„Grožio chirurgijos“ klinika po duomenų vagystės ieškinių naštos neatlaikys
Jokia bendrovė nėra apsaugota nuo kibernetinio įsilaužimo pavojaus. Pastarasis įvykis, kai buvo įsilaužta ne į banko, valstybinės institucijos ar naujienų portalo, o į klinikos sistemas rodo, jog kibernetinių nusikaltėlių taikiniu gali tapti bet koks verslas, naudojantis internetą kasdieninėje veikloje. Norėčiau tikėti, kad šis plačiai žiniasklaidoje linksniuojamas atvejis, kai iš „Grožio chirurgijos“ klinikos buvo pavogti klientų asmeniniai duomenys ir nuotraukos bus šaltas dušas, po kurio visi šalies verslininkai susirūpins, kaip tokia informacija saugoma jų įmonių serveriuose, kompiuteriuose ar net mobiliuosiuose telefonuose.
Nenorėčiau analizuoti „Grožio chirurgijos“ klinikos neapdairumo prieš duomenų vagystę ir bandymo nuslėpti įsilaužimo faktą po vagystės. Tačiau kai bent viena intymi nuotrauka išlįs į viešumą, klinika klientų ieškinių neišvengs.
Tokie ieškiniai mūsų šalyje – dar naujiena, nors per metus oficialiai Lietuvoje registruojama jau virš 15 000 įvairių įsilaužimų bei duomenų vagysčių. Na, o Vakarų Europoje ar Jungtinėse Amerikos Valstijose, kur klientai drąsesni ir geriau žino savo teises, bylų dėl paviešintų asmens duomenų daugėja kasmet. Atrodytų ir IT saugumu užsienio verslai rūpinasi gerokai rimčiau, tačiau jei programišiams pavyksta įsilaužti net į FTB serverius Amerikoje, joks kompiuteris nėra 100% apsaugotas.
Augant kibernetinių įsilaužimų ir vagysčių skaičiui didžiosios pasaulio draudimo bendrovės jau prieš gerą dešimtmetį pasiūlė kibernetinių rizikų draudimą. Na, o prieš metus mūsų bendrovė BUNDA („Baltic Underwriting Agency“) šį draudimą pristatė ir Lietuvos įmonėms. Draudimo apsaugą šalies verslui suteikia vienas didžiausių pasaulyje draudimo sindikatų „Lloyd‘s of London“, turintis didžiulę patirtį kibernetinių įsilaužimų ir duomenų vagysčių žalų reguliavime ir nuostolių atlyginime.
Galiu drąsiai teigti, kad nustebtumėte sužinoję, kokią plačią ir iki smulkmenų apmąstytą draudimo apsaugą teikia kibernetinių rizikų draudimas. „Lloyd‘s“ draudikų siūlomi kibernetinių rizikų draudimo produktai labai lankstūs, pritaikomi prie įmonės veiklos specifikos. Nesunku nuspėti, kad šis skandalas pakenkė ir klinikos įvaizdžiui ir klientų pasitikėjimą atgauti bus labai sunku. Tarkime, jei „Grožio chirurgijos“ klinika būtų turėjusi kibernetinių rizikų draudimą, būtų galėjusi pasinaudoti tokio draudimo teikiamais privalumais: draudiko sąskaita nusisamdyti krizių valdymo specialistus bei viešųjų ryšių specialistus. Tokiais atvejais be galo svarbu ir tinkamas nukentėjusių klientų informavimas apie atsitikusį įvykį bei tolimesnė komunikacija su jais.
Kiek man pačiam teko skaityti žiniasklaidoje, apie duomenų vagystę daugelis klinikos klientų sužinojo iš tos pačios žiniasklaidos arba dar blogiau, iš pačių įsilaužėlių, kurie rašinėjo laiškus ir siuntinėjo SMS žinutes su grasinimais. Kaip jau minėjau, tokiose situacijose labai realu, kad įmonei, neužtikrinusiai savo klientų asmens duomenų apsaugos, gali būti pateikti ieškiniai, o netinkama komunikacija su klientais tik padidina tikimybę gauti pretenzijas iš nukentėjusių asmenų. Gavus pretenzijas įmonės pečius užguls didelė finansinė našta – išlaidos advokatams, teismams ir panašiai. Vėlgi, turint kibernetinių rizikų draudimą, draudikas atlygintų ne tik didžiąją dalį išlaidų teisininkams ir gynybai, tačiau ir pačios žalos atlyginimą nekentėjusiems klientams, neatsižvelgiant į tai, ar būtų pasirašytą taikos sutartis su klientu ar teismas patenkintų nukentėjusių asmenų ieškinius.
Mano žiniomis, programišiams į rankas pateko 24 000 klinikos klientų sveikatos duomenys. Susisiekti su kiekvienu klientu reikėtų šimtus darbuotojų turinčio skambučių centro ir tai truktų ne vieną ir ne dvi dienas. Tokias operatyvaus klientų informavimo išlaidas kibernetinių rizikų draudimo turėtojui taip pat atlygintų draudimo bendrovė.
Iš savo patirties žinau, kad daugelis įmonių vadovų nustemba sužinoję, kad vienu draudimo polisu atlyginamos visos kibernetinės rizikos, apie kurių egzistavimą vadovai net neįtarė.
Ar toks draudimas yra „įkandamas“ ne tik dideliam, bet ir vidutiniam ar smulkiam verslui? Mano skaičiavimais, „Grožio chirurgijos“ klinikai „BUNDA“ platinama kibernetinių rizikų draudimo metinė sutartis būtų kainavusi apie 1,7-2 tūkstančius eurų. Tai tikrai nedidelė suma, ypač kai ant kortos pastatyta ne tik įmonės reputacija, tačiau ir jos likimas. Abejoju, ar po Natalijos Bunkės bei kitų nukentėjusių klinikos klientų ieškinių klinika išsilaikys nebankrutavusi, nes bendra ieškinių suma gali siekti net kelis milijonus eurų. Taigi, kažkada sutaupyti keli tūkstančiai eurų IT infrastruktūros saugumo didinimui ir kibernetinių rizikų draudimo įsigijimui gali užbaigti 8 metus klestėjusios klinikos gyvavimą…