Meedias leiduva info põhjal tekkis katkestus CrowdStrike’i välja antud probleemse tarkvarauuendusega. Vigane värskendus võeti tagasi ja süsteemid hakkasid järk-järgult taastuma, kuid mõnede ettevõtete töö oli häiritud mitu päeva. See intsident näitab, kuidas IT-teenused on väärtusahelas olulisel kohal ja sõltuvad omavahel ning ühest veast saab alguse pikk probleemide ahel – kui IT-teenused on maas ja lennule registreerimine ei toimi või väravaid ei kuvata, siis kannatavad nii lennujaam, lennufirmad kui ka lennureisijaid. Haiglad tühistasid vastuvõtte ja operatsioone, pangateenuseid ei toiminud, mitmete uudistekanalite töö oli häiritud.
Kuigi suurem paanika on läbi, siis kindlustuse vaatest töö alles algab. CrowdStrike’i juhtumi valguses on juba tekkinud mitmeid kindlustuse müüte.
Kas küberkindlustus hüvitab ettevõtetele kahju?
Levivad arvamused, et küberkindlustus ei kata kahjusid, sest tegu polnud küberründega. Tegelikkuses on kindlustuslepingud erinevad ja osa neist katavad ka IT-katkestusega tekkinud kahjud.
On küberkindlustusi, mis katavad vaid küberrünnetega seotud kahju või ei sisalda tegevuse katkemise kahju. Samuti tuleb teenusepakkujate süsteemirikete kahju eraldi kokku leppida.
Kuid pakutakse ka kindlustuslahendusi, mis katavad mitte-kriminaalse intsidendiga seotud kahjusid ja nendega seotud tegevuse katkemise kulu. Ettevõtted, mille tegevus sõltub pilveteenuse pakkujatest, kindlustavad ka katkestusega seotud aega (nn parameetriline kindlustus, kus kindlustussumma lepitakse kokku iga maas oldud ajaühiku eest).
Kas IT-või tehnoloogiaettevõtte vastutuskindlustus (TECH PI) aitab?
Suurematel IT-ettevõtetel on tehnoloogilise tegevusega seotud vastutuskindlustus esmatähtis. Seda nõuavad nii investorid kui lepingupartnerid ja on mõeldud tegevusriskide maandamiseks.
Selleks, et nõuet saaks esitada, tuleks esmalt vaadata, kas omavaheline leping seda võimaldab. Lepingud võivad välistada või piirata teenusepakkuja vastutust ja kahju suurust või määratleda minimaalse teenuseta oldud aja. Seda selleks, et teenust pakkuv ettevõte piiramatult kõikide kulud eest ei vastutaks (nt ei maksaks lennureisijate hüvitist, kuid võiks hüvitada IT-spetsialistide kulud). Tagasi saaks küsida ka kuutasu aja eest, mil teenust kasutada ei saanud – seegi ei kuulu enamasti kindlustuse valdkonda.
Kas juhatuse liikme vastutuskindlustus (D&O) katab küberturbejuhte (CISO)?
CrowdStrike’i aktsia langes USA eelturul 20%, alla 300 dollari. Sellega kaotas firma oma turuväärtusest hetkega üle 10 miljardi dollari. Seega on oodata kohtuasju ettevõtte juhtide vastu, sh investorite ja omanike poolt. Kuna puudutatud oli väga palju ettevõtteid, siis ennustatakse ka ühishagisid.
Samuti arutletakse, kas küberturbejuht (CISO) vastutab isiklikult ja oma varaga. Kui infoturbejuht on töölepinguga töötaja, siis sellistel juhtumitel tal isiklikku varalist vastutust ei ole, kuid õiguskulude osas võib juhatuse liikme vastutus siiski rakenduda (näiteks, kui teda koos ettevõtte või teiste juhtidega hagetakse). Osades õigusruumides vastutab.
Kui tegemist on juhatuse liikmega, kelle vastutusvaldkond on küberturve, siis on põhjust kasutada D&O lepingut (samas jälgides, et seal pole küberi osas eraldi piiranguid).