Cyberatak – atak serca firmy

Z perspektywy cybernetycznej istnieją tylko dwa rodzaje firm: Te, które już zostały zhakowane i te, które dopiero zostaną zhakowane.

Kiedy producent rolny zostaje zaatakowany przez ransomware, jest bliski upadku swojego biznesu.
Ostatnie dwa lata naszego życia na zawsze będą już naznaczone jako lata najcięższego uderzenia globalnej pandemii COVID-19. Ale okres ten przyniósł nam również inną, cyfrową pandemię, ekspansję cyberataków typu Ransomware.

Co to jest Ransomware?

To był zwykły poranek w firmie będącej jednym z głównych wytwórców produktów mlecznych w regionie. Dyrektor firmy przybył do fabryki jak zwykle jako pierwszy, włączył swojego służbowego laptopa i zauważył niepokojącą wiadomość: „Zostałeś zaatakowany przez ransomware, proszę kliknąć na link w celu wykonania dalszych kroków”.

Ransomware to rodzaj złośliwego oprogramowania lub programu szyfrującego, umieszczonego przez hakera, który działa poprzez szyfrowanie danych w sieci, a następnie żąda zapłacenia okupu w zamian za klucz deszyfrujący, w celu odzyskania dostępu do danych. Niektóre badania (Coveware) pokazują, że mniejszość firm, które wybierają drogę płatności okupu, jest zmuszona do dokonywania dodatkowych płatności lub nigdy nie uzyskuje dostępu do swoich danych.

Ataki typu ransomware są jednym z najszybciej rosnących zagrożeń w ciągu ostatnich kilku lat. Okres przerw w działalności biznesowej wydłużył się z średnio 15 dni (2020), do średnio 23 dni (2021). Należy również zauważyć, że koszty przerw w działalności są niekiedy równie wysokie, jak kwota okupu, a nawet ją przekraczają.

Zgodnie z Raportem IBM 2020 Cost of Data Breach Report potrzeba było około 280 dni, aby zidentyfikować naruszenie systemu, co daje nam obraz możliwości i siły hakerów, którzy niepostrzeżenie krążą po systemie firmy-ofiary.

  • W 2016 roku Delta Airlines doświadczyła poważnej awarii sieci, która trwała pięć godzin i kosztowała firmę 150 milionów dolarów.
  • W październiku 2016 r. miał miejsce atak DDoS na Dyn, firmę administrującą głównym elementem sieci, który spowodował awarię powszechnie używanych stron internetowych, takich jak PayPal, Twitter, Netflix, Amazon i inne.
  • W 2017 roku Maersk, duńska firma żeglugowa, stanęła w obliczu cyberataku, który zakłócił działalność na dwa tygodnie, powodując straty w wysokości około 300 milionów dolarów.

Słabym punktem jest RDP

Cognyte, czołowyproducent oprogramowania do analizy bezpieczeństwa, twierdzi, że wiodącymi celami dla ataku ransomware są przemysł wytwórczy i usługi finansowe, a w dalszej kolejności transport, branża technologiczna, kancelarie prawne i zasoby ludzkie.

Według „Sophos”, brytyjskiej firmy zajmującej się cyberbezpieczeństwem, jedną z najbardziej wyróżniających się metod jest powszechne stosowanie Remote Desktop Protocol (RDP). RDP pozwala zdalnym użytkownikom na podłączenie się do pulpitu innego komputera poprzez połączenie sieciowe i zazwyczaj jest używany przez organizacje, w celu umożliwienia pracownikom dostępu do ich sieci podczas pracy zdalnej. Jeśli port, którego organizacja używa do dostępu RDP, jest wystawiony bezpośrednio na działanie Internetu, hakerzy łatwo mogą go znaleźć, a następnie próbować uzyskać dostęp do systemów komputerowych organizacji.

Po uzyskaniu przez hakerów dostępu do systemu, kolejnym krokiem jest włamanie się na konto lokalnego administratora organizacji. Oznacza to, że atakujący za pomocą programu komputerowego próbują złamać hasła, wypróbowując różne kombinacje haseł w szybkich seriach. Im dłuższe i bardziej skomplikowane hasło, tym więcej czasu i tym trudniej jest hakerom złamać system. Niestety, w naszym przypadku konto lokalnego administratora firmy miało słabą kombinację haseł. Dodatkowo, brak wieloskładnikowego uwierzytelniania (MFA – Multi-factor authentication) dla dostępu RDP sprawił, że haker był w stanie uzyskać dostęp do sieci organizacji bez konieczności przechodzenia drugiej procedury weryfikacyjnej, np. wpisywania kodu weryfikacyjnego.

Produkcja została wstrzymana, a niestety firma nie posiadała kopii zapasowych przechowywanych na zewnętrznym nośniku, które mogłyby zostać użyte do odtworzenia danych. Po uruchomieniu planu ciągłości działania i skontaktowaniu się z zewnętrznym zespołem reagowania kryzysowego, firma zdecydowała zapłacić okup. Po otrzymaniu klucza deszyfrującego rozpoczęto odzyskiwanie danych. Ponieważ cały proces był czasochłonny, system potrzebował około 14 dni na pełne odzyskanie danych.

Zalety cyberubezpieczenia

Dzięki polisie cybernetycznej firma była w stanie przeprowadzić cały proces odzyskiwania danych i wypłaty okupu przy pomocy wysoko wykwalifikowanych specjalistów IT. Koszty, które zostały pokryte w ramach tego cyberataku, oprócz wspomnianego okupu, to straty związane z przerwaniem działalności, koszty reakcji na zdarzenie, koszty informatyków śledczych, koszty konsultantów PR, a także koszty związane z odpowiedzialnością za naruszenie prywatności i przepisów dotyczących ochrony danych osobowych (RODO).

Kilka ważnych statystyk (Indusface):

  • Organizacje odnotowały rekordowy 225% wzrost strat spowodowanych atakami ransomware w 2020 r.;
  • 53% zaatakowanych firm stwierdziło, że ich marka i reputacja ucierpiały po udanym ataku;
  • Około 26% przedsiębiorstw musiało całkowicie przerwać działalność z powodu ataku ransomware.

Z perspektywy cybernetycznej istnieją tylko dwa rodzaje firm: Te, które już zostały zhakowane i te, które dopiero zostaną zhakowane.

Jeśli jesteś ciekaw, jakie są możliwości uzyskania oferty ubezpieczeniowej i jaki jest poziom podatności Twojej firmy na cyberzagrożenia, skontaktuj się z nami, a zespół naszych specjalistów udzieli Ci wszelkich niezbędnych informacji na temat dalszych kroków.

Related Insights

Stephan Eberlein

Group Practice Leader Financial Lines

T +43 664 962 40 60

Wojna w Ukrainie a ubezpieczenia cybernetyczne

Od początku wojny w Ukrainie rosną obawy przed cyberatakami w ramach prowadzonej równolegle wojny
hybrydowej. W niniejszym artykule wyjaśniamy, jak reaguje branża ubezpieczeniowa i jakie są skutki wprowadzenia klauzuli wojennej do warunków ubezpieczenia.

Czy w związku z wojną w Ukrainie wzrasta zagrożenie cybernetyczne?

Austriacki CERT oraz niemiecki Federalny Urząd ds. Bezpieczeństwa Informacji (BSI) zakładają obecnie „sytuację podwyższonego ryzyka”. Aktualnie nie widać poważnego bezpośredniego zagrożenia dla bezpieczeństwa informacji. Istnieją już jednak podejrzenia, że w związku z wojną dochodzi do pojedynczych ataków cybernetycznych. Na przykład niemiecki producent turbin wiatrowych, firma Enercon, nie był w stanie przeprowadzić zdalnej konserwacji własnych turbin. Przyczyną było zakłócenie sieci satelitarnej. Dalszy rozwój sytuacji jest więc trudny do przewidzenia.

Jak reagują ubezpieczyciele ryzyk cybernetycznych?

Natychmiast po wybuchu wojny nasi specjaliści od cyberryzyk skontaktowali się z ubezpieczycielami ryzyk cybernetycznych, aby poznać ich opinie. Ogólna informacja zwrotna była taka, że oszacowali sytuację
i decyzje będą podejmowane z jeszcze bardziej restrykcyjnymi działaniami, zwłaszcza w obszarze infrastruktury krytycznej.

Czy klauzula wykluczająca wojnę ma zastosowanie?

Zazwyczaj polisy ubezpieczenia cybernetycznego zawierają tzw. klauzule wyłączenia wojny, zgodnie
z którymi szkody spowodowane wojną lub zdarzeniami wojennymi nie są objęte ubezpieczeniem. W przypadku klasycznego wyłączenia wojny, ogólna zasada mówi, że wymagane jest celowe użycie siły fizycznej przez państwo atakujące.

Jeśli cyberatak zainicjowały tzw. Sponsorowane przez państwo grupy hakerów, nie ma mowy o ukierunkowanym działaniu państwa atakującego, a zatem nie ma wojny w omawianym znaczeniu. Z drugiej strony, Rosja prowadzi wojnę z Ukrainą, a nie z innymi państwami, co należy wziąć pod uwagę przy interpretacji warunków ubezpieczenia. Nawet jeśli cyberatak na firmę zostałby przeprowadzony z inicjatywy państwa, nadal brakuje oficjalnego wypowiedzenia wojny.

Ponadto ubezpieczyciel, chcąc powołać się na wyłączenie odpowiedzialności, musi udowodnić, że atak
cybernetyczny jest atakiem kierowanym przez rząd. Ubezpieczycielowi będzie jednak bardzo trudno to udowodnić, ponieważ hakerzy zazwyczaj nie ujawniają, że działają w imieniu rządu.

Co z zapłatą okupu?

Przypadki wykorzystania oprogramowania ransomware są obecnie największym z zagrożeń cybernetycznych. Prowadzi ono do blokady dostępu do danych lub usług, a za ich przywrócenie żądane jest zapłacenie okupu. Okup jest z reguły ubezpieczalny. Jeśli szantażystami są rosyjskie grupy hakerów, ubezpieczający muszą liczyć się z tym, że ubezpieczyciele nie wypłacą żadnych świadczeń bez potwierdzenia sankcji i bez kontroli zgodności z przepisami. Ze względu na rozległe sankcje nałożone na Rosję, płatności okupu na rzecz rosyjskich grup hakerskich są zazwyczaj również przedmiotem sankcji, ochrona ubezpieczeniowa jest zatem zakazana umownie i prawnie.

Podsumowanie

Obecnie nie obserwujemy jeszcze żadnych cyberataków w Austrii i Europie Środkowo-Wschodniej w związku z wojną w Ukrainie. Ubezpieczyciele zajmujący się ryzykami cybernetycznymi nadal przyjmują odpowiedzialność za ochronę przed tym największym ryzykiem biznesowym. Naszym zdaniem w przypadku ataku nieukierunkowanego nie miałoby zastosowania tradycyjne wyłączenie wojenne. Jednakże wszelkie ewentualne żądania okupu mogą być zabronione ze względu na sankcje.

Stephan Eberlein

Group Practice Leader Financial Lines

T +43 664 962 40 60

Cyberubezpieczenia dorastają

Cyberubezpieczenia, których rynek od pewnego czasu staje się coraz bardziej dojrzały, są istotną częścią zarządzania ryzykiem. Stephan Eberlein, ekspert ds. cyberbezpieczeństwa w GrECo Specialty, wyjaśnia, w jaki sposób, nawet w obecnym otoczeniu rynkowym, można uzyskać dopasowane do potrzeb Klienta ubezpieczenie cybernetyczne na jak najlepszych warunkach.

GrECo od lat stara się uzmysłowić swoim Klientom, że incydenty cybernetyczne mogą powodować duże straty, które mają poważny wpływ na sukces lub reputację firmy. Transfer ryzyka za pośrednictwem rozwiązania ubezpieczeniowego jest ważnym środkiem skutecznego zarządzania ryzykiem cybernetycznym.
 
Na początku menedżerom brakowało świadomości zagrożenia – „jeszcze” byli przekonani o skuteczności swoich firewalli i innych zabezpieczeń. Dostępne ubezpieczenia cybernetyczne również były w powijakach, na dodatek były tak złożone, że ciężko było je zrozumieć. W branży ubezpieczeniowej, zapewniającej duże pojemności przy stosunkowo niskich składkach, co pozwalało na generowanie wysokich udziałów w rynku, zapanowała jednak euforia.

Zagrożenia cybernetyczne: ryzyko biznesowe nr 1

Mniej więcej w 2019 roku świat wkroczył w nową erę cybernetyczną. Chociaż środowisko IT od lat boryka się z wirusami, naruszeniami bezpieczeństwa i innymi formami cyberataków, cyberprzestępcy stają się coraz bardziej wyrafinowani. Zagrożenia cybernetyczne stanowią obecnie główne ryzyko biznesowe (źródło: Allianz Risk Barometer 2020).
 
Wobec wielu doniesień o cyberatakach i ich poważnych konsekwencjach finansowych, wielu liderów biznesu na całym świecie wykupiło polisy cyberubezpieczenia po niskich kosztach. Na początku 2020 roku Munich Re wycenił europejski rynek ubezpieczeń cybernetycznych na ponad 1 mld USD.

Cyfryzacja, przyspieszona przez pandemię koronawirusa, doprowadziła w ubiegłym roku nie tylko do gwałtownego wzrostu liczby zawartych ubezpieczeń cybernetycznych, ale także do szybkiego wzrostu liczby roszczeń. Ubezpieczyciele musieli poradzić sobie z atakami typu ransomware na dużą skalę. Czynnikiem przyspieszającym wzrost liczby negatywnych roszczeń są takie zdarzenia jak przypadek SolarWinds, najpoważniejszy w ostatnim czasie globalny incydent cybernetyczny, który zainfekował nawet systemy rządowe. Eksperci szacują, że branża ubezpieczeniowa będzie musiała wypłacić około 90 mln USD z tytułu tego zdarzenia.
 
Ubezpieczyciele zajmujący się cyberbezpieczeństwem skarżą się obecnie, że wypłaty odszkodowań znacznie przekraczają wysokość składek. Ubezpieczeni odczuwają teraz tego konsekwencje przy odnowieniu polis: pojemności są ograniczane, a składki podnoszone – często gwałtownie. Ponadto proces składania wniosków dla dużych przedsiębiorstw staje się coraz bardziej uciążliwy. Innymi słowy, utwardzanie rynku nie ominęło ubezpieczeń cybernetycznych.

Klucz do optymalnych warunków

W obecnym środowisku rynkowym podejście „oparte na ryzyku” i przejrzystość są kluczem do rozwiązania ubezpieczeniowego dostosowanego do potrzeb klienta na najlepszych możliwych warunkach, zarówno w przypadku odnowień, jak i nowych umów. Często jednak firmy nie otrzymują adekwatnych odpowiedzi na pytania takie jak: Które „skarby” należy chronić? W jaki sposób naruszenie tych wartości może mieć wpływ na finanse?
 
Dlatego zalecamy ocenę ryzyka cybernetycznego w ramach analizy potencjalnych szkód, aby na jej podstawie określić wymogi ubezpieczeniowe. Dzięki audytom cyberbezpieczeństwa można określić poziom zaawansowania zabezpieczeń IT – obecnie ubezpieczyciele wymagają minimalnych standardów ochrony. Oznacza to, że warto zawczasu sprawdzić, czy techniczne i organizacyjne środki bezpieczeństwa odpowiadają aktualnemu standardowi techniki.

Towarzystwa ubezpieczeniowe bardzo pozytywnie oceniają też regularne szkolenia uświadamiające dla pracowników oraz testy penetracyjne. Z jednej strony środki te służą podniesieniu świadomości, a z drugiej – umożliwiają przedsiębiorstwom przetestowanie sytuacji awaryjnej i wyciągnięcie na tej podstawie ważnych wniosków dla ich zarządzania ryzykiem cybernetycznym.

Wsparcie w sprawach związanych z ryzykiem i ubezpieczeniami

Eksperci GrECo towarzyszą swoim Klientom od etapu prac wstępnych, aż do implementacji rozwiązania dostosowanego do ich potrzeb. Identyfikują potencjał poprawy bezpieczeństwa IT, rzucają światło na otoczenie rynkowe i możliwości ochrony ubezpieczeniowej.
 
Zarządzają oni procesem ofertowania, w którym często trzeba odpowiadać na szczegółowe pytania. Obecnie rynek należy do sprzedającego. Oznacza to, że im bardziej przejrzyście i lepiej można przedstawić indywidualną sytuację przedsiębiorstwa w zakresie ryzyka, tym większa jest gotowość ubezpieczycieli do podejmowania ryzyka i tym atrakcyjniejszy wynik negocjacji. Pozytywny wpływ na wyniki negocjacji mają również spotkania z underwriterami. Podczas tych spotkań inżynierowie ryzyka ze strony ubezpieczyciela mają możliwość zadawania szczegółowych pytań bezpośrednio menedżerom firmy. Ułatwia to proces składania wniosków i zwiększa zaufanie.

Ubezpieczenie cybernetyczne – nowe ubezpieczenie ogniowe

Nie ulega wątpliwości, że ubezpieczenie cybernetyczne może skutecznie ograniczyć lub zrekompensować straty finansowe poniesione w wyniku incydentu cybernetycznego. Obecne przykłady szkód wyraźnie na to wskazują. Teraz widać bardziej niż kiedykolwiek, że ubezpieczenie cybernetyczne powinno być standardową częścią każdego portfela ubezpieczeń biznesowych. Obecnie jest ono uważane za ubezpieczenie ogniowe XXI wieku.
 
Ważne jest jednak, aby cyberubezpieczeń nie postrzegać jako substytutu bezpieczeństwa informacji. Ponadto, firmy powinny być przygotowane na to, że ubezpieczyciele będą poddawać ich ryzyko indywidualnej kontroli.
Im lepsze przygotowanie, bardziej przejrzysta sytuacja w zakresie ryzyka i bardziej zrozumiałe decyzje korporacyjne w tym obszarze, tym sprawniej przebiega odnawianie umów i zawieranie nowych ubezpieczeń cybernetycznych.

Stephan Eberlein

Group Practice Leader Financial Lines

T +43 664 962 40 60