U srpnju 2024. neispravno ažuriranje pružatelja usluga kibernetičke sigurnosti – CrowdStrike - uzrokovalo je raširene poremećaje u milijunima Windows sustava diljem svijeta. Iako se nije radilo o zlonamjernom napadu s namjerom nanošenja štete, učinci događaja doveli su do jednog od najvećih IT prekida u povijesti, pogađajući kritične operacije u ključnim industrijama i sektorima kao što su zrakoplovne tvrtke i zračne luke, banke, burze, tehnološke tvrtke i zdravstvene usluge.
Udarni valovi ovog događaja doveli su u fokus ranjivost našeg digitalnog svijeta. Ključni uzroci stresa u našem vrlo dinamičnom kibernetičkom krajoliku uključuju ovisnosti o opskrbnom lancu, učinke geopolitičkih sukoba i sve veću sofisticiranost aktera kibernetičkih prijetnji - čiji je vrhunac sposobnost snažnog utjecaja na gospodarstva i društva.
Jedan od vodećih svjetskih reosiguratelja, Munich Re, očekuje da će globalno tržište cyber osiguranja dosegnuti 16,3 milijarde USD 2025. Do danas je tržište dokazalo da je sposobno i učinkovito u zaštiti one osigurane ključne digitalne imovine potrebne za vođenje svakodnevnih operacija organizacija svih vrsta i veličina - od mikro, malih ili srednjih poduzeća do velikih korporativnih poduzeća. Globalna industrija osiguranja može izdržati više scenarija ekstremne kibernetičke izloženosti, poput onih koji mogu proizaći iz široko rasprostranjenih napada zlonamjernog softvera ili velikih prekida rada pružatelja usluga u oblaku. Brze, istodobne promjene rizika zbog tehnoloških, geopolitičkih i čimbenika specifičnih za tržište osigurateljima predstavljaju i izazove i prilike.
Stefan Golling, član uprave odgovoran za globalne klijente i Sjevernu Ameriku kaže: “U današnjem svijetu koji ovisi o tehnologiji, organizacije mogu biti uspješne samo ako ojačaju svoju digitalnu obranu robusnim, višeslojnim upravljanjem rizikom. Cyber osiguranje je učinkovita komponenta u ovom pristupu”. Munich Reovo izvješće pruža pregled kibernetičkog rizika i okolne dinamike koja utječe na kibernetičko osiguranje i potražnju na tržištu.
Krajolik kibernetičkih rizika pokazuje povećanje opsega i utjecaja kibernetičkih napada i incidenata kibernetičke sigurnosti, pri čemu četiri vrste napada čine lavovski udio kibernetičkih gubitaka. Podaci Munich Re i Mandiant Cyber Underwriting Threat Intelligence pokazuju da se, u analizi industrija i sektora, državni, proizvodni i tehnološki sektor čine posebno sklonima kibernetičkim napadima.
Bez obzira na industriju, veličinu ili lokaciju, analiza jasno pokazuje da nijedna organizacija nije imuna da postane žrtva kibernetičkog napada. Usporedno s tim, globalno istraživanje Munich Rea pokazalo je da 87 posto ispitanika na C-razini smatra da je zaštita njihove organizacije neadekvatna. Mnoga mikro i mala poduzeća postaju žrtve kibernetičkog kriminala, ne zato što ih akteri prijetnji izdvajaju, već zato što oportunistički napadači naširoko iskorištavaju slabu implementaciju kibernetičke sigurnosti tako što jednostavno ubiru “nisko visi plod”.
Četiri najčešće vrste napada
Ransomware napadi: veliki profil i razmjeri
Što se tiče ransomwarea, postoji nepopustljiv trend Cybercrime-as-a-Service, s ponudama koje se kreću od platformi do zlonamjernog softvera koji se temelji na pretplati ili alata za hakiranje s AI-jem. Ovakav razvoj događaja nastavit će snižavati prepreke za ulazak kriminalnog poslovanja s ransomwareom. Za očekivati je daljnji porast učestalosti, automatizacije i sofisticiranosti ransomware napada. AI će posebno potaknuti razmjere, brzinu i preciznost. Nadalje, tim za analizu kibernetičkih podataka Munich Re primijetio je da je ransomware vodeći uzrok gubitaka u kibernetičkom osiguranju. Proizvodnja je ponovno identificirana kao industrija s najvećim udjelom tužbi za ransomware među svim tužbama za taj segment; segment zdravstva je na drugom mjestu. Što se tiče gubitaka od ransomwarea, prekid poslovanja (BI) čini najveći udio troškova (51 posto) među svim komponentama troškova. BI rizik zbog kibernetičkih napada raste u svim sektorima.
Online prijevara
U onome što je poznato kao Business Email ili Business Communication Compromise (BEC/BCC), napadači varaju pojedince u organizacijama kako bi dobili novac ili osjetljive informacije lažiranjem, predstavljajući se kao subjekti od povjerenja (npr. izvršni direktor, nadzornik, ovlaštena osoba). Napadači koriste višestruke kanale (e-poštu, telefonske pozive i aplikacije za razmjenu poruka), s namjerom da potaknu ciljane pojedince da djeluju na manje sigurnom osobnom uređaju, zaobilazeći sigurnosne kontrole na korporativnoj razini i u konačnici razmjenjujući osjetljive podatke bez korporativnog nadzora. Od malih lokalnih poduzeća do većih poduzeća i osobnih transakcija, BEC i BCC prijevare i dalje napreduju.
Povreda podataka
Povrede podataka ostale su na visokoj razini, s prosječnim troškom povrede koji je porastao za 10 posto na rekordnu vrijednost od 4,88 milijuna USD. Osobito (ali nikako isključivo) u SAD-u, tužbe nakon kršenja osjetljivih podataka postale su uobičajene, obično rezultirajući nagodbama s pojedinačnim žrtvama koje primaju male isplate, koje u kontekstu kolektivne tužbe mogu iznositi milijune. Očekuje se da će dodatni propisi i stroži zahtjevi usklađenosti dodatno potaknuti ovaj razvoj. Nakon kršenja podataka, procurili PII-podaci (osobni podaci koji otkrivaju identitet) i kritične informacije kao što su vjerodajnice za prijavu često se nude na prodaju na forumima dark weba. To često utire put daljnjim kibernetičkim napadima ili prijevarnim aktivnostima.
Ranjivosti lanca opskrbe: Ahilova peta gospodarstva
Jedan od najhitnijih kibernetičkih rizika leži u ranjivostima opskrbnih lanaca, koje su kriminalci i akteri pod pokroviteljstvom države podjednako identificirali kao Ahilovu petu gospodarstava i društvene infrastrukture. Digitalna uska grla i dalje će predstavljati velike rizike od ugrožavanja softvera, ugrožavanja pružatelja upravljanih usluga ili prekida pojedinačne usluge - da spomenemo samo neke, ali vrlo uobičajene rizike u opskrbnom lancu.
Glavni cyber trendovi u 2025. i dalje
Uz sve vrste kibernetičkih napada koji se razvijaju, sveobuhvatni trendovi snažno utječu na krajolik kibernetičkih rizika. Najznačajnije je da se umjetna inteligencija smatra najvećim izazovom za kibernetičku sigurnost. Regulativa, nedostatak IT vještina, tehnološki napredak i geopolitičke napetosti također se identificiraju kao ključni “pokretači trendova” za kibernetičku (ne)sigurnost.
Tvrtke usvajaju AI prije svega kako bi potaknule učinkovitost i inovacije, a čini se da je fazi pukog eksperimentiranja došao kraj jer AI sve češće upotrebljavaju korisničke službe; koristi se za istraživanje i razvoj, proizvodnju sadržaja, preporuke proizvoda i, na kraju, ali ne manje važno, kibernetičku sigurnost. Nažalost, ovaj porast usvajanja umjetne inteligencije također podržava kriminalne skupine i druge aktere cyber prijetnji; testiraju, implementiraju i razvijaju AI tehnologije kako bi povećali svoju učinkovitost i stekli konkurentsku prednost. U budućnosti će napadači značajno inovirati svoj “lanac vrijednosti” i dodatno automatizirati i poboljšati sve faze kibernetičkog napada - takozvani kibernetički lanac - na primjer, kroz phishing kampanje, zero-day eksploatacije ili kodiranje zlonamjernog softvera uz pomoć umjetne inteligencije. Pojava i primjena višeagentnih AI sustava za dobro i zlo će se razvijati. Cyber stručnjaci očekuju demokratizaciju i komoditizaciju GenAI-ja i sposobnosti povezanih sa strojnim učenjem za ofenzivne, ali srećom i obrambene svrhe. Prilagodba GenAI-ja dovest će do nove normale koja branitelje izaziva brzinom, razmjerom i perspektivno povećanom sofisticiranošću.
Osim kibernetičkih napada potaknutih umjetnom inteligencijom, Odjel za interno upravljanje rizikom tvrtke Munich Re fokusiran je na sljedeće najznačajnije izazove i prijetnje, a to je utjecaj umjetne inteligencije na iskustvo potraživanja. Budući da kibernetički napadi poboljšani umjetnom inteligencijom mogu posebno povećati učestalost zahtjeva, to može utjecati na događaje koji su obično pokriveni kibernetičkim osiguranjem, poput prekida poslovanja, odgovornosti za povredu podataka, vraćanja podataka ili učinaka napada ransomwarea. Dok su gubici od kibernetičkih napada potaknutih umjetnom inteligencijom obično pokriveni kibernetičkim policama, implikacije drugih rizika povezanih s prilagodbom umjetne inteligencije - kao što je manipulacija modelima ili kršenje IP-a - često se izričito ne spominju u formulacijama osiguranja.
Digitalna bojna polja
Geopolitičke igre moći, akutne međunarodne krize i utjecaj nacionalizma izazvanog tehnologijom dodaju nove dimenzije i dinamiku izazovu koji predstavljaju kibernetičke prijetnje. Aktivnosti aktera prijetnji koje sponzorira država, haktivista i kriminalaca uvode niz novih alata i taktika. Neke se nacije privremeno povezuju s kriminalcima. Geopolitički protivnici koriste kibernetičke napade na kritičnu infrastrukturu kao snažan dodatak svom digitalnom arsenalu. Takvi su napadi u porastu diljem svijeta, prijeteći ugroziti nacionalnu sigurnost i gospodarsku stabilnost. Energetski, prometni i telekomunikacijski sektori postali su ključne mete. Između siječnja 2023. i siječnja 2024. kritična infrastruktura diljem svijeta bila je izložena preko 420 milijuna napada, što je povećanje od 30 posto od 2022. godine. Najčešći oblici napada na nacionalne države uključuju napadače koji žive izvan zemlje, u kojima uljezi koriste legitiman softver i funkcije specifične za sustav za izvođenje zlonamjernih operacija. Druge vrste napada uključuju cyber špijunažu, napade na opskrbni lanac, zero-day exploite, stealth implante i napade Distributed Denial of Service (DDoS), koji ostaju učinkoviti preplavljivanjem ciljanog poslužitelja lažnim prometom, čineći ga nedostupnim. I DDoS i teški napadi ransomwarea više nisu samo problem kibernetičke sigurnosti ili kibernetičkog osiguranja - postali su nacionalna i globalna sigurnosna prijetnja. Napredne trajne prijetnje (APT) i dalje su jedan od najozbiljnijih izazova u kibernetičkom prostoru. APT skupine, koje često podupiru državni akteri, koriste sofisticirane metode za infiltraciju u kritičnu infrastrukturu i strateške tvrtke tijekom duljeg razdoblja. Ratovi i napetosti dodatno će potaknuti kibernetičke napade kao sredstvo geopolitičkog ratovanja, a dezinformacije i neprovjereni sadržaj ostat će kritične komponente hibridnih geopolitičkih igara moći.
Pogrešne informacije i dezinformacije
Prema ovogodišnjem Izvješću o globalnim rizicima Svjetskog ekonomskog foruma (WEF), pogrešne informacije i dezinformacije, odnosno lažne informacije i zlonamjerno plasirani lažni sadržaj, ponovno predstavljaju najveći globalni rizik za neposrednu budućnost. Ovaj zaključak proizašao je iz geopolitičkog stresa i očekivanja da bi AI alati mogli olakšati posao napadačima u masovnom pojačavanju manipulacije. Jedna opsežna analizirana metoda je “LLM grooming”, u kojoj su veliki jezični modeli (LLM) namjerno preplavljeni propagandnim sadržajem kako bi se utjecalo na rezultate chatbota. Studije (npr. Instituta Alan Turing) koje su analizirale izborna okruženja prošle godine pokazuju da je teško napraviti razliku između dezinformacija koje je stvorila umjetna inteligencija i onih koje su kreirali ljudi. Iako je nedavno pokrenut svjetski znanstveno utemeljen dijalog o dezinformacijama kao ozbiljnom riziku, stav globalnih tehnoloških kompanija prema nužnosti provjere činjenica podložan je promjenama. Dezinformacije se šire i korporativnim sektorom, pri čemu umjetna inteligencija povećava rizik, a društveni mediji omogućuju širok doseg.
Osim praćenja, predviđanja polja kampanje i, u hitnim slučajevima, utvrđivanja izvora dezinformacija, tvrtke moraju obaviti dobar temeljni rad dosljednim izgradnjom kredibiliteta unaprijed i osiguravanjem transparentnosti. Iako postoji potencijal i opravdanje za korištenje AI alata za te zadatke, ljudi su i dalje ključni u izgradnji povjerenja.
Gartner predviđa da će korporativna potrošnja na borbu protiv dezinformacija premašiti 30 milijardi USD do 2028. što bi bilo 10 posto ukupnih proračuna za kibernetičku sigurnost.
Sigurnost kvantnog računalstva: Utrka je počela
Dok početak tehnologije kvantnog računalstva datira iz ranog 20. stoljeća i još uvijek je u ranoj fazi, razvoj povezan s mogućnostima dešifriranja nedvojbeno se ubrzava. U kolovozu 2024. američki Nacionalni institut za standarde i tehnologiju (NIST) dovršio je svoj glavni skup algoritama za šifriranje kako bi izdržao kibernetičke napade s kvantnog računala. Tradicionalne metode šifriranja poput RSA (Rivest–Shamir–Adleman), kriptosustava s javnim ključem koji se naširoko koristi za siguran prijenos podataka, u budućnosti će biti ranjive na dešifriranje temeljeno na kvantnoj tehnologiji, ali bi trebale nastaviti nuditi dovoljnu zaštitu barem do 2030. Prijelaz na nove standarde stoga je neizbježan. Kaže se da napadači već danas kradu podatke kako bi započeli s dešifriranjem kad kvantna računala postanu sofisticirano moćna.
Robotika, OT i IIoT: Redefiniranje granica
Broj uređaja u područjima IT (informacijske tehnologije), IIoT (industrijski internet stvari) i OT (operativne tehnologije koje se koriste u produktivnim okruženjima) nastavit će se povećavati. U isto vrijeme, konvergencija između IT-a i OT-a te naslijeđenih OT-sustava ili strojeva predstavlja izazov za sigurnost. S druge strane, vlasnici rizika će imati koristi od stalne integracije IT-a, IIoT-a i OT-a, npr. u smislu naprednog praćenja i analitike, dijeljenja podataka u stvarnom vremenu i optimiziranog poslovanja. Industrija robotike imat će sve značajniju ulogu u mnogim poslovnim operacijama. U nedavnom razvoju, roboti su trenirani s velikim jezičnim modelima dizajniranim posebno za bolje upravljanje. Kao rezultat toga, roboti su uspjeli poboljšati svoje performanse prilagođavanjem novim situacijama, bržim reagiranjem na verbalne upute i vještijim rukovanjem predmetima. Iskorištavanjem pravog potencijala robotike uz upravljanje rizicima, cyber osiguranje bit će ključno za podupiranje dugoročne poslovne uspješnosti.
U duboko digitaliziranom svijetu kibernetičke prijetnje po prirodi ostaju iznimno dinamična sila. Financijska stabilnost i stabilnost ugleda za svaku organizaciju ovise o dobrom upravljanju kibernetičkim rizikom, čiji se osiguranje pokazalo ključnim elementom. Munich Re već više od desetljeća preuzima vodeću odgovornost, pomažući klijentima da izgrade kibernetičku otpornost i aktivno pridonosi razvoju pouzdane ponude na kibernetičkom tržištu. Munich Re smatra da su sljedeća ulaganja od trajne važnosti: kombinacija ekspertize multidisciplinarnog područja; fokus na više i sve bolje podatke o trendovima rizika, gubicima i incidentima, potrebnim za stalni napredak u preuzimanju rizika i modeliranju; jasna definicija sigurnosnih standarda za osiguranike i transparentnost s obzirom na sklonost osiguratelja riziku.
Neiskorišteni potencijal: značaj cyber osiguranja u porastu
Globalno tržište cyber osiguranja dalje sazrijeva i stabilno je. Ova procjena S&P Global Ratings prepoznaje solidnu profitabilnost pokrića rizika u posljednje dvije godine i njegovu očekivanu putanju u 2025., unatoč povećanom natjecanju i porastu sofisticiranosti, ozbiljnosti i učestalosti kibernetičkih napada u sve neprijateljskom okruženju. Tržište osiguranja nudi pouzdane kapacitete za komercijalne i privatne cyber police. Povećanja stopa, koja su potaknula rast osobito 2021. i 2022., sada su dovela do razdoblja stabilizacije. Međutim, tržište cyber osiguranja očekuje stabilan rast u srednjoročnom razdoblju, potaknuto sve većom digitalizacijom poslovanja u svim segmentima, češćim i ozbiljnijim cyber događajima, digitalnom međuovisnošću i strožim propisima.
Prema procjenama Munich Rea, globalno tržište cyber osiguranja iznosilo je ukupno 15,3 milijarde USD u 2024. To odgovara manje od jedan posto globalnog volumena premija za osiguranje imovine i nezgoda u 2024., što naglašava ogroman potencijal industrije osiguranja u budućnosti. Iako se rast cyber premija usporio u posljednje dvije godine, stručnjaci Munich Rea očekuju da će se globalni obujam premija više nego udvostručiti do 2030., rastući po prosječnoj godišnjoj stopi rasta od više od 10 posto.
Thomas Blunck, izvršni direktor Munich Rea kaže: “Kako digitalizacija napreduje, kibernetička zaštita od jedne od najvećih prijetnji gospodarstvu i društvu postaje sve važnija. Pa ipak, velikom broju organizacija nedostaju odgovarajuće zaštite i pokrivenost. Munich Re nastoji doprijeti do još uvijek neosiguranih i nedovoljno osiguranih, cilj nam je povećati kibernetičku otpornost i postupno zatvoriti kritični jaz u zaštiti”. (Priredila: N. G. K.)