Sve o osiguranju Magazin za život sa manje rizika
Srodni članci
Rizik od gubitka podataka spada u jedan od najvećih rizika u budućnosti, od kojeg kompanije najviše strahuju: procenjuje se da je prosečan trošak koji kompanija pretrpi zbog hakerskog upada gotovo 150 dolara po ukradenom ličnom podatku! Nezavisno od toga, i samo baratanje podacima je hod po tankoj žici, jer su kompanije koje svoje poslovanje ne usklade sa Zakonom o zaštiti podataka o ličnosti izložene drakonskim kaznama.
O tome kako osiguravajuća društva mogu da zaštite sopstvene podatke, ali i kako mogu da doprinesu zaštiti poslovanja kompanija u drugim industrijama, i zašto je tesna povezanost IT sektora i osiguranja neophodna, razgovarali smo sa Nebojšom Miskovićem, direktorom prodaje kompanije Sky Express.
Novi propisi u oblasti zaštite podataka izazvali su različite reakcije u široj društvenoj javnosti. Koje su ključne stvari na koje kompanije sada treba da obrate pažnju u svom poslovanju kada je zaštita podataka u pitanju?
Dva su ključna razloga zbog kojih kompanije treba da se posvete zaštiti podataka: jedan je potreba da se zaštite važni kompanijski podaci i poslovne tajne, a drugi je neophodnost usklađivanja sa Zakonom. Ova dva ne idu uvek ruku pod ruku. Na primer, marketinškim odeljenjima u osnovi ne odgovaraju zakoni poput GDPR-a i našeg Zakona o zaštiti podataka o ličnosti – jer ograničavaju korišćenje ličnih podataka u marketinške svrhe. Na žalost, što se brže krećemo u povezivanje i digitalizovanje „svega“, izloženost opasnostima od hakerskih napada i gubitka podataka je sve veća, a način da budete apsolutno sigurni – jednostavno ne postoji. To će vam potvrditi svako ko se bavi informacionom bezbednošću.
Međutim, nije sve tako crno – postoji mnogo toga što kompanije mogu, pa čak i moraju, da učine. Kompanije treba da obrate pažnju na stepen rizika kojem su izložene kada su u pitanju poslovni podaci koji su im važni, i na rizik od neusaglašenosti sa zakonskom regulativom. Stepen rizika može da se proceni i čak izračuna u novcu – to je često i prvi korak koji mi preporučujemo i radimo za svoje klijente, kako bismo zatim sagledali naredne aktivnosti u cilju poboljšanja informacione bezbednosti.
Zašto je važno da kompanije usaglase svoje poslovanje sa Zakonom o zaštiti podataka o ličnosti?
Pored mogućih kazni, koje se kreću od 50.000 do 2.000.000 dinara za pravna lica, ukoliko svoje poslovanje ne usaglase sa Zakonom o zaštiti podataka o ličnosti, kompanije se suočavaju sa mnogo većom mogućom štetom kroz gubitak klijenata i poslovnog ugleda – čak i ako im se ne dogodi hakerski napad i gubitak podataka. Da li će korisnici osiguranja imati poverenja u osiguravajuće društvo ako nadležni organi ustanove neusklađenost poslovanja sa ovim Zakonom?
Naš Zakon je usklađen (neko će reći „prepisan“) sa regulativom Evropske Unije (GDPR – General Data Protection Regulation) tako da kompanije koje već posluju ili imaju nameru da posluju sa EU imaju dodatne koristi od pune primene našeg Zakona. Ukoliko kompanija nudi svoje proizvode ili usluge osobama koje se nalaze na teritoriji EU (na primer, online prodaja preko internet sajta), ili na bilo koji način prikuplja i obrađuje podatke osoba koje su u datom trenutku na teritoriji EU (na primer, domaća IT kompanija koja je proizvela popularnu aplikaciju za mobilni telefon koja se koristi i u EU) – podleže evropskoj GDPR regulativi i može biti kažnjena sa maksimalnih 4% godišnjeg prometa ili 20 miliona evra, šta god od toga je veći iznos.
Sve kompanije svakako teže da rade u potpunosti u skladu sa zakonom. Međutim nije realno očekivati da kompanija bude u potpunosti usklađena sa svim zakonima koji se na nju odnose. Na primer, Zakon o prevozu tereta u drumskom saobraćaju kaže da vozilo mora imati poslovno ime preduzeća „ispisano slovima visine najmanje pet centimetara“. Ako pravni savetnik preduzeća ne prenese ovaj detalj dizajneru, ili dizajner pogreši za par milimetara, preduzeće može biti kažnjeno sa 50.000 dinara. Ne znam koliko često inspektori mere ova slova „u milimetar“ – verujem da je zakonodavcu suština bitnija od forme.
Zakon o zaštiti podataka o ličnosti je mnogo kompleksniji, ali i apstraktniji od navedenog primera. Iako verujem da će zakonodavac i u ovom slučaju insistirati na suštini i duhu Zakona, brojna su ograničenja koja se nameću kompanijama kada je obrada ličnih podataka u pitanju. Ta ograničenja impliciraju brojne nove procese i procedure koje će kompanije morati da uvedu, ali i implementaciju tehničkih rešenja koja su u funkciji tih procedura.
Osiguravajuće kompanije po prirodi stvari prikupljaju mnogo podataka. Na koji način one i druge kompanije mogu da zaštite svoje IT okruženje?
Kada je u pitanju zaštita dragocenih poslovnih podataka, proces je prilično jednostavan: treba identifikovati gde se oni nalaze, ko sve ima mogućnost i potrebu da rukuje njima, kako izgledaju poslovni procesi… Potom se postavljaju politike, standardi i procedure koje imaju za cilj prevenciju gubitaka podataka. Naravno, na kraju tog procesa se implementiraju odgovarajuća tehnička rešenja. Treba imati na umu i primenu procedura nadzora i kontrole, jer ni najbolje procedure vas neće zaštititi ukoliko su samo na papiru. Tehnička rešenja takođe napreduju – ono što je bilo napredno rešenje pre godinu-dve, danas vas možda ne štiti u očekivanoj meri.
Informaciona bezbednost, međutim, nije samo zaštita od gubitka podataka. Moderno poslovanje se sve više bazira na informatičkoj infrastrukturi: ako kritične poslovne aplikacije čak i na kratko prestanu da rade, gubici mogu biti veliki. Primera radi, procenjeno je da je British Airways za samo jedan vikend pretrpeo gubitak od 112 miliona dolara jer im sistem za kontrolu avionskih karata nije radio. Ovaj problem najverovatnije nije nastao kao posledica hakerskog napada, već kao kombinacija ljudske greške i loše projektovanih procedura za kontinuitet poslovanja – ali odlično ilustruje ranjivost savremenih modela poslovanja. Koliko košta jednu banku, ili osiguravajuće društvo, ako jedan dan ne mogu da izdaju polise jer sistem ne radi?
Sky Express je distributer naprednih bezbednosnih sistema. Kako zapravo izabrati najbolje rešenje, jer je konkurencija na tržištu izuzetno velika?
Kada se uradi bezbednosna analiza i napravi plan šta treba zaštititi, spisak rešenja gotovo da dolazi sam od sebe. Činjenica jeste da ne postoji jedno rešenje, jedan proizvod, jedan proizvođač – koji će da „završi posao“, i tu postoji određena kompleksnost. Sistem integratori se tradicionalno bave drugim aspektima informacionih sistema – klijenti od njih očekuju, grubo opisano, da se isporuče firewall i antivirus rešenja dok se napredna cybersecurity rešenja odlažu ili zanemaruju.
Najčešći razlog za ovo je nedovoljna informisanost top menadžmenta o potencijalnoj šteti koju kompanija može da pretrpi u slučaju uspešnog hakerskog napada i gubitka podataka. Niko ne voli da ide pred menadžment i traži povećanje budžeta, koje ne povećava produktivnost već predstavlja zaštitu od rizika koji gotovo da nisu ni postojali pre nekoliko godina. To je gorka pilula, ali je vreme da se prihvati činjenica da su rizici ogromni. Prema IBM-ovom istraživanju, prosečan trošak koji kompanija pretrpi zbog hakerskog upada je 148 dolara po ukradenom ličnom podatku, a ovaj iznos ne obuhvata potencijalne kazne. Sve što rukovodstvo treba da uradi, da bi steklo jasniju sliku o ceni rizika, jeste da pomnoži broj ličnih podataka koje poseduje sa 148 dolara. Osiguravajuće kuće tipično raspolažu sa desetinama i stotinama hiljada ličnih podataka. Dakle, za ukradenih 100.000 ličnih podataka potencijalni trošak je gotovo 15 miliona dolara. Čak i ukoliko pođemo od pretpostavke da je potencijalna cena gubitka ličnih podataka u Srbiji višestruko niža od IBM-ove procene, iznosi su vrtoglavi.
Rešenja koje Sky Express nudi su sveobuhvatna i međusobno kompatibilna. Za partnere smo izabrali proverene proizvođače koji spadaju među najinovativnije u svetu. Naša kompanija nudi sveobuhvatnu zaštitu: od endpoint security rešenja sledeće generacije i rešenja za enkripciju podataka u cloudu, preko SIEM i SOAR platformi, pa sve do visokospecijalizovanih rešenja koje direktno štite SAP i Oracle EBS sistema.
Šta zapravo klijent dobija saradnjom sa kompanijom Sky Express?
Ekspertizu, kvalitet i posvećenost. Sky Express je ekskluzivni distributer naprednih cybersecurity rešenja i usluga u oblasti informacione bezbednosti, za tržišta Jugoistočne Evrope i direktno sarađujemo sa vendorima čija rešenja imamo u ponudi. To nam daje unikatnu poziciju da bez posrednika komuniciramo sa tehničkom podrškom, pa čak i sa razvojnim timovima kompanija koje su na samom vrhu kada su napredna cyber security rešenja u pitanju. Ne treba zanemariti ni činjenicu da nam ova direktna komunikacija neretko omogućava i povoljnije finansijske uslove korišćenja rešenja. Dodajte na sve to verovatno najbolje konsalting usluge u oblasti informacione bezbednosti u regionu i imate dobitnu kombinaciju. Naš fokus je isključivo na zaštiti podataka i ništa drugo nam ne odvlači pažnju sa cilja da naši korisnici mogu mirno da spavaju.
Predstavnik Vaše kompanije pomenuo je na nedavno održanoj konferenciji „Povećanje prodaje osiguranja u postojećim ekonomskim uslovima“ da je nedostajuća karika u novom okruženju osiguranje od kompromitacije podataka. Zašto je to važna karika?
Prognozira se da će vrednost tržišta osiguranja od štete nastale po osnovu hakerskih napada (gubitak podataka, nefunkcionisanja informacionog sistema) do 2025. godine narasti do neverovatnih 23 milijarde dolara. Uloga osiguravajućih društava je da, u saradnji sa kompanijama kao što je Sky Express, urade procenu rizika i izrade polisu, koja će kompanijama dati dodatan nivo sigurnosti da njihovo poslovanje neće pretrpeti nenadoknadivu štetu, kao posledicu hakerskog napada. Kao što svako ko posluje sa robom osigurava svoja skladišta protiv požara, tako će se u budućnosti svako, čije se poslovanje zasniva na IT infrastrukturi, osiguravati od rizika koji mogu da mu unište poslovanje. Preko 60% malih preduzeća, koja dožive uspešan hakerski napad, najčešće propada u roku od šest meseci. Srednja i velika preduzeća možda i neće propasti u potpunosti, ali primeri poput kompanija Yahoo ili Equifax slikovito govore o tome da u slučaju uspešnog hakerskog napada čak i giganti u svojoj industriji mogu sutra da budu na kolenima.
