Գլոբալիզացիայի այս դարաշրջանում մարդկանց անձնական տվյալների գաղտնիության պահպանումը գրեթե անհնար է։ Հատուկենտ մարդիկ են վերաբերվում այս հարցին առավելագույն բծախնդրությամբ․ մեծամասնությունը չի գիտակցում դրա կարևորությունը։

Վերջին տարիներին մարդիկ ավելի շատ են սկսել անհանգստանալ անձնական տեղեկատվության անվտանգության համար։ Կիբեր ռիսկերից տվյալների ավելի լավ պաշտպանություն ապահովելու համար կառավարությունները միաժամանակ կիրառում են թե՛ խթանող միջոցառումներ, օրինակ՝ հարկային արտոնություններ, և թե՛ պարտադիր միջոցներ, ինչպիսիք են GDPR-ին (Ընդհանուր տվյալների պաշտպանության կանոնակարգ) համապատասխանելիության պահանջը։ Կազմակերպությունները, իրենց հերթին, նույնպես հատուկ ծրագրեր են իրականցնում տվյալների կորուստներից խուսափելու համար։ Ըստ Grand View Research group-ի տրամադրած տվյալների՝ տեղեկատվական անվտանգության շուկան ներկայումս գնահատվում է 156,5 մլրդ ԱՄՆ դոլար և առաջիկա 7 տարիների ընթացքում սպասվում է տարեկան 10% աճ (2020-2027թթ.)։

Յուրաքանչյուր 39 վայրկյանում կատարվում է առնվազն մեկ տեղեկատվական հարձակում (Մերիլենդի համալսարան): Տվյալների կորստի դեպքերի մեծ մասը պարունակում է հետևյալ տարրերից գոնե մեկը.

52%Ցանցահենություն (հակերություն)համակարգչային տվյալների, անձնական հաշիվների, համակարգչային ցանցերի կամ թվային սարքերի վտանգում
33%Սոցիալական ինժեներիահոգեբանական ներգործության միջոցով մարդկանցից գաղտնի անձնական տեղեկության ստացում
32%Ֆիշինգզանգվածային էլեկտրոնային նամակների միջոցով մարդկանցից գաղտնի անձնական տեղեկության ստացում
28%Վնասակար ծրագիրտվյալներին և համակարգերին զգալի վնաս հասցնելու կամ ցանցի հասանելիություն ստանալու համար ծրագիր (վիրուս, տրոյական, լրտես-ծրագիր, փրկագին-ծրագիր)

Marriott International-ի տվյալների կորուստը

Marriott International-ը աշխարհահռչակ հյուրանոցային ցանց է, որը բազմիցս ունեցել է տվյալների կորստի դեպքեր։ Թերևս ամենանշանակավոր դեպքը 2018-ինն էր։ Հարձակումը սկսվել էր 2014-ին՝ Սթարվուդ հյուրանոցային ցանցում, որն այդ ժամանակ Մարիոթի մաս չէր։ Գնումից քիչ անց երկու հյուրանոցների տվյալների համակարգերի ինտեգրման ժամանակ, հանցագործները առանց դժվարության հասանելիություն են ձեռք բերել Մարիոթի բավականին լավ պաշտպանություն ունեցող տեղեկատվական համակարգին։ Արդյունքում ավելի քան 400 մլն անձնական տվյալներ՝ անուն, էլեկտրոնային հասցե, տան հասցե, անձնագրի համար, հասանելի են դարձել հանցագործներին։

Առայսօր Մարիոթը խիստ քննադատության է արժանանում իր ոչ պրոֆեսիոնալ գործողությունների պատճառով․

  • տվյալների անվտանգության ոչ բավարար հսկողություն,
  • դուստր կազմակերպությունների գնման գործընթացում ոչ պատշաճ աուդիտ,
  • տվյալների կորստի բացահայտում՝ դեպքից միայն 4 տարի անց,
  • հանրությանը տվյալների կորստի մասին ուշ տեղեկացում (բացահայտում – սեպտեմբեր, պաշտոնական հայտարարություն – նոյեմբերի վերջ), և այլն։

Վերջնական ապահովագրական հատուցումը Մարիոթ խմբին իր ապահովագրողի կողմից հայտնի չէ։ Insurance Insider -ը կանխատեսում է, որ ընդհանուր վնասը կազմել է շուրջ 300 մլն ԱՄՆ դոլար: Սակայն Մարիոթի ապահովագրական ծածկույթը միանշանակ բավարար չի ամբողջ վնասը վերականգնելու համար:

Equifax-ի տվյալների կորուստը

Equifax-ը ԱՄՆ-ում վարկերի մոնիտորինգային գործակալություն է, որը ունեցել է տվյալների կորուստ 2017-ին: Տուժած անձինք 147 մլն. են եղել, որը զգալիորեն ավելի քիչ է, քան Մարիոթի դեպքում: Այնուամենայնիվ, հաշվի առնելով գողացված տեղեկատվության օբյեկտը՝ հանրային ծառայությունների համարանիշներ, ծննդյան ամսաթվեր, վարորդական իրավունքի վկայականներ, և բազայում տվյալների կրկնօրինակների կամ մասնակի գրառումների բացակայությունը, Equifax-ի դեպքը շատ ավելի վտանգավոր էր:

Իրականում, տվյալների այս կորուստը բազմաթիվ ձախողումների արդյունք էր, որոնց մեծ մասը կազմակերպության ղեկավարության թերացումներն էին: Նրանք չէին վերացրել իրենց սերվերների համար հայտնի խոցելիությունը, խիստ գաղտնի տեղեկատվությունը պահել էին առանց հավելյալ պաշտպանական միջոցների և այլն։

Equifax-ի դեմ ընդհանուր պահանջները կազմել են շուրջ 700 մլն ԱՄՆ դոլար, որից 300-425 մլն ԱՄՆ դոլարը հատկացվել են հաճախորդների հայցերի բավարարման ֆոնդին, իսկ մնացածը կամ 275 մլն ԱՄՆ դոլարը տուգանքներ են Կառավարությանը կամ Սպառողների Ֆինանսական Պաշտպանության Բյուրոյին։ Չնայած որ Equifax-ն ուներ բավականին համապարփակ կիբեր ապահովագրության պայմանագիր, ընդհանուր վնասից վերջինս հատուցել էր միայն 100-150 մլն-ը (ըստ Insurance Journal-ի տվյալների՝ 125 մլն ԱՄՆ դոլարը):

Wanna Cry փրկագին ծրագրի հարձակում

Ի տարբերություն քննարկված երկու դեպքերի, Wanna Cry հարձակումը թիրախավորել էր ոչ թե հայտնի խոշոր կազմակերպության, այլ անհատների: Հանցագործները օգտագործել էին Microsoft-ի հրապարակված ծրագրային թերությունը։ Շատ սպառողներ հրաժարվել էին վերջինիս վերացնող ծրագրային թարմացումից, ինչով էլ վտանգել էին իրենց։ Wanna Cry փրկագին ծրագիրը արգելափակում էր օգտվողներին իրենց համակարգիչներից և պահանջում էր 300 ԱՄՆ դոլարին համարժեք բիթքոին (փրկագին)՝ օգտատերի փաստաթղթերը հասանելի չդարձնելու համար: Հարձակումը վարակել էր շուրջ 300,000 համակարգիչ ամբողջ աշխարհում։ Հստակ տեղեկատվություն չկա՝ արդյոք տուժողները փրկագինը վճարելուց հետո ստացել են իրենց փաստաթղթերը թե ոչ, սակայն հարձակման ընդհանուր վնասները գնահատվում են ավելին քան 4 մլրդ ԱՄՆ դոլար (Cyence LLC):

Wanna Cry հարձակման հետևանքները իրականում չեն սահմանափակվում փրկագնով: Հարձակման ժամանակ մարդիկ ի վիճակի չէին օգտագործել իրենց համակարգիչները, որը հանգեցրել է եկամտի լուրջ կորուստների: Ավելին, հիվանդանոցների և ռազմավարական նշանակություն ունեցող այլ հաստատությունների գործառնական համակարգերը սառել էին և առաջացրել շատ ավելի լուրջ բարդություններ:

Կարելի է ենթադրել, որ այս բոլոր հարձակումներից հետո մարդիկ ավելի շատ կգնահատեին կիբեր ապահովագրությունն ու տեղեկատվական անվտանգությունը: Իրականում՝ ոչ այդքան: Հետազոտությունները ցույց են տալիս, որ բրոքերների և ապահովագրողների մեծ մասը համարում է, որ հարձակումներից հետո կիբեր ապահովագրության պահանջարկը էական փոփոխություն չի ունեցել:

Առհասարակ, կիբեր ապահովագրությունը չունի պոլիսների ստանդարտացված ձևաչափ. որ ռիսկերը ներառել, և որոնք բացառել: Հետևաբար, ապահովագրողը և ապահովադիրը սերտորեն համագործակցում են իրար հետ` վերջինիս կարիքներին բավարարող անհատական լուծում գտնելու համար։

Կիբեր ապահովագրությունը Հայաստանում զարգացած չէ: Ներկայումս գործող պայմանագրերը չեն գերազանցում 10-ը: Այսինքն, ո՛չ կազմակերպությունները, ո՛չ ապահովագրողները հետաքրքրված չեն տեղեկատվական համակարգերի անվտանգության ապահովագրական պայմանագրեր կնքելով: Այս պահանջը հիմնականում դրվում է միջազգային կորպորացիաների կողմից իրենց հայկական դուստր ձեռնարկությունների, մասնաճյուղերի և ներկայացուցչությունների վրա: Հայաստանում կիբեր ապահովագրության մնացած պոլիսները ֆրոնտինգային պայմանագրերի արդյունք են: Երկու դեպքում էլ հայ ապահովագրողները ոչ մի ռիսկ չեն կրում իրենց վրա և ամբողջը զիջում են իրենց վերաապահովագրական գործընկերներին:

Հետևաբար, Հայաստանի ապահովագրական ընկերություններից ոչ մեկը չունի ստանդարտ կիբեր ապահովագրական պրոդուկտներ: Եթե պայմանագիր է կնքվում, այն ամբողջովին հիմնված է վերաապահովագրական կազմակերպությունների փորձի վրա: Ըստ այդմ, տվյալների կորստի կամ կիբեր ապահովագրության հատուցումների մասին տեղական հայտնի դեպքեր չկան։

Author

  • ԱՐՓԻ ՍԻՆԱՆՅԱՆ

    Հեղինակի մասին

    Անդերրայթինգի բաժնի ղեկավար, ԷՖԵՍ ԱՓԲԸ
    Տնտեսագիտության Մագիստրոս (ՀԱՀ), Գործարարության Բակալավր (ՀԱՀ)
    Ապահովագրության մեջ փորձառություն – սկսած 2020