SI.RISK novice, september 2017

Št. 6-7, september 2017

DIGITALIZACIJA IN NJENA VSEPRISOTNOST
Digitalizacija je postala velik del naših življenj. S svojo vsenavzočnostjo spreminja življenja ljudi in delovanje na ekonomskih trgih. Zaradi tega so potrebna nenehna prilagajanja in reorganizacija produktov, storitev in procesov.

Neprestano se postavljajo novi tehnološki okvirji, inovacije so brezmejne. Vzemimo kot primer razvoj na področju umetne inteligence, interneta stvari, samovozečih vozil, robotov in nanosenzorjev. Čeprav večina teh tehnologij še ni v fazi zrelosti, imajo ogromen razvojni potencial.

Digitalizacija ima velik vpliv tudi na zavarovalniško in finančno industrijo. Zavarovalniški sektor sicer spada med tiste z nizko stopnjo inovativnosti, vendar so spremembe opazne. Prisotnega je vedno več sodelovanja in investiranja v start-up podjetja, ki imajo digitalne poslovne modele.

Kvalitetne informacije o sedanjih in prihajajočih trendih tehnologij so ključnega pomena za efektivne, strateške poslovne odločitve. Samo tisti, ki bodo pravočasno identificirali potenciale novih tehnologij in ustvarjali inovacije z dodano vrednostjo, bodo posledično pridobili konkurenčno prednost.

Povzeto po: IT Trend Radar 2017 (MunichRE), Innovations create stimulus for growth (MunichRE)

 

OKOLJSKA ODGOVORNOST
Meseca maja je zagorelo v tovarni Kemis v Vrhniki. Ta dogodek nas je spodbudil, da izpostavimo problematiko tveganj, ki niso tako pogosta in zaradi tega velikokrat ukrepamo šele, ko se uresničijo.

V znak ozaveščanja v nadaljevanju navajamo kratek povzetek izbranih členov poglavja »Odgovornost za preprečevanje oziroma sanacijo okoljske škode« iz Zakona o varstvu okolja:

  • Povzročitelj obremenitve (škode) je v zvezi z opravljanjem svoje dejavnosti odgovoren za preprečevanje neposredne nevarnosti za nastanek okoljske škode in za preprečevanje oziroma sanacijo okoljske škode ne glede na krivdo.
  • Za okoljsko škodo na vodah se šteje škoda z večjim škodljivim vplivom na ekološko, kemijsko, količinsko stanje ali ekološki potencial vode skladno z določbami zakona in predpisov o vodah, razen če gre za dopustne izjeme.
  • Za okoljsko škodo, povzročeno tlom, se smatra vsako onesnaženje z emisijami v, na ali pod tla, ki lahko ogrozi zdravje ljudi in presega predpisane standarde kakovosti tal.
  • Država pospešuje in spodbuja doseganje ciljev varstva okolja tudi z ekonomskimi ter finančnimi instrumenti, med drugim z zavarovanji, bančnimi garancijami in drugimi oblikami finančnega jamstva.

Agencija Republike Slovenije za okolje (ARSO) je v začetku junija 2017 objavila posodobljen seznam izdanih okoljevarstvenih dovoljenj. Od leta 2007 so bila dovoljenja izdana 130-im podjetjem, medtem ko smo preverili in izvedeli, da ima zavarovanje okoljske odgovornosti sklenjeno le nekaj podjetij. Priporočili bi, da bi jih bilo več.

Povzeto po: Zakon o varstvu okolja (ZVO-1), ARSO – Seznam izdanih okoljevarstvenih dovoljenj;

 

PREPOVEDI VNOSA ELEKTRONSKIH NAPRAV NA LETALA – TVEGANJE PRI ODPRAVI TVEGANJA
Na tem mestu velja omeniti tudi problematiko morebitne uvedbe prepovedi vnosa elektronskih naprav na letala v ročni prtljagi za transatlantske lete. V ZDA navajajo, da je ukrep preventiven, in sicer z namenom preprečitve poskusa terorističnega napada, ki bi ga teroristi lahko izvedli s skritimi eksplozivi v napravah. Angleški piloti opozarjajo, da bi posledice, v primeru sprejetja ukrepa, lahko bile katastrofalne. Večina prenosnikov, tablic in bralnikov e-knjig ima namreč litijeve baterije, ki lahko v primeru napake ali okvare zagorijo. Če do vžiga pride v letalski kabini, je ta lažje obvladljiv, medtem ko prostor za prtljago med letom ni dostopen.

Za konec velja dodati, da je pri uvajanju novih ukrepov potrebno gledati širše. Paziti moramo, da obvladovanje ene vrste tveganja ne vodi v drugo tveganje.

Povzeto po: Donald Trump's laptop ban could lead to »catastrophic« fire on flight, airline pilots say (Independent).

 

ZADNJI ODMEVNI KIBERNETSKI NAPD - WannaCry
Maja, natančneje 12. maja 2017, je prišlo do kibernetskega napada z izsiljevalskim virusom WannaCry. Prizadetih je bilo okrog 250.000 računalnikov v več kot 150 državah. Virus naj bi zaklenil zaslone in zakodiral podatke. Hekerji so nato od uporabnikov zahtevali »odkupnino« v kriptovaluti bitcoin za zasežene podatke, ki bi jih slednji lahko v primeru neplačila izgubili.

Žrtve napada so bili uporabniki starejše, nezaščitene verzije sistema Windows XP. Microsoft je incident označil kot budnico oz. opozorilo za vladne oblasti, da usmerijo svoj fokus na spletno varnost ter za organizacije, da redno vzdržujejo in posodabljajo svojo programsko opremo.

Povzeto po: Global cyber-attack: a wake-up call (Armic), Wake-up call for cyber security (Strategic RISK)

 

KIBERNETSKA TVEGANJA
Kibernetsko tveganje je eno izmed najbolj hitro rastočih tveganj v poslovnem svetu danes. Kljub temu obstaja veliko načinov, s katerimi lahko zmanjšamo nevarnost oziroma ublažimo učinek, ko se kibernetsko tveganje uresniči. Če na tveganje nismo pripravljeni, lahko njegova uresničitev hudo vpliva na ugled podjetja, tržni delež idr.

Medtem ko napovedi o pogostosti in finančnem vplivu kršitev podatkov povzročajo pusto branje, lahko organizacijam omogočijo, da ustvarijo kibernetsko odpornost v svoji korporativni kulturi. To se začne s temeljito oceno tveganja in razvojem korporativne podatkovne varnostne politike. To med drugim vključuje tudi:

  • Pregled fizične varnosti za preprečevanje nepooblaščenega dostopa do objekta in kritičnih območij (strežniške sobe);
  • Omejitev dostopa zaposlenih do podatkov – omejiti dostop do skupnih diskov in nadzirati odobritve s strani pisarne za informacijsko varnost;
  • Uporabo šifriranja, kjer je to mogoče, tudi za izmenjavo datotek;
  • Izobraževanje in krepitev ozaveščenosti zaposlenih, vključno z zagotavljanjem posodobitve vseh varnostnih programov in takojšnjega prenosa vseh popravkov programske opreme;
  • Trajajoče nadaljnje spremljanje varnosti – pomembno je, da je glavni informacijski uslužbenec na tekočem s poslovnimi dejavnostmi podjetja, saj lahko le tako zagotovi primerne varnostne ukrepe.

Na žalost pa se kibernetskim tveganjem ne moremo v celoti izogniti. Zato je potrebno narediti obnovitveni načrt, s katerim se bomo lahko spopadali s posledicami kibernetskega napada. Načrt mora zajemati naslednja področja:

  • Kako prepoznati in izolirati kršitev varnosti v sprejemljivem času, da minimiziramo vpliv, ki ga lahko ima napad na naše poslovanje;
  • Identificirati posebno ekipo za odzivanje, ki poskrbi za mobilizacijo v primeru napada;
  • Zahteve za obveščanje regulatorjev o vseh kršitvah, ki vključujejo javne podatke oziroma podatke tretje osebe;
  • Možnosti vključitve svetovalcev za odnose z javnostmi, da pomirijo širšo javnost.

Obnovitveni načrt lahko pripomore k zmanjšanju dolgoročne škode po tem, ko se javnost zaveda, da je bilo podjetje tarča kibernetskega napada oziroma kršitve varnosti podatkov. Obnovitveni načrt bo zagotovil, da bo podjetje fleksibilno, saj je lahko le v tem primeru konkurenčno.

Kot lahko vidimo na primeru odmevnega napada WannaCry, podjetja pogosto ne vedo kako dobro so pripravljena na napad, dokler se ta ne zgodi. Bistveno je, da se potencialna kibernetska tveganja redno ocenjujejo ter da se kibernetska varnost smatra kot izziv za celotno podjetje in ne samo kot nekaj, kaj mora obvladati zgolj služba za informacijsko tehnologijo.

Svoje predloge na temo upravljanja kibernetskih tveganj sta 29. 6. 2017 podali tudi FERMA in ECIIA – konfederacija evropskih inštitutov za notranjo revizijo. V poročilu so pozvali podjetja, da oblikujejo skupine za upravljanje kibernetskih tveganj. Na dogodku so bili prisotni tudi predsedniki nacionalnih združenj, tudi predsednica Združenja SI.RISK.

Poročilo je dostopno na naslednji povezavi: tukaj.

Povzeto po: Practical steps to limit cyber damage – before and after an attack. (Airmic), Businesses unsure on right approach to cyber risk management, survey shows. (Airmic), WannaCry and Petya attacks: businesses must plug cyber governance gap. (Airmic)

 

PRIPOROČAMO - strokovno branje:

 

FERMA ECIIA: Cyber Risk Governance Report: At the junction of corporate governance and cybersecurity

Novice pripravila: Špela Škofič in Jure Mežnaršič