Míg 25 éve még leginkább csak az informatikával játszadozó fiatalok “csínytevése” volt, ma már gyakran a cégek létét veszélyeztetik a kibertámadások. Ezek rontják a megtámadott cégek hírnevét, hitelét, de gyakran a működésüket is megbénítják.
A zsarolóvírusok, adatszivárgások, DDoS-támadások vagy épp célzott adathalászatok által okozott anyagi kár évente a százmilliárd dolláros nagyságrendet is eléri, ráadásul ezek a számok évről évre nőnek.
Ki fizeti meg a kibertámadások okozta kárt?
Mi történik akkor, amikor bekövetkezik a baj? Ki fizeti a helyreállítást, a bírságokat, a reputációvesztés következményeit, árbevétel-kiesést vagy éppen az ügyféladatok pótlásának költségeit? A biztosító? A vállalat? A munkavállaló? Netán végső soron a fogyasztó?
>>
Megéri az IT biztonságba fektetni? Szakértői becslések szerint 2025-ben világszerte 10,5 milliárd dollár kárt okoznak majd a kiberbűnözők. 2023 első negyedéve és 2024 hasonló negyedéve…
A kérdés megválaszolása minden felelős cégvezető és CIO számára kulcsfontosságú.
A legtöbb kibertámadás emberi hiba következménye
A Littlefish elemzése szerint a kibertámadások 95%-a emberi hibából következik be. Ez lehet egy óvatlanul megnyitott e-mail csatolmány, egy új jelszó megosztása vagy épp a kétfaktoros hitelesítés elmulasztása.
A probléma gyökere sokszor nem is a rosszindulat, hanem az információhiány. A munkavállalók jellemzően nincsenek tisztában azzal, hogy akár már egyetlen rossz kattintással is több millió forintos kárt okozhatnak.
Munkavállaló vs. munkáltató: mikor ki fizet?
A magyar munkajog – a Munka Törvénykönyve – világosan szabályozza, hogy a munkavállaló csak szándékos vagy súlyosan gondatlan magatartása esetén felel a munkáltatónak okozott teljes kárért. Egy figyelmetlenségből bekövetkező adatszivárgás esetén tehát jó eséllyel nem a dolgozónak, hanem a munkáltatónak kell viselnie a kárt.
Súlyos gondatlanságnak minősül viszont az, ha egy munkavállaló többszöri figyelmeztetés ellenére továbbra is személyes eszközön, védelem nélkül végzi a céges levelezést, mások számára is elérhetően tárolja a jelszavait, vagyis szándékosan figyelmen kívül hagyja az IT-szabályzatot.
De még ilyen esetben is ritka, hogy egy céges káresemény után bepereljék a dolgozót, hiszen a reputációs kockázat és a munkáltatói felelősségvállalás általában erősebb szempont.
Biztosítás biztonság?
Fizet a biztosító? Igen – néha.
Egyre több vállalat rendelkezik úgynevezett kiber kockázati biztosítással (kiberbiztosítással), ami megtéríti a támadás következtében felmerülő:
rendszerhelyreállítási költségeket,
jogi költségeket,
adatvédelmi bírságokat,
ügyféltájékoztatási kiadásokat,
vagy épp a zsarolóvírusos váltságdíjat.
A gond csak az, hogy a biztosítók egyre szigorúbb feltételekhez kötik a kifizetést. A legtöbb kárigényt ugyanis elutasítják, ha bebizonyosodik, hogy a vállalat nem tartotta be az alapvető kiberbiztonsági protokollokat – például nem volt rendszeres biztonsági oktatás, nem frissítették időben a szoftvereket vagy nem alkalmaztak többfaktoros hitelesítést.
Ráadásul a hagyományos vállalati felelősségbiztosítás általában nem fedezi a kibertámadások következményeit – ezek külön biztosítási konstrukciókhoz kötöttek.
Mi történik, ha senki sem fizet?
Egy 2023-as IBM tanulmány szerint a kibertámadások okozta károk költségének döntő részét – közvetve vagy közvetlenül – végül a fogyasztók fizetik meg.
Hogyan?
Áremeléseken keresztül,
Lassabb ügyintézéssel,
Romló szolgáltatási színvonallal,
Akár személyes adatvesztés formájában.
A vállalat tehát nemcsak saját eredményességét veszélyezteti, ha nem fordít figyelmet a kiberbiztonságra, hanem ügyfelei bizalmát is – ami sok esetben még nagyobb veszteség.
Mennyibe kerül egy támadás?
A GetAstra kutatása alapján egy sikeres kibertámadás átlagosan 200 000 dollárba kerül egy középvállalatnak – de ez az összeg könnyen a milliós tartományba emelkedhet, ha adatvédelmi bírságról, GDPR-ről vagy hosszabb leállásról van szó.
A legtöbb cég azonban még mindig nincs felkészülve egy ilyen helyzetre: nincs incidenskezelési terv, nincsenek biztonságtudatosított kollégák, és a vezetők is gyakran csak a támadás után keresnek megoldást.
Mit tehet a vezető?
1. Tudatosítsa a felelősséget: A kiberbiztonság nem csak az IT-osztály dolga. A hibák többsége az emberi tényezőre vezethető vissza, így minden kolléga bevonása elengedhetetlen.
2. Képezze a csapatot: Évente legalább egyszer legyen kötelező kiberbiztonsági tréning. A social engineering támadások, adathalász e-mailek és jelszókezelés alapjai mindenki számára érthető formában taníthatók.
3. Vizsgálja felül a biztosítási hátteret: Ellenőrizze, hogy a meglévő biztosítás valóban fedezi-e a digitális kockázatokat – ha nem, keressen kiberspecifikus konstrukciót.
4. Dolgozzon ki incidenskezelési tervet: Mit tesz a cég egy támadás első 24 órájában? Ki dönt? Hogyan kommunikálnak az ügyfelekkel? Ezek a kérdések ne a támadás napján merüljenek fel először.
5. Kérjen auditot: Egy független kiberbiztonsági audit feltárhatja a rejtett gyenge pontokat – és megelőzheti a nagyobb bajt.
Büntetés elmaradt megelőzés miatt
A NIS2 bevezetése új megközelítést hozott. Eszerint a Hatóság (Magyarországon a Szabályozott Tevékenységek Felügyeleti Hatósága)
Bírságolhatja a szervezetet: bírságot szabhat ki, ha a az nem teljesíti az NIS2 szerinti kötelezettségeit (pl. kockázatkezelés, incidensjelentés, auditálás). Ennek a bírságnak a mértéke elérheti a 10 millió eurót / az éves árbevétel 2%-át, ami komoly elrettentő erővel bírhat,
Bírságolhatja a vezető tisztviselőket (egyéni felelősség), ha a vezető nem gondoskodik a megfelelő kiberbiztonsági intézkedésekről. Akár személyes felelősségre vonás is lehetséges. (Ez akár büntetőjogi következményeket is vonhat maga után, ha súlyos gondatlanság vagy szándékos mulasztás áll fenn – pl. ha tudatosan nem jelentettek egy súlyos incidenst).
Bírságolhatja a külső szolgáltatók (pl. IT-szolgáltatók, MSSP-k):
Ha a szolgáltató hibájából következik be a támadás vagy a szabályozás megsértése, szerződéses és polgári jogi felelősség is felmerülhet.
Mindezek csak az NIS2 törvényeben megnevezett, a szabályozás alá tartozó szervezetekre vonatkoznak.
Összefoglalás: Aki nem fizet megelőzésre, az fizet majd a károkra
A kibertámadások nem a jövő problémái – már rég itt vannak. A kérdés nem az, hogy lesz-e támadás, hanem az, hogy mikor, és hogy a cég felkészült-e rá.
Aki most nem ruház be a megelőzésbe – oktatásba, biztosításba, protokollokba –, az nagy valószínűséggel a sokszorosát fogja fizetni utólag.
Gyakran Ismételt Kérdések a kibertámadások okozta károk megtérítéséről
Kinek a felelőssége, ha egy kolléga hibájából történik kibertámadás?
A legtöbb esetben a munkáltató felel a munkavállaló hibájáért – kivéve, ha a dolgozó szándékosan vagy súlyosan gondatlanul járt el. Magyar jog szerint a munkavállaló csak ilyen esetben köteles megtéríteni a teljes kárt. Ezért kulcsfontosságú a világos belső szabályozás és a rendszeres biztonságtudatossági képzés.
Milyen esetekben téríti meg a biztosító a kibertámadás okozta kárt?
A kiberbiztosítás csak akkor fizet, ha a vállalat betartotta a szerződésben meghatározott minimális biztonsági követelményeket – például voltak frissítések, mentések, oktatások és incidenskezelési terv. Ha ezek hiányoznak, vagy az emberi hiba egyértelműen elkerülhető lett volna, a biztosító elutasíthatja a kártérítést.
Milyen kárt okozhat egy kibertámadás egy magyar középvállalatnál?
Egy sikeres támadás akár több tízmillió forintos veszteséget is okozhat. Ide tartozik az IT-rendszer helyreállítása, az esetleges bírságok (pl. GDPR), a kieső árbevétel, valamint az ügyfelek elvesztése. A nemzetközi átlag 200 000 dollár körül mozog – hazai környezetben ez reális veszteség lehet.
A vállalati felelősségbiztosítás is fedezi a kibertámadás okozta károkat?
Nem feltétlenül. A hagyományos vállalati felelősségbiztosítás nem minden esetben terjed ki kibertámadásokra. Erre külön kiberbiztonsági kiegészítő biztosítást vagy dedikált kiberbiztosítást kell kötni. Fontos, hogy a fedezeti kör és a kizárások pontosan ismertek legyenek.
Meg lehet előzni a kibertámadások többségét?
Igen, a támadások több mint 90%-a megelőzhető lenne megfelelő biztonsági intézkedésekkel és képzéssel. A legnagyobb gyengeség továbbra is az emberi tényező: jelszókezelési hibák, óvatlan kattintások, tudáshiány. A technikai védelem mellett az oktatás és a tudatosítás a legjobb befektetés.
Kalmár István
Kalmár István 2018-ban csatlakozott a Panor csapatához, ahol az IT Security Divízió vezetői posztját tölti be. Munkájában villamosmérnöki tudása mellett közgazdász végzettségére is támaszkodhat, Érdeklődése középpontjában a LAN WA, SDWAN WIFI és az IT security témák állnak, ahol elsősorban a CISCO, az ARUBA, A Fortinet .s a PaloAlt megoldásaira fókuszál.
