Rosszul elköltött pénz

 2017. augusztus 21., hétfő 15:00
A A
Elképesztően megugrott a vállalkozások kibervédelemre fordított költése az elmúlt időszakban, a jelek szerint azonban ez roppant kevés. Nem a ráfordítás mértéke, sokkal inkább a módja, a jó gyakorlatok, koncepciók hiánya okozza a gondot a szakértők szerint. Éppen ebben lehet kulcsszerepe a biztosítóknak.

Jelenleg az amerikai vállalatok 70 milliárd dollárt költenek évente kibervédelemre, és több mint 3 milliárd dollárt kiberbiztosítási díjakra, az eredményeket elnézve azonban a hatás elmarad. Ennek számos oka van, egyfelől a kibertámadások erősödésével a biztonsági megoldások kínálata is elképesztő tempóban kibővült, a potenciális vásárlóknak pedig még nehezebb eldönteni, hogy ezek közül melyikek lennének számukra valóban hatékonyak. Másfelől ezek a megoldások többnyire teljesen ignorálják a meglévő vállalati kultúrát éppen ezért alkalmazásuk is akadozik, vagy épp meg sem valósul. Habár egy korszerűen működő vállalattól elviekben elvárható lenne, hogy saját  - akár belsős, akár megbízásos alapon külsős - kiberbiztonsági szakértőt alkalmazzanak, a hétköznapi realitások persze egészen mások, ennek csak egyik része az, hogy az ilyen szakemberek az egyik legnagyobb hiányszakmát jelentik manapság, nagyjából fej-fej mellett haladva az analitikai szakértőkkel.

A helyzet alapvetően elég egyszerű: a vállalkozásoknak szakértő iránymutatásra van szükségük, emellett pedig a lehető legmagasabb szintű elköteleződés is nélkülözhetetlen a vállalatvezetés részéről. Adja magát a helyzet, hogy a biztosítók vállalják fel ezt az edukációs szerepet, még szorosabbra fűzve a kapcsolatot ügyfeleivel. A feladat nem egyszerű, hiszen az együttműködésnek minden eddiginél mélyebbnek, ráadásul folyamatosnak kell lennie. A biztosítónak valós időben kell tájékoztatást nyújtania a lehetséges fenyegetésekről, azok természetéről, a védelem legjobb elhárításának módjáról, sőt utóbbiban akár tevékenyen részt is kell venniük. 

A lehetséges kooperáció elég széles skálán mozoghat a tanácsadástól a kibervédelem kialakításán át az annak fenntartásában való aktív részvételig. Az azonban bizonyos, hogy a biztosítók egyfelől kiváló lehetőséget kapnának ügyfélkörük bővítésére, másrészt egy hosszútávon is releváns szolgáltatással bővíthetnék tevékenységi körüket. A másik oldalt nézve a vállalatok valóban hatékony iránymutatást és védelmet kapnának az egyre növekvő mértékű kiberfenyegetés ellen. Ez ugyan némileg felrúgná a jelenlegi status quo-t hiszen a biztosítói szerepvállalásnak klasszikusan nem része a védelemben való részvétel, de a biztosítási szakma eleve az eddig tapasztalt legnagyobb átalakuláson megy jelenleg keresztül, miért ne lehetne ennek éppenséggel ez is része.

Különösen annak fényében, hogy a kiberfenyegetettség egyáltalán nem egy távolból fenyegető rém, hanem nagyon is aktuális problémakör. David Garrett, a kaliforniai székhelyű Tensyl Security biztonsági tanácsadó cég alapítója szerint az elmúlt nyolc év során szinte mindenkinek eltulajdonították legalább egyszer az online identitását. A kis és középvállalkozások több, mint 20 százaléka már volt kiberincidens áldozata, számuk pedig éves szinten legkevesebb 15 százalékkal nő egyelőre, ám az ütem rohamosan gyorsul. Ráadásul ezek csak azok a cégek, akik bejelentették a támadás tényét, rengetegen rejtve maradnak, félve a hírnevükön eső csorbától és egyéb retorzióktól. A Ponemon Institute becslése szerint 2015-ben mintegy 75 milliárd dollárt fordítottak kibervédelemre, 2020-ra pedig 101,6 milliárdra is nőhet ez az összeg.

Mit sem ér azonban ez, ha nem megfelelő módon van elköltve. A már idézett Tensyl Security alapító Garrett öt alapvető tényezőt számolt össze, ami ezért a jelenségért felelős:

1. A kibervédelem nem IT probléma

A legtöbben a kiberbiztonságot kizárólag az IT hatáskörébe utalják, de ez legkevésbé sem így van. Az adott cég IT részlege és infrastruktúrája alapvető és megkerülhetetlen része a biztonsági rendszernek, de önmagában teljességgel elégtelen. Az egyes kiberincidensek leggyakrabban nem az IT-biztonság hiányosságaiból fakadnak, hanem a szervezeti kultúrából, a rossz előírásokból, vagy az azokat be nem tartó kollégákból, azokat be nem tartató vezetőkből. Hiába áll rendelkezésre a papíron közel tökéletes rendszer, ha a kollégákkal nem sikerült megértetni, ne nyissanak meg spam üzeneteket, ne kattintsanak kétes eredetű linkekre, ne használják privát készülékeiket a vállalat belső rendszerének elérésére.

2. Elavult biztonsági stratégiák

Hagyományosan a vállalati kockázatmenedzsment igen specializált, részekre tagolt terület. A pénzügyi részleg kezelő a financiális kockázatokat, a jogászok a jogiakat, a HR a munkabiztonságiakat és így tovább. Ez a megközelítés lényegében az, ami az első tényezőért is felelős, és ez az ami a káresemények kezelését is roppant nehézkessé teszi, hiszen a digitális kockázatok csak a legritkább esetben feleltethetők meg egy-egy területnek. Kezelésük ennélfogva nem lehet egy-egy részleg feladata, hanem komplex megközelítést igényelnek.

3. Nem betartatott szabályok

Vannak olyan viselkedésminták és munkavállalói szokások, amik erősen korrelálnak az incidensek előfordulásának valószínűségével. Ezek alapvetően mind egy dologra vezethetők vissza: a praktikum uralmával a biztonsággal szemben. Ez a kettő dolog egyszerre nem megvalósítható, és jellemzően mindig az első nyer. Egy hosszú, komplikált jelszót nehezebben memorizálnak az alkalmazottak, így kerül a rendszerbe a rengeteg "123456", "jelszo" vagy "szivecskem" egy pillanat alatt. Ugyanígy nagyon hamar megbuknak azok a szabályok, amik lehetetlenné teszik egy munkavállaló számára, hogy bármit is telepítsen a gépére, hiszen a telepítendő programok valóban a munkavégzéshez kellenek, de rengeteg időt veszít, mire megkapja a szükséges engedélyeket és az valóban megtörténik. Épp emiatt rengeteg biztonsági céllal bevezetett szabályt pár héttel a bevezetése után már nem tartatnak be, hiszen mindig akad egy nagyon fontos, nagyon sürgős projekt, ami nem várhat egy percet sem. És ez lényegében az egyik legfőbb probléma, hiszen a legjobb szabályrendszer is éppannyit ér, amennyire azt betartják, avagy betartatják.

4. Kevés adat

Ugyancsak a felelősségi körök témakörébe tartozik, hogy míg egyrészt a biztonsági szakemberek rengeteg adattal rendelkeznek - például az esetleges támadások mibenlétéről, a támadó IP-címéről - addig elképesztő adathiánnyal is kénytelenek megbírkózni, ugyanics csak korlátozott ismeretekkel rendelkeznek a vállalati kultúra - gyakran csak papíron létező - sajátosságairól, amik az adott támadást lehetővé teszik. A biztonsági részleg nem képes önmagában érdemi munkát végezni, ha a vállalat belső működéséről, az egyes munkafolyamatok milyenségéről nem rendelkezik kellő információval, legjobb esetben is csak tűzoltásra képes.

5. Túl sok lehetőség

A túlkínálat egyrészt jó, hiszen jó eséllyel megtalálja mindenki a számára ideális megoldást, ám míg ebben sok cég élen jár, addig a egyes - főleg kisebb - vállalkozások lényegében megfulladnak a lehetőségek tengerében, és hasraütésszerűen választják ki a védelmi rendszert vagy eszközt. De még ez is a jobbik eset, szakértelem hiányában ugyanis jellemzőbb, hogy a vezetés halogatja ezek beszerzését, gyakran odáig, hogy az meg sem valósul.

Hogyan változtathat ezen a biztosító? Nem egyszerű feladat, hiszen alapvetően kell megváltoztatni a biztosító-biztosított párbeszédet. Egyfelől segíteniük kell meghonosítani a rendszerszintű szemléletet, ez ugyanis mindennek az alapja. Mindenképpen meg kell változtatniuk az adatgyűjtési gyakorlatukat, mivel jelenleg roppant felszínes információkat gyűjtenek, sok esetben érdemes lenne mélyebbre ásni. Nem lehet elég például egy írásos nyilatkozat arról, hogy biztosított rendelkezik az XY szabványnak megfelelő biztonsági rendszerrel, teljes mélységben meg kell ismernie az alkalmazott stratégiát, eszközöket, lehetséges fenyegetéseket. Az így feltárt hiányosságokra már lehet ajánlásokat megfogalmazni az alkalmazandó szabályozásbéli változásokról, beszerzendő eszközökről és szoftverekről, melyek megvalósulását ellenőrizni kell, esetlegesen díjkedvezményhez kötni azt.

Nem elhanyagolható az edukáció jelentősége sem, akár esettanulmányok, gyakorlati példák, de szemináriumok segítségével is. Mivel a kibervédelem soha nem véget érő feladat, ezért a minimum éves felülvizsgálat, az új fenyegetések bemutatása szintén alapvető kell legyen. Akár a biztosítási szerződés megkötésének részeként is megvalósulhat egy teljes kiberbiztonsági átvilágítás, a jelenlegi helyzet megismerése, az elérendő célok kitűzése. A megfelelő adatok gyűjtésébe bele kell tartozzon a betörésekről szóló információk átadása is, a lehető legnagyobb mélységben, ami nyilvánvalóan az egyik legkényesebb területe lehet a jövőbeli biztosító-biztosított kapcsolatnak. Ugyanakkor ez megkerülhetetlen, hiszen eredendően szükségesek ezek a biztosító számára, hogy megfelelő modelleket állítson fel, amik segítségével nagy pontossággal tudja beazonosítani a legnagyobb veszélyeket, akár a vállalat tevékenységi körével összefüggésben is, illetve tud rájuk megfelelő megoldásokat kínálni.

Előző cikk   Következő cikk    Nyomtatás    Küldés
Hírlevél
Iratkozzon fel hírlevelünkre és értesüljön első kézből az ágazat híreiről!

E-mail címe:

Címkék
mnb (97), díjbevétel (96), kgfb (93), megtakarítás (92), öngondoskodás (89), nyugdíj (82), életbiztosítás (75), mabisz (73), fogyasztóvédelem (60), katasztrófa (60), bank (57), viszontbiztosítás (52), lakásbiztosítás (49), gépjármű-biztosítás (48), generali (46), pszáf (44), szolvencia (43), biztosítás (42), ingatlancom (41), káresemény (41), eu (40), hitelezés (38), elemzés (38), utasbiztosítás (36), nem-életbiztosítás (32), bírság (32), swiss re (31), baleseti adó (30), felmérés (30), románia (29), lakásár (29), munich re (28), viharkár (27), kockázat (26), bankraciohu (25), egészségbiztosítás (24), casco (23), kutatás (23), reálhozam (23), hitel (21), felelősségbiztosítás (20), klímaváltozás (19), hitelminősítő (19), brexit (19), eiopa (18), befektetés (18), devizahitel (18), union (18), allianz (18), vagyonbiztosítás (17), k&h (17), lakáshitel (17), csalás (17), roland berger (17), természeti katasztrófa (16), kiberbiztonság (16), groupama (16), pénzügyi szektor (16), magánnyugdíj (16), konferencia (16), balesetbiztosítás (15), autó (15), nyereség (15), felvásárlás (14), aegon (14), cea (14), kkv (14), jelentés (14), cig pannonia (14), nem-élet biztosítás (14), eb (14), ing (14), tőkemegfelelés (13), kína (13), fbamsz (13), nyugdíjbiztosítás (13), uniqa (12), ngm (12), használtautó (12), gépjármű biztosítás (12), gépjármű (12), genertel (12), stressz-teszt (12), hamisítás elleni nemzeti testület (11), hent (11), k&h biztosító (11), kárigény (11), ingatlan (11), telematika (11), usa (11), hamisítás (11), axa (11), fintech (11), baleset (11), villámkár (10), aviva (10), s&p (10), alkusz (10), groupama biztosító (10), kiberbűnűzés (9), ksh (9), generali csoport (9), kiberbűnözők (9), vig (9), egészségügy (9), otp bank (9), árvíz (9), nn (9), kórház (8), alulbiztosítás (8), mobil (8), bamosz (8), verona (8), közvetítő (8), cig pannónia (8), betörés (8), kötvény (8), hurrikán (8), netriskhu (8), moodys (8), 4life direct (7), lakás (7), vihar (7), otp (7), insurtech (7), akvizíció (7), erste (7), pwc (7), pénztár (7), innováció (7), fitch (7), kiberbiztosítás (7), kaszab attila (7), mkb (7), digitalizáció (7), eset (7), eredmény (7), gdp (7), ey magyarország (7), adósság (7), autóipar (7), ügynök (7), buszbaleset (7), unit-linked (6), közvetítés (6), fejlesztés (6), hannover re (6), adó (6), köbe (6), görögország (6), fagykár (6), munkahely (6), agrárbiztosítás (6), megújuló energia (6), deloitte (6), végtörlesztés (6), kpmg (6), hitelminősítés (6), allianz hungária (6), államkötvény (6), felügyelet (6), big data (5), jövedelem (5), gdpr (5), értékpapírosítás (5), union biztosító (5), tanulmány (5), online (5), netrisk (5), biztosítási szektor (5), vienna life (5), vagyon (5), nemzeti agrárgazdasági kamara (5), gender direktíva (5), gfk (5), adatvédelem (5), csőd (5), szerződési jog (5), bróker (5), építőipar (5), lakáspiac (5), am best (5), közlekedés (5), munkanélküliség (5), birság (4), összeolvadás (4), államadósság (4), uniqa biztosító zrt (4), vienna life biztosító (4), green holiday (4), végtörlesztésl (4), iot (4), határidő (4), lakástakarék (4), vienna insurance group (4), közúti baleset (4), századvég (4), bdo (4), qbe (4), insurance europe (4), csok (4), m&a (4), iais (4), nn biztosító (4), aon benfield (4), kárhányad (4), unicredit (4), életbiztosítás nem-élet biztosítás (4), startup (4), ingatlanpiac (4), profit (4), mastercard (4), lengyelország (4), signal (4), posta (4), elnök (4), aon (4), éghajlatváltozás (4), lloyds (4), válság (4), lakáhitel (3), biztonság (3), integráció (3), betegség (3), k&h biztos jövő index (3), ingatlanbiztosítás (3), nyugdíjpénztár (3), blokklánc (3), kötelező (3), gki (3), elektromobilitás (3), zöld kártya (3), alapkezelő (3), atradius (3), mesterséges intelligencia (3), bankkártya (3), lízing (3), drón (3), nav (3), nfm (3), szolvencia ii (3), szlovákia (3), k&h bank (3), jármű (3), gilyén ágnes (3), eredmények (3), cafeteria (3), kár (3), oktatás (3), cp contact (3), mikrobiztosítás (3), trenkwalder (3), vienna (3), cig pannónia biztosító (3), foglalkoztatottság (3), black friday (3), nak (3), limra (3), magyarország (3), uniqa biztosító (3), erste biztosító (3), adókedvezmény (3), biztosító (3), oecd (3), gyógyszer (3), albérlet (3), viszontbiztosító (3), díjfizetés (3), internet (3), nyaralás (3), hitelintézeti szemle (3), alulbiztosított (3), befektetési alapok (3), mi (3), létszámbővítés (3), mabisz konferencia (3), fhb (3), síbiztosítás (3), amerika (3), aaa auto (3), pénziránytű alapítvány (3), budapest bank (2), kínai biztosítási szektor (2), kárérték (2), nrc marketingkutató és tanácsadó kft (2), agrár (2), cotar (2), microsoft (2), jégkár (2), bnp paribas cardif biztosító (2), social media (2), piac (2), fenntarthatóság (2), uber (2), személyi kölcsön (2), pioneer (2), thomas hladky (2), munkaerő (2), ügyfélszolgálat (2), bdo magyarország (2), kárbejelentés (2), dimenzió egyesület (2), aegon magyarország (2), Általános egészségbiztosító (2), portfoliohu konferencia (2), n26 (2), eljárás (2), olasz (2), windisch lászló (2), járműbiztosítás (2), blokkchain (2), fogyasztóvédelmi index (2), önvezető autók (2), ingatlannethu (2), biztosítási piac (2), anglia (2), dróntörvény (2), földrengés (2), baker tilly hungária (2), deloitte magyarország (2), idd (2), automatizáció (2), unió (2), román (2), veronai buszbaleset (2), környezettudatosság (2), paypal (2), airbnb (2), aig (2), rekord (2), határidők (2), gyorsjelentés (2), bankszektor (2), pénz7 (2), világbank (2), abi (2), cyber (2), it (2), informatika (2), who (2), interjú (2), astra (2), fizetés (2), muisz (2), drágulás (2), accenture (2), terror (2), kerékpár (2), nemzetgazdasági minisztérium (2), díjak (2), árfolyamgát (2), terrorfenyegetettség (2), magyar bankszövetség (2), mentőcsomag (2), németország (2), szabályozás (2), lopás (2), eurostat (2), díj (2), kampány (2), ajánlás (2), gazdaság (2), egészsébiztosítás (2), régió (2), tűzesetek (2), alapkamat (2), bizalom (2), biztosításközvetítés (2), mobilfizetés (2), bíróság (2), clb (2), jogsértés (2), mezőgazdaság (2), unsar (2), pzu (2), európa (2), kiberbűnözés (2), ausztria (2), infláció (2), gyorshajtás (2), korrupció (2), ukrajna (2), facebook (2), atm (2), olaszország (2), panaszkezelés (2), generali-providencia (2), flottabiztosítás (2), bankbiztosítás (2), bűncselekmény (2), hr (2), luxemburg (2), ey (2), értékesítés (2), dublin (2), biztosítás és kockázat (2), vállalkozás (2), fejlődő országok (2), ovb (2), eub (2), zsarolóvírus (2), thm (2), dimenzió biztosító (2), nemzeti fogyasztóvédelmi hatóság (2), marketing (2), garancia (2), bankráció (2), pandurics anett (2), biztosítási díj (2), omnibus (2), technológia (2), kölcsön (2), fhb csoport (2), biztosítótársaság (2), leépítés (2), díjnavigátor (2), ferma (2), cig (2), zurich (2), blockchain (2), 2017 (2)
Rendezvényajánló
GDPR-EU-adatvédelmi rendelet - Minden cég életét, pénztárcáját érintő változás
Időpont:
2017.12.07 - 2017.12.07
Helyszín:
Budapest, Sugár Üzletközpont Rendezvénykomplexum, 1148 Örs vezér tere 24. (Mozi bejárat 2. emelet)
további információk