Na področju informacijskih tehnologij na nas nevarnosti prežijo na vsakem koraku, ne glede na to, ali smo skromni domači uporabnik ali podjetje. Mediji paranojo le še podpihujejo, skrb za zasebnost in varnost podatkov pa je ena glavnih, s katerimi se ubadajo tako podjetja kot celo tisti uporabniki, ki sicer o računalnikih, internetu in podobnih »novotarijah« ne vedo prav veliko. Tudi in predvsem za podjetje, ki je prek spleta v stiku s svojimi dobavitelji ali strankami, so možnosti nastanka kakršnekoli škode kar na lepem precej velike, nabor možnih težav zelo širok, predvsem pa ne omejen zgolj na zlobne ali koristoljubne hekerje, ki bi za šalo ali za res malce pobrskali za omembe (in kakšnega evra) vrednimi podatki.
Nevarnosti je torej ogromno, od požara, ki utegne spremeniti podatkovni center podjetja ali ponudnika v prah in pepel (seveda skupaj z vašimi podatki), do zlobnih hekerjev, ki seveda v skladu s svojim poslanstvom želijo kaj slabega vaši spletni strani. Seveda so tu še vsakdanje grožnje v obliki virusov, trojancev in kar je še podobne nesnage, pa tudi marsikaj drugega, od fizične kraje podatkov do škode, ki jo lahko z varnostnimi luknjami v svojem sistemu tretjim osebam povzročijo podjetja, ki ponujajo kako spletno storitev.
Ob vseh teh nevarnostih in apokaliptičnih scenarijih se človek vpraša, ali je moč podatke zavarovati. Z drugimi besedami, ali bi vam bila zavarovalnica pripravljena zavarovati vsa tveganja, povezana z vašim informacijskim sistemom, bodisi doma bodisi v podjetju? Glede na vrsto, milo rečeno, čudnih zavarovalnih polic, sklenjenih za tveganja, kot so izguba repa, škoda na prstih Keitha Richardsa ali nogah Jamie Lee Curtis, bi bilo to čisto umestno pričakovati. Kljub temu, da omenjena tveganja zvenijo malo za lase privlečena, to še ni nič v primerjavi z denimo primerom, ki ga je zavarovalnica Lloyd's imela v letu 2001, ko se je neka ženska zavarovala za primer, da bi postala grda (o čemer ne bi odločali cenilci, ampak deset naključno izbranih gradbenih delavcev), ali leto pozneje, ko se je neki hotel zavaroval za primer poltergeista. Če se torej lahko zavarujemo (vsaj v tujini) za praktično kar koli, kar nam pade na pamet, da le plačamo premijo, zakaj bi se torej ne mogli proti recimo nenadomestljivi izgubi podatkov?
KAKO OCENITI TVEGANJA
Preden se lotimo pregleda ponudbe v Sloveniji, moramo najprej odgovoriti na vprašanje, ali in kako bi bilo mogoče taka tveganja oceniti. Po mnenju enega izmed poklicnih strokovnjakov za strojno opremo pri nas, ki pa je želel ostati neimenovan, bi bila pravšnja pot izračun prihodkov na uro, saj za večino podjetij velja, da je informacijska tehnologija pravzaprav osnova poslovanja. Tako bi bilo treba ustvariti nekakšno tabelo odvisnosti poslovanja od informacijskih tehnologij, pri čemer bi bil bančni, zavarovalniški in še kak sektor zastopan s faktorjem 1 (še pomnite Sigmo?), kar pomeni, da bi bil dohodek na uro (izpada) temelj za izračun premije v od tehnologije visoko odvisnih panogah, medtem ko bi pri drugih premijo korigirali v skladu z odvisnostjo poslovanja teh od informacijskih tehnologij.
Če bi ponudba zavarovanja podatkov obstajala, bi pri tem zavarovalničarji nedvomno potrebovali še (vsaj) pomoč revizorja, specialista za tveganja v IT ter računalniškega forenzika. Slednji bi moral biti eden pomembnejših členov te verige, saj bi po besedah Janka Šavnika, edinega forenzika s tega področja pri nas, imel dve vlogi: reševanje še rešljivih podatkov (in s tem zniževanje škode za zavarovalnico), predvsem pa ugotavljanje okoliščin delovanja informacijskega sistema pred nastopom škodnega dogodka, da se potrdi ali ovrže subjektivna odgovornost zavarovanca (npr. zloraba administratorskih pravic, osebni računalnik je bil brez protivirusnega programja ali požarnega zidu …).
V angleški zavarovalnici in pozavarovalnici Safeonline ponujajo pakete, ki »zapolnjujejo luknje drugih zavarovanj«, kakor temu posrečeno pravijo na svoji spletni strani (www.safeonline.com). Tudi izračunavanje premij gre pri tej zavarovalnici v že zgoraj omenjeni smeri, saj ima police razporejene v pet razredov oziroma stopenj tveganja. Prva in najnižja stopnja je namenjena podjetjem, ki preprosto uporabljajo elektronsko pošto ter shranjujejo podatke v računalniških sistemih v svoji pisarni, zadnja pa velja za tista podjetja, ki se ukvarjajo denimo s spletno trgovino in so kot taka pri svojem poslovanju popolnoma odvisna od spleta. Ob povpraševanju najprej s pomočjo zunanjega izvajalca izvedejo revizijo sistemov in varnostnih politik, če pa je tveganje majhno, pa potencialnim strankam zgolj zastavijo nekaj vprašanj, denimo o politiki zasebnosti, rednosti pregledov konsistence informacij, ter uporabi požarnega zidu. Če na vprašanja dobijo »prave« odgovore, je zavarovalna polica kaj hitro podpisana.
Takoj se seveda porodi vprašanje, kaj so »pravi odgovori«. Ti naj navadno odsevali t.i. best-effort oziroma potrdili, da je zavarovanec naredil vse, kar je bilo v njegovi moči, da do škode ne bi prišlo. Pri tem bi bilo bržčas treba zavarovance razdeliti na več razredov, kar nam je potrdil tudi računalniški forenzik Janko Šavnik.
»Najprej bi bilo treba ločevati med vrstami uporabnikov, vendar ne zgolj na ravni fizična-pravna oseba, temveč bi bilo znotraj teh dveh razredov treba narediti več kategorij. Položaj namreč ni enak za poznavalca IT in starejšega gospoda, prav tako pa je malo podjetje z nekaj zaposlenimi nekaj povsem drugega kot podjetje z več 1000 zaposlenimi, kjer imajo običajno skrbnika(e) varnostnih kopij. V vsakem primeru bi bilo treba ločevati še glede na vrsto zavarovanih podatkov znotraj razredov fizična-pravna oseba kot npr. manj pomembni, pomembni, zelo pomembni, kritični. Seveda bi moral tudi vsak lastnik podatkov ob zavarovanju povedati, katere podatke zavaruje, pred tem pa jih z ustrezno klasifikacijo podatkov tudi razvrstiti. Način izdelovanja, shranjevanja, preverjanja in druge manipulacije varnostnih kopij pa je seveda zopet skladen s klasifikacijo. Od upoštevanja vsega omenjenega pa je nato odvisno tudi, kako bo zavarovanec lahko uveljavljal zavarovalnino. Za domače uporabnike je to dokazovanje neprimerno težje, saj nimajo napisanih nobenih protokolov, delovnih navodil, podvojenih zmogljivosti, s pomočjo katerih bi lahko dokazovali spoštovanje navodil za varnostno kopiranje podatkov. Verjetno bi bilo v vseh primerih smiselno predpisati (ali pa zgolj zapisati) način izdelave varnostnih kopij in nato na neki način zagotoviti revizijsko sled, da so se varnostne kopije dejansko izdelovale,« je še dodal Šavnik.
KAJ PRAVIJO ZAVAROVALNICE
O možnosti tovrstnega zavarovanja smo seveda povprašali tudi vse zavarovalnice z dovoljenjem za opravljanje zavarovalnih poslov v Sloveniji. Vse prejete odgovore lahko zelo na hitro povzamemo, saj so si zelo silno podobni.
Nosilce podatkov in podatke na teh večina slovenskih zavarovalnic zavaruje kot samostojno zavarovalno kritje. Krite so škode, nastale kot posledica izgube podatkov in sicer zaradi rizikov, kot so mehanske poškodbe, izliv vode, vihar, plaz, toča, požar, strela, eksplozija, osmoditev, scvrtje, vlomna tatvina, indirektni udarec strele itd. Pri tem mora biti škoda nenadna, posledice pa vidne s prostim očesom. V primeru zavarovanja nosilcev podatkov se krije škoda na nosilcih in podatkih (ponoven vnos izgubljenih podatkov), posredna škoda, ki jo utrpi zavarovanec zaradi izgube podatkov (ker ne more poslovati), pa pri nobeni zavarovalnici ni predmet kritja. Zavarovalna premija je odvisna od vrste in vrednosti programske opreme in ocene stroškov za ponovni vnos izgubljenih podatkov, večina zavarovalnic pa ob tem postavlja tudi pogoje, kot je denimo frekvenca shranjevanja podatkov.
Z drugimi besedami, prav nobena zavarovalnica pri nas ne zavaruje poslovne škode, ki nastane kot izguba podatkov. Res je sicer, da je poslovna škoda v vsakem primeru zelo izmuzljiva zadeva, kar vam bo rade volje potrdil vsak pravnik, vendar bi glede na število zavarovalnic v tuji lasti lahko pričakovali vsaj kako izpeljanko tuje ponudbe v kateri izmed hčerinskih družb pri nas. V spletu je recimo mogoče najti tudi kalkulator škode ob izgubi podatkov (Data Loss Cost Calculator, www.tech-404.com/calculator.html). Za primer smo izračunali škodo, ki bi jo utegnil imeti Moj mikro ob morebitni izgubi podatkov o naročnikih, in prišli do številke skoraj dva milijona USD. Slednja vključuje stroške odvetnikov, odškodnin zaradi izgube osebnih podatkov, obveščanja, ponovnega pridobivanja, svetovanja (forenzika, komunikacijska strategija), kazni, regulative, novih postopkov in politik, ki bi morali biti vpeljani kot posledica tega spodrsljaja. ..
A tudi v tujini vse še zdaleč ni tako dorečeno kot npr. pri avtomobilskih zavarovanjih, kjer je aktuarjem treba le pogledati in se odločiti v okviru že davno preizkušenih tabel in enačb. Težava se namreč pojavlja pri zavarovanju odgovornosti do tretjih oseb, saj je precej težje določiti odškodnino za škodo, ki je nekomu nastala kot posledica napak denimo ponudnika internetnih storitev.
Poleg tega skupaj z novimi rešitvami, storitvami in idejami v informacijsko tehnologijo prihajajo tudi nove težave. Kako denimo opredeliti odgovornost podjetja, ki mu informacijsko podporo zagotavlja zunanji izvajalec? V skladu z naravo storitve ter obsegom pogodbe o zunanjem zagotavljanju storitev se ponudniki namreč ne odločijo vedno za posredovanje podrobnosti o svojih lastnih politikah glede tveganj, kar spet oteži nalogo potencialnih zavarovalcev. Toda vsaj v tujini se na podlagi dostopnih informacij zavarovalnice kljub temu pri večjih pogodbah odločijo ugrizniti v kislo jabolko, še zlasti če gre za znanega ponudnika zunanjega zagotavljanja storitev.
DO KDAJ SIVA LISA?
Zavarovanje tveganj izgube podatkov, pa tudi škode tretjim osebam, je precej novo (oziroma v Sloveniji še neobstoječe) področje zavarovalništva, vendar bi kljub odgovorom slovenskih zavarovalnic, ki »v zadnjem času niso zaznale kakega povpraševanja po tovrstnih storitvah« pričakovali, da bodo vsaj vodje IT po večjih slovenskih podjetjih želeli zapolniti sive lise na področju zavarovanja in upravljanja s tveganji. Povrnitev stroškov vnosa podatkov je namreč eno, odgovornost za izgubo podatkov stranke ali dobaviteljev drugo, izguba kritičnih in nenadomestljivih podatkov pa utegne biti v današnjem času čedalje večjega prepletanja informacijskih tehnologij ter poslovanja tudi usodna.
Moj mikro, November 2009 | Boštjan Klajnščak |
