Bugovi, breach i milijunske tužbe - tko zapravo plaća kada IT incident krene po zlu?

Na nedavnom Unit Meetup događaju u Zagrebu otvorena je tema o pravnim i financijskim posljedicama kritičnih pogrešaka u kodu, sigurnosnih propusta te ransomware napada. Marijo Stojanović iz tvrtke Marsh McLennan, globalnog brokera za upravljanje rizicima i osiguranje, održao je predavanje pod naslovom „Bugovi, breach i milijunske tužbe – tko to zapravo plaća?“ u kojem je analizirao realnost cyber incidenata, putanje ulaska napadača u sustave te načine na koji se nastale štete raspoređuju između kompanija, njihovih klijenata i osiguravatelja. Prema Stojanovićevim riječima, cyber rizik izravno proizlazi iz stupnja digitalizacije i količine podataka kojima organizacija upravlja, pri čemu veća izloženost tehnologiji korelira s većom vjerojatnošću nastanka incidenta.

Statistički podaci Marsh McLennana za Europu pokazuju kako cyber incidenti više nisu iznimka, već svakodnevica, pri čemu su države poput Njemačke i Austrije među najčešće pogođenima, a prosječna šteta po ozbiljnom incidentu doseže oko četiri milijuna eura. Najčešće mete napada su financijske institucije, tehnološke i proizvodne tvrtke te javni sektor. Kao konkretan primjer naveden je slučaj energetske kompanije u Sloveniji u čiji su sustav napadači ušli preko podizvođača, što potvrđuje da sigurnosni rizik često dolazi iz opskrbnog lanca. Iako je napad tehnički zaustavljen, ukradena dokumentacija završila je na dark webu, a tvrtka je unatoč ucjeni od osam milijuna dolara u bitcoinu odlučila angažirati forenzičare i policiju umjesto plaćanja otkupnine.

Drugi prikazani slučaj iz Srbije odnosio se na pružatelja cloud hosting usluga čija je infrastruktura kompromitirana preko korisničkog računa jednog klijenta. Zbog prestanka rada usluga i zahtjeva klijenata za naknadu štete, ukupni trošak dosegao je 800.000 eura, dok je sama otkupnina od 100.000 eura činila manji dio gubitka. U tom je slučaju tvrtka odlučila platiti ucjenjivačima jer bi obnova sustava iz sigurnosnih kopija trajala predugo i generirala još veće operativne gubitke. Stojanović naglašava kako se incidenti dijele na zlonamjerne i slučajne, poput ljudske pogreške pri slanju podataka, no u oba su slučaja posljedice slične i uključuju prekid poslovanja te pravnu odgovornost.

Analiza tržišta ukazuje na to da kompanije često griješe podcjenjivanjem stvarnog opsega rizika, ugovaranjem neadekvatnih polica osiguranja bez realne procjene limita te izoliranjem cyber sigurnosti isključivo unutar IT odjela. Stojanović upozorava kako bi upravljanje ovim rizicima moralo postati strateška tema uprave i menadžmenta. Prilikom odabira partnera za osiguranje, organizacije bi trebale provjeriti iskustvo brokera u specifičnoj industriji, postojanje specijaliziranih stručnjaka za cyber rizike, relevantne reference te precizno definirati tko upravlja štetama i što je točno uključeno u limit pokrića police.