wyposażonego zespołu informatycznego, aby zniszczyć szkody, po niezbędny bufor finansowy, aby przetrwać kryzys. Można więc argumentować, że mniejsze firmy potrzebują ubezpieczenia Cyberbezpieczeństwa tyle samo, jeśli nie więcej niż większe firmy.

Chociaż mogą nie trafić na pierwsze strony krajowych gazet, nie brakuje internetowych przykładów, w których cyberprzestępcy skutecznie z powodzeniem atakują małe firmy. Należą do nich incydenty, w których MŚP odkryły, że ich konta bankowe wyczerpały kwoty od około 20 000 USD do ponad 1 mln USD. W zależności od wielkości firmy jedna z sum może być wystarczająca do bankructwa firmy.

Często wymienianą statystyką cyberprzestępczości jest to, że 60% małych firm, które padły ofiarą cyberataku, nigdy się z niego nie odzyska i nie prowadzi działalności w ciągu sześciu miesięcy. Chociaż stopień dotkliwości ataku różni się w naturalny sposób, można śmiało powiedzieć, że firmy każdej wielkości powinny poważnie traktować zagrożenia cybernetyczne i wykupić ubezpieczenie, aby się chronić.

Czy moja firma się kwalifikuje??

Szybkie wyszukiwanie w Internecie cyberbezpieczeństwa daje wiele możliwości, w tym wiele skierowanych do małych firm. W wielu przypadkach zasady te są tanie, nawet nie przekraczając trzycyfrowej kwoty za każdą miesięczną płatność składki. Zastanawiamy się dokładnie, jaki poziom pokrycia rzeczywiście to uzyska, więc czytanie drobnego druku jest oczywiście fundamentalne.

Podobnie jak w przypadku wielu rodzajów ubezpieczeń, warto rozmawiać z brokerem, który naprawdę rozumie twój biznes. Podczas gdy rodzaj „jednego rozmiaru dla wszystkich” z niskimi składkami, które pojawiają się w typowej wyszukiwarce Google, może pozwolić ci zaznaczyć pole z informacją, że masz ubezpieczenie cyberbezpieczeństwa, mając pełną pewność, że rzeczywiście ochroni Twoją firmę, to zupełnie inna sprawa.

Jeśli zastanowisz się nad tym, szybko stanie się jasne, dlaczego tak ważne jest, aby wybrać odpowiednią polisę ubezpieczeniową, jeśli zdecydujesz się wykupić cyberbezpieczeństwo. Jeśli znajdziesz usługodawcę internetowego, który chętnie zaoferuje taką samą ogólną polisę na ubezpieczenie cybernetyczne firmom o bardzo różnych modelach biznesowych, prawdopodobnie nie patrzysz na świetną polisę. Firma z jednym komputerem, który nie przechowuje dużo danych osobowych, jest znacznie mniej narażona na ryzyko niż firma, która sprzedaje online i przetwarza i przechowuje dane karty kredytowej. Wpływ ataku byłby również znacznie inny.

Być może więc nie chodzi o to, czy Twoja firma kwalifikuje się do ubezpieczenia cybernetycznego, a bardziej o znalezienie ubezpieczenia, które rzeczywiście jest warte papieru, na którym jest napisane. Nie będziesz mieć problemów ze znalezieniem firmy, która sprzedałaby ci cyberbezpieczeństwo, ale możesz mieć więcej trudności ze znalezieniem takiej, która niezawodnie wypłaci w przypadku roszczenia. Oczywiście dotyczy to wszystkich rodzajów ubezpieczeń

Zapewnienie ważności polisy

Podobnie jak w przypadku wszystkich polis ubezpieczeniowych, zwykle oczekuje się, że będziesz przestrzegać szeregu warunków, aby zapewnić, że twoje ubezpieczenie pozostanie ważne.

Odpowiednia (choć nieco nietypowa) analogia dotyczy ubezpieczenia rowerów. Zasady ochrony przed kradzieżą rowerów są łatwe do uzyskania, ale ich niewielki druk często ujawnia szereg obowiązków, które ubezpieczający musi spełnić, aby uzyskać ochronę. Zazwyczaj obejmuje to stosowanie standardowej blokady rowerowej i upewnienie się, że rower jest przymocowany do nieruchomego obiektu, nawet gdy jest przechowywany w domu.

Często zdarza się, że ubezpieczenie spełniające zobowiązania polisy okazuje się tak kosztowne i czasochłonne jak zakup samej polisy, a podobnie jest z ubezpieczeniem Cyberbezpieczeństwa. Ostatnie badanie rynku ubezpieczeń cyberbezpieczeństwa w Szwecji wykazało, że wielu ubezpieczycieli „narzuca swoim klientom wymagania w zakresie bezpieczeństwa informacji i IT”.

Dlatego nie ma sensu kupować ubezpieczenia i nie czytać drobnego druku - co dotyczy każdego rodzaju ubezpieczenia. Jeśli nie spełnisz swoich obowiązków, ubezpieczenie może stracić ważność.

Kiedy warto ubezpieczenie cyberbezpieczeństwa??

Podobnie jak w przypadku wszystkich ubezpieczeń biznesowych, rozsądną ogólną zasadą jest to, że jeśli ubezpieczenie cyberbezpieczeństwa jest niedrogie i chroni przed znacznym ryzykiem finansowym, warto mieć.

Warto jednak wspomnieć, że niektóre firmy prawdopodobnie potrzebują tego bardziej niż inne. Jeśli przechowujesz i przetwarzasz dane finansowe klientów, prawdopodobnie głupotą jest nie ubezpieczanie się od ryzyka cybernetycznego. Firmy z niewielką obecnością w Internecie i bez ekspozycji finansowej mogą chcieć bardziej zrelaksowanego podejścia. Jednak nawet najmniejsze firmowe konta bankowe mogą stać się celem hakerów. Ponadto składki dla przedsiębiorstw o ​​mniej postrzeganym ryzyku powinny, przynajmniej teoretycznie, być znacznie niższe.

Istnieje również potencjalny aspekt polityczny do rozważenia. Jeśli Twoja firma porusza się w kręgach, których nie znoszą hakerzy i cyberprzestępcy - na przykład coś, co uważa się za zbyt bliskie „establishmentowi”, lub cokolwiek, co można by odnieść do ograniczenia wolności, hakerzy mogą stworzyć dla Ciebie specyficzną linię - więc to jest coś zawsze pamiętać.

Interesującą ostatnią statystyką, którą należy podnieść w tym momencie, jest to, że tylko 10% brytyjskich MŚP zorganizowało cyberbezpieczeństwo w momencie pisania. Jednak prognozy wzrostu dla tej branży wskazują, że fala się zmienia i że coraz więcej osób zdaje sobie sprawę z jej potrzeby.

Ochrona zawarta w typowej polisie cyberbezpieczeństwa często może brzmieć bardzo imponująco. Zwykle obejmuje takie rzeczy jak:

  • Wypłata okupu w przypadku ataku ransomware.
  • Zakres zakłóceń w działalności gospodarczej.
  • Pokrycie kosztów prawnych związanych z każdym naruszeniem.
  • Utrata ochrony dochodów, gdy firma naprawia szkody.
  • Pokrycie kar nakładanych przez organy regulacyjne za naruszenia danych.
  • Koszty analizy sądowej.
  • Koszty monitorowania kredytu. (Bezpłatne monitorowanie kredytu finansowane przez Equifax dla wszystkich dotkniętych klientów po naruszeniu w 2017 r.).

Choć wszystko to brzmi imponująco, natura cyberbezpieczeństwa oznacza, że ​​nie wszystko to wchodzi w życie automatycznie, gdy tylko dojdzie do jakiegokolwiek naruszenia. Zazwyczaj w przypadku roszczenia Twoja firma ubezpieczeniowa będzie współpracować z Tobą w celu oceny szkód i pomocy w „zarządzaniu kryzysem”.

Zazwyczaj w polisach obowiązują również nadpłaty. Na przykład potencjalnie bardziej opłacalne może być opłacenie żądania ransomware w wysokości 350 USD niż nadwyżka polisy w wysokości 2000 USD za roszczenie. Warto więc pamiętać, że cyberbezpieczeństwo jest naprawdę po to, aby cię chronić, jeśli coś pójdzie strasznie źle, pomimo podjęcia odpowiednich środków ostrożności i robienia wszystkiego dobrze. Jego zadaniem nie jest uratowanie Cię przed każdym drobnym incydentem związanym z bezpieczeństwem IT. Nie oznacza to jednak, że nie warto tego robić.

Jeśli prowadzisz firmę, musisz przeprowadzić na tym własną analizę kosztów i korzyści oraz przeczytać wszystkie drobne informacje o wszelkich polisach, które Cię kuszą.

Sprawdzanie istniejącego ubezpieczenia

Przed podjęciem regularnych wydatków na inną polisę ubezpieczeniową warto sprawdzić, jakie ubezpieczenia już masz.

Wiele małych firm kupuje pakiety ubezpieczenia biznesowego „wszystko w jednym”, często pokrywając różne zobowiązania i odszkodowania. Czasami mogą one obejmować ubezpieczenia związane z IT, takie jak ubezpieczenie, które pomaga odzyskać po atakach wirusów.

Jest mało prawdopodobne, aby taka „pakietowa” polisa ubezpieczeniowa obejmowała pełne ubezpieczenie cybernetyczne, ale nadal warto sprawdzić, co już jesteś objęty ubezpieczeniem. Możesz zdecydować, że masz już odpowiednie ubezpieczenie na swoją sytuację osobistą i stosunek do ryzyka. Możesz też być w stanie obniżyć koszty ubezpieczenia w formie cyberbezpieczeństwa, jeśli jesteś już objęty niektórymi potencjalnymi sytuacjami.

Sprawdzanie umów ubezpieczeniowych zajmuje dużo czasu, a czasem może okazać się trudne znalezienie brokera, który nie jest po ich prowizji. Jednak czas poświęcony na przeprowadzenie odpowiednich badań i upewnienie się, że polisa jest prawidłowo ubezpieczona, jest lepszy i mniej stresujący niż czas spędzony na ściganiu roszczenia, które może nie zostać wypłacone w przypadku katastrofy.

Inne sposoby na uczynienie Twojej firmy „cyberbezpieczną”

Oczywiście nigdy nie chodzi o to, aby kupić odpowiednie ubezpieczenie cyberbezpieczeństwa, a następnie usiąść i zrelaksować się. Konieczne jest również zminimalizowanie ryzyka stania się ofiarą cyberataków i naruszenia bezpieczeństwa informacji.

Istnieje szereg technicznych kroków, które wszystkie rozsądne firmy powinny podjąć w celu ochrony swoich systemów. Jak wspomniano wcześniej, niektóre z nich mogą być obowiązkowe, aby Twoja polisa ubezpieczenia cybernetycznego zachowała ważność. Wkrótce przejdziemy do tych środków ostrożności. Ale najpierw porozmawiajmy o najważniejszej rzeczy, na której firmy powinny się skoncentrować, aby zmniejszyć szansę bycia ofiarą cyberataku:

Edukacja użytkowników

Największym punktem awarii w zakresie bezpieczeństwa cybernetycznego jest nieaktualne oprogramowanie antywirusowe, źle skonfigurowana zapora ogniowa lub niewydajny dział IT. Błędy popełniane przez pracowników korzystających z systemów komputerowych są głównym powodem, dla którego firmy padają ofiarą hakerów.

W jednym z ostatnich raportów stwierdzono, że ponad 90% „wszystkich cyberataków jest skutecznie przeprowadzanych przy użyciu informacji skradzionych pracownikom, którzy nieświadomie przekazują (…) dane uwierzytelniające hakerom”.

Jest to oszałamiająca liczba, która sprawia, że ​​dwukrotnie patrzysz, aby potwierdzić, że jest poprawna. Niestety tak jest. Nie oznacza to oczywiście, że pracownicy chętnie rozdają nazwy użytkowników i hasła. Zamiast tego hakerzy używają technik inżynierii społecznej i ataków phishingowych, aby nakłonić ludzi do nieświadomego przekazania im tych szczegółów.

Techniki phishingowe mogą mieć różny zakres, od surowych po pomysłowe. Czasami wystarczy przekonywujący e-mail z działu IT, aby przekonać członka personelu do przekazania danych logowania. Jedna nazwa użytkownika i hasło są często wszystkim, czego haker potrzebuje, aby uzyskać zdalny dostęp do sieci, a stamtąd mogą wykorzystywać inne luki i wykorzystywać inne techniki hakowania, aby zagłębiać się coraz bardziej - technika często nazywana „phishingiem włóczni”.

Wyłudzanie informacji jest czasem o wiele bardziej wyrafinowane, ponieważ dotyczy wiadomości e-mail, które przekonują ludzi, że ich konta bankowe lub PayPal zostały przejęte. Te e-maile prowadzą następnie do wiarygodnych stron logowania, które wyglądają jak prawdziwy artykuł. Następnie użytkownik musi tylko się zalogować, aby natychmiast przekazać swój adres e-mail i hasło.

Każdy, kto potrzebuje przekonania, jak wszechobecne są takie wiadomości phishingowe, musi tylko zajrzeć do folderu wiadomości-śmieci dobrze ugruntowanego konta e-mail. Takie wiadomości są wysyłane z alarmującą regularnością.

Phishing jest nadal „bronią z wyboru” dla hakerów ze względu na prosty fakt, że działa. Niezależnie od tego, czy jest to rozmowa telefoniczna, e-mail, czy przekonująca strona logowania do strony internetowej, hakerzy muszą nieustannie udoskonalać swoje metody i uczynić ich wystarczająco wiarygodnymi, aby oszukiwać ludzi.

Istotą tego wyjaśnienia jest podkreślenie zasadniczej roli edukacji użytkowników w utrzymywaniu bezpieczeństwa systemów informatycznych. Przykre jest jednak, że dowody sugerują, że wiele osób świadomie ignoruje takie porady. Jeszcze w styczniu 2017 r. Ujawniono, że ponad 50% osób używa łatwych do odgadnięcia haseł, takich jak „123456” - i dlatego wydaje się prawdopodobne, że wiele osób zamyka uszy, aby uzyskać porady na temat korzystania z unikatowych haseł dla różne konta.

Wszystko to sprawia, że ​​życie jest znacznie łatwiejsze dla hakerów.

Odpowiedzią na edukację użytkowników w zakresie cyberbezpieczeństwa jest uczynienie go czymś, co nie jest opcjonalne. Zamiast domagać się skomplikowanych haseł, wymuszaj ich użycie, konfigurując systemy tak, aby ich wymagały. W razie potrzeby zastosuj procedurę dyscyplinarną, gdy pracownicy odmawiają poważnego potraktowania swojej roli.

Konieczne jest również przeszkolenie personelu w zakresie sposobów, w jakie hakerzy będą próbować go przechytrzyć. Pokaż im przykłady fałszywych stron logowania do systemu PayPal i wiadomości e-mail wyłudzających informacje (nie są trudne do znalezienia.) Podaj statystyki wokół tego. Co najważniejsze, upewnij się, że wszyscy zdają sobie sprawę, że dział IT nie może uczynić systemów firmowych „kuloodpornymi” po prostu przez zainstalowanie odpowiedniego oprogramowania.

Zdecydowanie zbyt wielu nietechnicznych użytkowników uważa, że ​​to oprogramowanie antywirusowe i zapory ogniowe chronią ich przed realiami cyberbezpieczeństwa. W pewnym stopniu jest to prawdą, ale produkty te nie mogą chronić ludzi przed sobą. Jest absolutnie niezbędne, aby każdy, kto korzysta z systemów firmy, zrozumiał to - stąd długość tej sekcji.

Środki techniczne

Jeśli chodzi o ochronę usług IT z technicznego punktu widzenia, wiele kroków jest oczywistych, ale nadal warto je podkreślić. Oprogramowanie antywirusowe jest oczywiście koniecznością. A ponieważ liczba przypadków złośliwego oprogramowania na platformie Mac firmy Apple wzrosła o 230% w 2017 r., Trudno jest teraz argumentować, że komputery Mac nie potrzebują antywirusa tak samo, jak platform Microsoft Windows.

Oprogramowanie antywirusowe nie jest jednakowe, dlatego warto dokładnie go zbadać, aby wybrać odpowiedni produkt. Nie należy też „ustawiać i zapominać”. Aby zapewnić skuteczną ochronę, oprogramowanie antywirusowe powinno być zawsze w pełni aktualne, a pełne skanowanie systemu powinno być skonfigurowane do regularnego uruchamiania. W zależności od kultury firmy może to być obowiązek indywidualnych użytkowników lub działu IT. Nie ma znaczenia, kto tak długo, jak ktoś to robi.

Dobre produkty antywirusowe i Internet Security często zawierają pewien poziom ochrony przed wiadomościami phishingowymi i nieuczciwymi stronami internetowymi. Chociaż są to oczywiście przydatne funkcje, należy je traktować jako uzupełnienie edukacji użytkowników, a nie alternatywę dla nich.

Zapory ogniowe występują w różnych formach; Niektóre z nich to urządzenia sprzętowe chroniące sieci biurowe lub centra danych, inne to oprogramowanie lub produkty oparte na chmurze, które mogą chronić pojedyncze komputery lub aplikacje internetowe. Nie ma twardej i szybkiej reguły, która dyktuje, jakiego rodzaju ochrony zapory ogniowej potrzebujesz, ale jeden lub więcej takich produktów zwykle tworzy kawałek układanki bezpieczeństwa internetowego Twojej firmy.

Uwierzytelnianie dwuskładnikowe zostało tutaj opisane i jest świetnym sposobem na dodanie poziomu bezpieczeństwa do wszystkiego, co wymaga loginu i hasła. Dodając drugie wymaganie logowania, takie jak unikalny kod wysyłany SMS-em na telefon użytkownika, 2FA znacznie utrudnia życie hakerów oportunistycznych. Istnieją sposoby na dodanie takiego uwierzytelnienia do dowolnej sieci, od sieci domen Windows do poszczególnych stron internetowych. Wdrożenie uwierzytelniania dwuskładnikowego jest często stosunkowo niedrogim sposobem na dodanie znacznego dodatkowego poziomu bezpieczeństwa do krytycznych systemów.

VPN (Virtual Private Networks) to świetny sposób na zwiększenie prywatności w Internecie i może chronić dane firmy, gdy pracownicy są z dala od centralnego biura. Na przykład naleganie, aby pracownicy używali sieci VPN w publicznych sieciach Wi-Fi, jest doskonałym krokiem, aby zapobiec nieumyślnemu wyciekowi ważnych danych logowania do firmy. Nasz przewodnik po VPN dla początkujących jest przydatnym i szczegółowym przewodnikiem do dalszego czytania.

Szyfrowanie danych to coś, o czym firmy często myślą mało, co może natychmiast poprawić bezpieczeństwo danych firmowych. Jeśli pracownik pozostawia niezaszyfrowanego laptopa w transporcie publicznym, dostęp do danych jest dziecinnie prosty, nawet jeśli istnieje hasło. Wszystko, co musisz zrobić, to usunąć dysk twardy i podłączyć go do innego komputera.

Pełne szyfrowanie dysku jest łatwe do wdrożenia (a szczególnie łatwe na Apple Mac, z tylko jednym polem wyboru), a zatem warto rozważyć zamknięcie tej luki bezpieczeństwa.

Aktualizacje oprogramowania są kolejnym istotnym szczegółem, który często jest ignorowany, a ludzie często są zbyt zbyt zadowoleni, aby przez kilka tygodni naciskać przycisk „przypomnij mi później”. Jednak w wielu przypadkach aktualizacje te są wydawane jako specyficzna odpowiedź na luki w zabezpieczeniach systemów operacyjnych lub produktów programowych.

Jednym z głośnych przykładów znaczenia aktualizacji oprogramowania było ujawnienie, że można było uniknąć znacznego wpływu cyberataku na brytyjską krajową służbę zdrowia, gdyby personel IT zainstalował łatkę, która została udostępniona tygodnie wcześniej. Niedawno sami Apple wyrządzili poważną szkodę dla reputacji z błędem, który sprawił, że niewiarygodnie łatwo było zhakować komputer Mac przy użyciu najnowocześniejszego systemu operacyjnego. Łata do tego nie jest czymś, co każdy użytkownik chciałby opóźnić instalację.

Protokół SSL w witrynie Twojej firmy staje się coraz bardziej konieczny, zwłaszcza że Google teraz zaznacza witryny inne niż SSL jako „niepewne”. Wyjaśniono tutaj protokół HTTPS. Uaktualnienie niezabezpieczonej witryny do HTTPs jest tanie (a nawet bezpłatne). Należy podjąć pewne środki ostrożności, ale każdy powinien to zrobić.

Ponownie przejrzyj powyższą listę i sprawdź, ile z tych rzeczy uważasz, że Twoja firma jest naprawdę „na szczycie”. Jeśli wystąpią niedociągnięcia, każdy, nad którym pracujesz, zwiększy bezpieczeństwo Twoich systemów. Warto również podkreślić, że zaznaczenie niektórych lub wszystkich tych pól może być warunkiem koniecznym do zapewnienia ważności jakiegokolwiek ubezpieczenia cybernetycznego. Aby to sprawdzić, musisz sprawdzić swoją dokumentację ubezpieczeniową.

Zagrożenia online

Dotknęliśmy już niektórych zagrożeń cybernetycznych, przed którymi stoją firmy każdej wielkości. Przed takimi zagrożeniami ma chronić się cyberbezpieczeństwo. W tej części bardziej szczegółowo omawiamy niektóre z najważniejszych zagrożeń.

Wyłudzanie informacji

Jak wspomniano powyżej, phishing stanowi ogromne ryzyko dla firm. Co więcej, początkowy „incydent” phishingowy, w którym hakerowi udaje się zdobyć lub nazwę użytkownika i hasło, lub inne informacje ułatwiające „wejście” do systemów firmowych, może oznaczać początek ataku, który może obejmować również inne techniki cyberprzestępczości . Na przykład haker może użyć phishingu, aby uzyskać hasło, a następnie uruchomić atak ransomware po uzyskaniu dostępu do systemu.

Zakres, w jakim phishing jest objęty polisą cyberbezpieczeństwa, może się różnić, co najmniej. Raczej przerażające konto online związane z roszczeniem można znaleźć tutaj. W tym przykładzie firma ubezpieczeniowa odmówiła wypłaty, ponieważ „polisa nie obejmowała oszustwa prezesa ani kompromisu w zakresie e-maili biznesowych”.

To prowadzi nas z powrotem do sekcji edukacji użytkowników powyżej. Jeśli pracownik zostanie oszukany, aby przekazać hakerowi bezpośrednią drogę do systemów firmy, roszczenia z tytułu polisy ubezpieczenia cybernetycznego mogą okazać się problematyczne. Jedyną radą, którą naprawdę możemy tutaj udzielić, jest spytanie, co by się stało w takim scenariuszu (i uzyskanie go na piśmie) przed wykupieniem polisy - a nie, kiedy zdarzy się najgorsze..

Ransomware

W dzisiejszych czasach wszyscy słyszą o oprogramowaniu ransomware. To było oprogramowanie ransomware w centrum wielkiego globalnego hacka, który zakłócił działanie wielu firm zajmujących się blue chipami na początku 2017 r., A także brytyjskiej National Health Service.

Ludzie włączyli komputery, aby stwierdzić, że nie mają dostępu do swoich aplikacji i plików; Zamiast tego mieli do czynienia z ekranem z żądaniem przekazania „okupu” w celu uzyskania dostępu do ich teraz zaszyfrowanych plików danych. Konkretny okup z tej okazji wynosił od 300 do 600 USD za kryptowalutę, Bitcoin. W rezultacie hakerzy podobno zdołali wypłacić ponad 130 000 $ w Bitcoin.

Ataki ransomware mają jedno specyficzne dziwactwo: nie muszą powodować żadnych szkód poza zakłóceniem, o ile masz kopię zapasową. Systemy mogą być ponownie instalowane i dopóki istnieje kopia zapasowa danych, nie trzeba płacić okupu.

Problemy z oprogramowaniem ransomware mogą również uderzać w firmy różnej wielkości - często dlatego, że dzięki atakowi phishingowemu niczego nieświadomy członek personelu zostaje nakłoniony do zainstalowania czegoś, czego nie powinien. Ransomware może zatem stanowić taki sam problem dla dużej firmy, w której może latać wokół sieci lokalnej zarażającej wiele komputerów, podobnie jak freelancer bez kopii zapasowej, który traci dostęp do wszystkich dokumentów klienta.

Cybernetyczne polisy ubezpieczeniowe zwykle zawierają postanowienia dotyczące oprogramowania ransomware, które może obejmować wypłatę okupu dla hakerów. Jednak najskuteczniejsza ochrona przed oprogramowaniem ransomware ma postać solidnego systemu tworzenia kopii zapasowych. Jeśli jesteś w stanie przywrócić swoje dane, hakerzy mogą zrobić tylko niedogodności.

Ransomware nigdzie się nie wybiera. Liczne badania pokazują, że wskaźnik infekcji ransomware kontynuuje wzrost stratosfery, w tym taki, który stwierdza, że ​​gdzieś firma jest nowo zainfekowana ransomware co 40 sekund.

Naruszenie danych

Chociaż czasami cyberataki mogą „po prostu” zablokować twoje dane lub zagrozić Twojemu bezpieczeństwu cyfrowemu, sprawy stają się naprawdę poważne, gdy skutkują naruszeniem danych klientów. Jeśli musisz przyznać swoim klientom, że nie dopełniłeś obowiązku ochrony ich danych osobowych, szkoda dla reputacji jest prawie gwarantowana. Co więcej, istnieją potencjalne konsekwencje prawne, a także duża możliwość, że to naruszenie zaufania utraci ci jakąś działalność.

Wiele głośnych cyberataków, które trafiły na nagłówki gazet, wiąże się z utratą danych klientów. Naruszenie Equifax, o którym mowa powyżej, jest najnowsze w momencie pisania, ale w ostatnich latach było znacznie więcej incydentów.

W 2013 r. Yahoo! został trafiony z powodu naruszenia danych. Pojawienie się pełnych szczegółów zajęło lata, ale ostatecznie stało się jasne, że skala naruszenia była ogromna i dotyczyło to trzech miliardów kont użytkowników. Do innych ogromnych naruszeń danych należy włamać się w 2011 roku do PlayStation Network firmy Sony, która dla niektórych klientów obejmowała ujawnienie danych karty kredytowej. Następnie w 2016 r. Doszło do naruszenia informacji o klientach dla 57 milionów użytkowników Uber. Uber zrobił wiele, by pogarszać reputację, ukrywając hak przez dłuższy czas.

Cybernetyczne polisy ubezpieczeniowe zazwyczaj obejmują ochronę dokładnie tego rodzaju zdarzeń, w tym pomoc w „powstrzymywaniu kryzysu”, która może obejmować pomoc w PR i zarządzaniu relacjami z klientami. Naruszenie systemu i ujawnienie hakerów szczegółowych informacji o klientach pociąga za sobą daleko idące konsekwencje, w tym możliwość wystąpienia problemów prawnych z organami rządowymi. W przypadku tego rodzaju incydentu cyberbezpieczeństwo może okazać się równie cenne dla wsparcia eksperta, do którego towarzystwo ubezpieczeniowe może się zwrócić, jak w przypadku siatki bezpieczeństwa finansowego.

Ważna jest także ta siatka bezpieczeństwa; Jak wspomniano wcześniej, następstwa włamania się do Equifax dopiero się zaczynają, a już teraz toczą się procesy pozew zbiorowy. W zależności od wyrządzonych szkód skutki finansowe mogą być ogromne w takich sytuacjach.

Przerwanie działalności gospodarczej

Przerwy w działalności często idą w parze z jednym lub kilkoma innymi możliwymi skutkami cyberataku. Na przykład firma, która spędza czas na pacyfikowaniu klientów, którym skradziono dane osobowe, lub biegając w celu przywracania kopii zapasowych po ataku oprogramowania ransomware, raczej nie będzie miała czasu i zasobów, aby skoncentrować się na codziennym działaniu właściwie biznes i zarabianie pieniędzy.

W przypadku małych firm z ograniczonymi zasobami ludzkimi ta przerwa może doprowadzić firmę do ruiny. Klienci mogą zniknąć z dnia na dzień, jeśli nie możesz ich obsłużyć. Nagłe i nieoczekiwane zakończenie przepływu „kranu z pieniędzmi” może okazać się katastrofalne.

Pośrednik w zakresie ubezpieczeń biznesowych w Australii opublikował wiele przykładów online, w których firmy ubezpieczeniowe płacą za przerwy w działalności i utratę dochodów - często obejmujące kwoty sześcio- i siedmiocyfrowe. Przerwanie działalności gospodarczej może okazać się jednym z najbardziej znaczących skutków cyberataku. Nic więc dziwnego, że większość polis ubezpieczenia cybernetycznego zawiera odpowiednie rezerwy. Jeśli nie możesz zarabiać, odpowiednia polityka może zastąpić utracony dochód, gdy kryzys zostanie rozwiązany.

Główne rodzaje ubezpieczeń cyberbezpieczeństwa

Podobnie jak w polisach ubezpieczeniowych samochodów często obowiązują różne postanowienia dotyczące wszystkiego, od odpowiedzialności cywilnej po ochronę prawną, poprzez mniejsze szczegóły, takie jak ochrona przed utratą klucza i ochrona przed awarią, tak polisy ubezpieczenia cybernetycznego zawierają wiele części.

W niektórych przypadkach różne zabezpieczenia są dostępne jako oddzielne produkty ubezpieczeniowe lub jako dodatki do jednego produktu centralnego. Jeśli jesteś odpowiedzialny za pozyskiwanie cyberbezpieczeństwa dla większej firmy, być może potrzebujesz kilku polis na pokrycie wszystkich ryzyk. Mniejsze firmy mogą uznać, że polisa ubezpieczeniowa „wszystko w jednym” obejmuje wszystkie wymagane podstawy. Jak zawsze, czytanie wszystkich drobnych druków jest sprawą najwyższej wagi.

Aby pomóc Ci zrozumieć niektóre typowe części polisy z zakresu cyberbezpieczeństwa, oto niektóre sekcje, które zazwyczaj zobaczysz w tych produktach. Jak wspomniano, czasami możesz potrzebować więcej niż jednej polisy, aby pokryć wszystkie ryzyka, przed którymi musisz się zminimalizować.

Ochrona sądowa i regulacyjna

Tego rodzaju ochrona dotyczy prawnych konsekwencji odzyskiwania po cyberataku. Może obejmować koszt obrony jednej lub większej liczby spraw sądowych lub zapłatę grzywny na rzecz organu rządowego w przypadku naruszenia danych.

Ochrona „Reakcja regulacyjna” może być częścią tego lub może być oferowana osobno. Obejmuje to dodatkowe koszty związane z obowiązkami regulacyjnymi firmy. Na przykład może być konieczne przeprowadzenie dochodzenia kryminalistycznego, aby odkryć szczegóły, w jaki sposób doszło do cyberataku. „Ochrona prywatności” również łączy się z tym, jeśli konieczne będzie zrekompensowanie klientom utraty danych.

Zarządzanie kryzysowe / powstrzymywanie

Jak wspomniano w sekcji „Naruszenie bezpieczeństwa danych” powyżej, powstrzymywanie kryzysu zwykle wiąże się z tym, że firma ubezpieczeniowa odgrywa aktywną rolę w odzyskiwaniu danych po cyberataku. Może obejmować zarządzanie interakcjami Twojej firmy z niezadowolonymi klientami lub prasą oraz ustanowienie strategii komunikacji.

Ten rodzaj ochrony może zapewnić korzyści wykraczające poza finansowe, ponieważ jest mało prawdopodobne, aby mniejsze firmy posiadały wewnętrzny zespół ds. Komunikacji z doświadczeniem w radzeniu sobie z takimi zdarzeniami.

Koszty naruszenia / Ochrona przed uszkodzeniami

Naprawienie szkód wyrządzonych przez hakerów często kosztuje sporo pieniędzy. Systemy mogą wymagać naprawy lub wymiany, co spowoduje nieoczekiwane wydatki, które będziesz chciał ubezpieczyć.

Koszt odzyskania po naruszeniu może również obejmować udostępnienie określonych usług zainteresowanym klientom. Wracając ponownie do naruszenia Equifax na dużą skalę, firma musiała udostępnić usługi monitorowania kredytu klientom dotkniętym problemem. Jest to dość standardowe w sytuacjach, w których dane osobowe (zwłaszcza finansowe) zostały naruszone.

Ochrona przed wymuszeniami

Nikt nie lubi myśleć, że czasami hakerzy wymykają się zbrodniom do tego stopnia, że ​​faktycznie otrzymują żądane okupy! Jednak raporty sugerują, że nawet FBI czasami zaleca wypłatę okupu w niektórych scenariuszach hakerskich.

Ochrona przed wymuszeniami służy finansowaniu wypłaty okupu, jeśli sytuacja wskazuje, że jest to najlepszy sposób postępowania.

Odpowiedzialność za multimedia

Chociaż ochrona przed odpowiedzialnością za multimedia nie ma zbyt wiele wspólnego ze scenariuszami hakowania, jest często włączona do polis cybernetycznych lub oferowana jako „dodatek”.

Tego rodzaju ochrona chroni Twoją firmę w sytuacjach, gdy ktoś przypadkowo naruszy prawo autorskie, na przykład przez przypadkowe użycie obrazu chronionego prawem autorskim online.

Jak uzyskać ubezpieczenie cybernetyczne?

Znalezienie odpowiedniego produktu ubezpieczeniowego cyberbezpieczeństwa może być procesem zaangażowanym. Nie należy też lekceważyć, ponieważ ubezpieczenie, które nie kończy się wypłatą, nie jest lepsze niż brak ubezpieczenia.

Przed przeanalizowaniem niektórych opcji należy podkreślić, że polisy ubezpieczeniowe i związane z nimi przepisy mogą się znacznie różnić w zależności od kraju. Badając ten artykuł, przyjrzeliśmy się głównie amerykańskim i amerykańskim rynkom ubezpieczeń, które mają wiele podobieństw, ale wiele krajów ma swoje indywidualne dziwactwa.

Podczas gdy wyszukiwanie w Google „cyberbezpieczeństwa” przyniesie mnóstwo natychmiastowych rezultatów i kuszącą propozycję „natychmiastowej ochrony”, rzadko mądrze jest po prostu „znaleźć i kupić”. Podobnie jak w przypadku wszystkich ubezpieczeń, należy upewnić się, że firma ubezpieczeniowa w pełni rozumie Twoja firma i odpowiednio wycenia. Najlepiej byłoby, gdybyś dążył do polisy, która jest w pełni gwarantowana przez ubezpieczyciela, który rozumie twoją firmę, co robi i jakie jest twoje prawdopodobne ryzyko cybernetyczne. Dla tych, którzy nie lubią spędzać czasu przez telefon na odpowiadaniu na pytania, jest to być może zła wiadomość, ale także nieunikniona rzeczywistość.

Jednym ze szczegółowych szczegółów, które należy zapewnić, jest to, w których krajach wykonujesz pracę. Na przykład polisa ubezpieczyciela z Wielkiej Brytanii może obejmować wyłącznie pracę wykonaną w Wielkiej Brytanii lub w Europie. Jeśli prowadzisz również działalność globalną, musisz mieć pewność, że ubezpieczyciel jest tego świadomy. Niestety ten szczegół często podnosi cenę!

Zaufany broker ubezpieczeniowy może okazać się pomocny, o ile nacisk kładziony jest na „zaufanego!”. Niektórzy brokerzy to niewiele więcej niż sprzedawcy, którzy popychają klientów w kierunku polis, które przynoszą im najwyższą prowizję. Co więcej, cyberbezpieczeństwo jest stosunkowo nowym produktem na rynku, więc nie wszyscy brokerzy ubezpieczeniowi „jeden rozmiar dla wszystkich” będą dobrze o nim wiedzieli.

Jeśli korzystasz z cyberbezpieczeństwa dla dużej firmy, najprawdopodobniej będziesz chciał zaangażować swój zespół prawny i dołożyć należytej staranności przed zarejestrowaniem się. Mniejsze firmy i „zespoły jednoosobowe” będą musiały zadowolić się najlepszą możliwą kombinacją wsparcia brokera, szczegółową lekturą warunków polisy, porównaniami produktów i zadawaniem wielu istotnych pytań. Nie trzeba dodawać, że jeśli szukasz wyjaśnienia wszelkich drobnych szczegółów, staraj się uzyskać odpowiedzi na piśmie.

Jako punkt wyjścia do dowiedzenia się, czego szukać, oto szczegóły typowych polis ubezpieczeniowych cybernetycznych dla małych firm od Hiscox w Wielkiej Brytanii i Hiscox w USA. Należy pamiętać, że nie są to zalecenia, ale zostały tu po prostu uwzględnione, ponieważ są dość wyraźnymi przykładami tego, czego można się spodziewać.

Przedstawiciele większych firm będą musieli rozmawiać bezpośrednio z firmami ubezpieczeniowymi lub współpracować z brokerem. Jak wspomniano, zaufany broker jest również atutem dla małej firmy, pod warunkiem, że nie są to zwykłe produkty w imieniu jednej firmy ubezpieczeniowej.

Nie ma też nic do powiedzenia, że ​​produkty z cyberbezpieczeństwa pojawiające się w wyszukiwarce Google nie są warte papieru, na którym są napisane. Tak długo, jak czytasz drobny druk i wybierasz znaną i zaufaną firmę, mogą one dobrze pasować do rachunku. Uważaj jednak, aby po prostu wykupić polisę ze względu na jej posiadanie. Firmy ubezpieczeniowe nie mają problemu z pobieraniem składek od nowych klientów - pytania pojawią się jednak w momencie składania reklamacji. O wiele rozsądniej jest odpowiedzieć na jak najwięcej pytań przed zarejestrowaniem się w polisie.

Wniosek dotyczący ubezpieczenia cybernetycznego

Czasami w życiu mądrze jest być trochę paranoikiem. Jeśli chodzi o cyberbezpieczeństwo w biznesie, to taki rozsądek. Jest to szczególnie prawdziwe w świecie, w którym ciągle wyświetlane są statystyki, które dowodzą, że takie rzeczy jak phishing i ransomware stają się coraz większym problemem, a nie jednym.

W ProPrivacy.com mamy bogactwo dostępnych zasobów, które pomogą Ci dowiedzieć się więcej o cyberbezpieczeństwie i chronić swoją prywatność w Internecie, od sprawdzania haseł po szczegółowe artykuły na temat zagrożeń, na które należy zwrócić uwagę. Aktywnie zachęcamy wszystkich do śledzenia najnowszych osiągnięć w świecie cyberbezpieczeństwa, ponieważ możemy być pewni, że za rok od teraz o wiele więcej incydentów w stylu Equifax i Yahoo trafi na pierwsze strony gazet.

Jeśli prowadzisz małą firmę i zostaniesz dotknięty cyberatakiem, prawdopodobnie nie dotrze ona do wiadomości krajowych, ale to nie znaczy, że nie zniszczy Twojej firmy ani nie będzie cię drogo kosztować pod względem finansowym i reputacyjnym. Cyberbezpieczeństwo nie chroni cię przed każdym hakerem oportunistycznym, ale daje ci spokój, a wsparcie i wsparcie finansowe w najgorszym przypadku.

Niedawny raport CNBC ujawnił, że 87 procent właścicieli MŚP „nie uważa, że ​​grozi im atak cyberbezpieczeństwa”. Ten sam raport pokazuje, że w ciągu ostatnich 12 miesięcy włamano się do 14 milionów firm amerykańskich. To około połowa małych firm w kraju, a ta sama liczba lub więcej może spodziewać się swojej kolejki w nadchodzącym roku. Niezależnie od tego, jak na to spojrzysz, jest to okropnie wielu właścicieli firm, którzy chcą niegrzecznego przebudzenia w 2018 roku i później.

Mając to na uwadze, pozwolimy Ci zdecydować, czy warto zainwestować w cyberbezpieczeństwo.

Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me