Glavni rezultati nisu iznenađujući. Na globalnoj razini, kao i vodećim svjetskim gospodarstvima, glavnim rizikom je identificiran "Business interruption", a odmah iza njega slijedi rizik "Cyber incidents" (u nastavku vidimo prvih 5 rizika)
"Business interruption" obuhvaća sve posljedice uslijed prekida poslovnog procesa koji dolaze od djelovanja iz njegovog vanjskog okruženja - cyber incidenti, tehnički prekidi, požari, prirodne katastrofe, požara, prekidi rada dobavljača...
"Cyber incidents" rizik, pozicioniran na drugo mjesto, obuhvaća sve direktne posljedice djelovanja cyber prijetnji na poslovanje - krađe informacije, ugrožavanje reputacije, operativne posljedice. Treba naglasiti da djelovanje cyber prijetnji čini i komponentu prvo-pozicioniranog rizika i to kroz rizik izazivanja prekida poslovnog procesa.
Gledajući popise po pojedinim razvijenim gospodarstvima, rizici "Business interruption" i "Cyber incidents" po pojedinim državama drže prva dva mjesta (rotirajući ove pozicije), pa možemo definitivno zaključiti da su cyber prijetnje izrazito prepoznate kao značajan rizik svjetskog gospodarstva.
No sad dolazimo na zanimljiviju točku ovog istraživanja. Publikacija sadrži popise rizika po državama. U europskom dijelu istraživanja obuhvaćeno je 10 EU država (uključujući Hrvatsku) te Švicarska.
Pogledajte popis 10 najvažnijih rizika u Hrvatskoj - "Cyber incidents" je percipiran tek kao umjeren rizik i nalazi se na šestom mjestu ovog popisa:
Najprisutnijim rizikom za Hrvatsku predviđa se utjecaj zakonodavnih i regulatornih promjena, promjena državne administracije i sličnih sustavnih događaja (pretpostavljam da nećemo biti toliko pogođeni Brexitom).
Ako pogledamo druge članice Europske unije s ovog popisa, u većini ovih država imamo isti uzorak kao i na globalnoj razini. Rizik "Business interruption" i "Cyber incidents" zauzimaju prva dva mjesta (uz uglavnom neznatnu razliku u visini procjene), no meni su zanimljivija odstupanja od ovog uzorka: u Grčkoj se "Cyber incidents" ne nalazi uopće na Top 10 popisu, a u Španjolskoj dijeli tek četvrto i peto mjesto (istina, procjena iznosi 32% što je znatno više od 20% za Hrvatsku). Podsjeća li vas ovo na razdoblje ekonomske krize iz proteklih desetak godina? Nažalost, Allianzovo istraživanje ne obuhvaća druge tranzicijske EU države s kojima bismo se mogli usporediti, no ipak se upitajmo možemo li izvući neke zaključke iz rezultata ovog istraživanja?
Prije nego što pokušam dati odgovor, želio bih naglasiti da je ovakva procjena rizika za Hrvatsku prilično realna. Govorim iz vlastitog iskustva i smatram da se među velikim dijelom gospodarstvenika cyber prijetnje ne percipiraju kao realna i prisutna opasnost. Je li baš realnija prijetnja prirodnih katastrofa od cyber napada kako nam sugerira gornja tablica - to je za diskusiju, no to ne utječe značajno na Allianzov popis.
Prema rezultatima ovog istraživanja možemo zaključiti da je visina cyber rizika direktno proporcionalna stupnjem razvoja i snagom gospodarstva. U slabije razvijenim gospodarstvima kakva je Hrvatska (a, složiti ćete se, i Grčka) manje je vrijednosti izloženo cyber prijetnjama i manje se može izgubiti. No, ne radi se samo ograničenoj snagi gospodarstva. Možemo govoriti i o (ne)disciplini korporativnog upravljanja, izostanku poslovne odgovornosti i ukupno problematičnoj gospodarskoj klimi. U situaciji kada tržišni mehanizmi nisu presudni kriterij poslovnog uspjeha i kad značajan dio gospodarstva još uvijek čine politički upravljani te politici podložni sustavi, za naš management zaista veća prijetnja dolazi od nekontrolirane promjene sustava u kojem se pokušava poslovati nego od cyber prijetnji.
Nemojte me krivo shvatiti: ovime nikako ne obezvrjeđujem napore koje moje kolege, uključujući i mene, provodimo na osvješćivanju glavnih dionika na tržištu i u promociji mjera informacijske sigurnosti, niti pokušavam defetistički zaključiti da radimo nepotreban posao. Radi se ipak o poremećaju percepcije rizika, na koji svi možemo utjecati.
Moj prijedlog za unaprjeđenje stupnja osviještenosti o cyber rizicima: mislim da treba pojačati napore na dijeljenu informacija o cyber prijetnjama i unaprijediti mjere aktivnog praćenja pojave prijetnji. Nekako tradicionalno, mi nismo skloni dugoročno sagledavati niti rizike ali niti doprinose bilo kakvih procesa pa tako ni poslovnih, no iščekivane promjene gospodarskog okruženja moraju unaprijediti percepciju i cyber rizika.
Zaključujem u meteorološkom žargonu iz naslova ovog teksta. Područje niskog tlaka u kojem su danas nalaze cyber rizici stvaraju uvjete za skoro pogoršanje vremena. Možemo predvidjeti da će se i kod nas pojaviti prvi epohalni cyber incidenti kakvi su u 2017. na globalnoj razini bili, npr. krađe podataka u Equifaxu i Uberu. Za prve žrtve će biti prekasno, no na Allianzovom barometru će cyber rizici preći u područje visokog tlaka. To neće značiti nužno bezbrižan vremenski ugođaj, ali bi mogao biti pokazatelj da se cyber rizicima zna i želi upravljati.
