Jste průkopnicí v oboru kybernetických rizik s bohatými zkušenostmi z praxe v AGCS, předtím než začneme o kyber-bezpečnosti, povězte nám něco o sobě a vaší úloze v AGCS.
Když jsem přišla do AGCS loni v říjnu, neexistovala v ní žádná infrastruktura pro řízení kyber rizik. Žádné produkty a žádní upisovatelé. Nyní máme v USA čtyři upisovatele, dva jsou v Kanadě a máme připravený produkt, který můžeme nabídnout širokému spektru klientů. Já osobně jsem celou svou kariéru trávila v San Franciscu, což je jeden z důvodů, proč jsem se začala počítačům a rizikům s nimi spojeným věnovat tak brzy. První společnosti, které si kyber-pojištění osvojily a osahaly, byly právě firmy v Silicon Valley.
Můžete popsat vývoj, s jakým bylo kyber pojištění vnímáno?
Spojené státy jsou z nějakého důvodu napřed oproti zbytku světa, jak v podmínkách a porozumění rizikům, tak v legislativě a regulaci. V USA máme regulatorní plány, které zde tvoří základní postupy, jak by měly firmy postupovat, jsou-li konfrontovány případným narušením bezpečnosti.
Jak se stal nástup kybernetických hrozeb spouštěčem pro lepší porozumění rizikům v byznysu, kterými jsou například i poškození pověsti?
Pět nebo šest let zpátky jsem nemohla nikoho přesvědčit, aby si koupil pojištění proti kybernetickým hrozbám. Teď je vše jinak. Média i tisk se postarala o vysokou publicitu vedoucí k lepšímu porozumění kybernetickým hrozbám. Ukázala, jak výrazně mohou poškodit pověst společnosti. Ředitelé firem pak opravdu začali chápat co je v sázce.
Byly časy, kdy se o krádežích dat nemluvilo. Změnilo se to?
Myslím, že se to pravděpodobně stává i nadále. Je to i hlavní důvod, proč se tím začal zabývat regulátor a vytvořil plány postupu při napadení. Tyto postupy byly zvedeny hlavně kvůli ochraně zákazníků, jejichž data unikla. Jinak se ani nemohli případnému zneužití jejich dat bránit. Podíváme-li se na poslední roky, množství hackerských útoků astronomicky roste. Ale nemůžu úplně říct, že exponenciálně, protože to s čím pracujeme, jsou data, získaná od firem, které svá data o narušení poskytly. Nemáme bohužel mechanizmy, abychom monitorovali ty, kteří to nenahlásí. To ani nejde. Upřímně si myslím, že jsou čísla značně podhodnocené, ať už kvůli případům, kdy se o tom společnosti a lidé bojí mluvit, tak v případech, kdy ani nevědí, že k něčemu takovému došlo.
V posledních 12 měsících bylo zaznamenáno zvýšené množství ransomwaru. Víme dokonce o několika případech, kdy byly napadeny nemocnice v USA. Mohla byste toto téma trochu rozvést?
První ransomware byl použit v roce 2007 a byl použit proti Virginské nemocnici. Někdo jí hacknul, zakódoval veškerá data v síti včetně záloh a vymazal všechna původní data. Následně požadoval milion dolarů jako výkupné za zaslání hesla k navrácení všeho do původního stavu. K podobným útokům dochází často právě kvůli lidem, kteří jsou třeba i cíleně virtuálně sledovaní a na základě jejich chování se přizpůsobí cesta, jak je přinutit otevřít infikovanou přílohu. Lidská chyba je stále příčinou průniku do systému ve dvou případech ze tří. Ať už se jedná o phishingový, klikingový nebo zmíněný ransomware útok.
Proč jsou cílem právě nemocnice?
Zdravotnictví je bohatý zdroj mnoha informací, které jsou snadno získatelné. Ve Spojených státech hlavně kvůli nízkým rozpočtům, které již nestačí na kybernetická zabezpečení. Nemocnice představují opravdu nejslabší článek řetězu. Dalo by se říci, že je to nejníže visící ovoce, které je nejsladší. Ani historicky nebylo zdravotnictví nikdy na vysoké počítačové úrovni.
Děje se více takových útoků?
Ano a předpovídám, že tyto útoky budou pokračovat i nadále. Velmi doufám, že zde bude doporučena nějaká kybernetická hygiena, tedy nějaký druh vzdělávacích modulů, nabízených pracovníkům v tomto sektoru. Protože to by tento sektor posunulo o velký krok dál.
A co internet věcí? Jakou v tom může hrát roli?
Internet věcí je v tomto tématu rovněž problém. Lidé mají k internetu připojené své termostaty v domácnostech, aplikace na zamknutí a odemknutí dveří a mnoho dalšího. Pokud je průnik způsobený chybou v softwaru provozovatelů, nebo dojde k hackerskému incidentu, může to představovat kyber-ztrátu pro poskytovatele. Ale pokud někdo otevře zákazníkovy dveře a vykrade ho tak to už kyber-ztráta není. Je zde stále časté nedorozumění týkající se toho co kyber-pojištění kryje a co ne.
Mluvila jste o regulaci a také o nutnosti vzdělávání jak jinak to ještě řeší další segmenty?
Například velcí hráči v oblasti platebních karet MasterCard a Visa vytvořili dohromady Payment Card Industry Data Security Standard (PCI DSS) k řízení jejich systémových rizik. Je zaměřeno na jejich zákazníky, banky i koncové uživatele, kteří jsou nejčastějšími cíli průniku do systému. To je pěkný příklad mimostátní samoregulace. A přála bych si to vidět častěji. Americká asociace nemocnic by mohla vytvořit pravděpodobně něco podobného. Více vzdělání je třeba poskytnout všem zaměstnancům od výkonného managementu až po pracovníky na konci firemní hierarchie. To samozřejmě platí pro všechna odvětví a rovněž pro pojišťovny.
Komentáře
Přidat komentář