Γ. Τσινός / Εθνική Ασφαλιστική: Ολιστική προσέγγιση, όχι αποσπασματικές λύσεις για τους cyber κινδύνους

Ανεβαίνει περαιτέρω η θέση του cyber crime στην παγκόσμια κατάταξη. Ο λόγος, εξηγεί σε συνέντευξή του στο iw o κύριος Γεώργιος Τσινός, Προϊστάμενος του Τομέα Ασφάλειας Πληροφοριακών Συστημάτων της Εθνικής Ασφαλιστικής, είναι ότι οι εταιρείες επενδύουν όλο και περισσότερο στην ψηφιακή μετατροπή και στις κατευθείαν υπηρεσίες προς τους πελάτες μέσω Διαδικτύου, προσβλέποντας σε αυξημένα κέρδη. Δυστυχώς, στον ίδιο χώρο «εργάζονται επιμελώς» και οι hackers, με σκοπό την αποκόμιση παράνομων κερδών. Οι επιπτώσεις από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους δεν μπορούν να αντιμετωπιστούν δραστικά στο πλαίσιο των παραδοσιακών ασφαλιστηρίων συμβολαίων. Απαιτείται σωστός προγραμματισμός και εμπειρία, προκειμένου να δομηθεί ένα προϊόν που θα προσφέρει τις απαραίτητες λύσεις στην ασφάλιση κυβερνοχώρου και θα αντιμετωπίσει ολοκληρωτικά τις συνέπειες των κινδύνων.

του Βάιου Κρόκου

iw? Το κυβερνοέγκλημα (cyber crime) αναρριχήθηκε από την 9η στην 5η θέση στον χάρτη κατάταξης κινδύνων. Τι σημαίνει αυτό για τις επιχειρήσεις;

Γ.Τ.: Ως ορισμός, το κυβερνοέγκλημα αποτελεί μορφή ηλεκτρονικού εγκλήματος που τελείται μέσω του Διαδικτύου και αποτελεί αξιόποινη εγκληματική πράξη. Πράγματι, σύμφωνα με πρόσφατες μελέτες και στατιστικά, αποτελεί έναν σημαντικότατο κίνδυνο για τις σύγχρονες επιχειρήσεις και διαβλέπω ότι θα ανέβει περαιτέρω η θέση του στην παγκόσμια κατάταξη. Ο λόγος είναι ότι οι εταιρείες επενδύουν όλο και περισσότερο στην ψηφιακή μετατροπή και στις κατευθείαν υπηρεσίες προς τους πελάτες μέσω Διαδικτύου, προσβλέποντας σε αυξημένα κέρδη. Δυστυχώς, στον ίδιο χώρο «εργάζονται επιμελώς» και οι hackers, με σκοπό την αποκόμιση παράνομων κερδών.

Είναι εντυπωσιακό ότι στο σκοτεινό διαδίκτυο υπάρχει τιμοκατάλογος ανάλογα με το είδος της διαβαθμισμένης πληροφορίας! Επομένως, οι εταιρείες θα πρέπει να λαμβάνουν σοβαρά υπόψη τους, κατά τον σχεδιασμό των προϊόντων, όχι μόνο τις λειτουργικές απαιτήσεις, αλλά και τις μη λειτουργικές, όπως τα μέτρα προστασίας ή περιορισμού της ζημιάς από τους hackers, και να επενδύσουν σε αυτά. Αλλιώς, θα κάνουν βήματα σε σαθρό έδαφος και το πρόσκαιρο κέρδος μπορεί εύκολα να εξανεμιστεί, και η φήμη τους να καταρρακωθεί. Μην ξεχνάμε ότι υπάρχουν δύο κατηγορίες εταιρειών: Οι εταιρείες που έχουν δεχθεί χτυπήματα από hackers και αυτές που πρόκειται να δεχτούν. Άρα, πρέπει να είσαι έτοιμος να αντιμετωπίσεις ζημιές έως τα όρια του αποδεκτού ρίσκου του Οργανισμού.

iw? Ποιοι τομείς και ποιοι κλάδοι ενέχουν μεγαλύτερους κινδύνους;

Γ.Τ.: Όσο πιο κρίσιμα είναι τα δεδομένα (π.χ. αριθμοί πιστωτικών καρτών, ιατρικά δεδομένα), όσο πιο συγκεντρωμένα (π.χ. σε βάση δεδομένων, σε εξαχθέν αρχείο), τόσο πιο αυξημένο είναι το κίνητρο για τον hacker, αφού στοχεύει στο μεγαλύτερο δυνατό κέρδος με το μικρότερο δυνατό κόστος. Επομένως, κλάδοι ζωής, λογιστηρίων, πωλήσεων κ.λπ. είναι στην «καυτή ζώνη»!

iw? Ποια είναι τα είδη των παραβιάσεων και ποια η συχνότητά τους; Ακούγεται ότι οι εκβιαστές ζητούν λύτρα σε bitcoins ή ότι πωλούν ιατρικά δεδομένα στη μαύρη αγορά. Είναι αλήθεια αυτό;

Γ.Τ.: Η «ρομαντική» εποχή, που κάποιοι παραβίαζαν σελίδες εταιρειών για προσωπική τους ανάδειξη και εγωισμό, έχει περάσει! Πλέον, οι παραβιάσεις στοχεύουν στο κέρδος. Είτε με άμεσο τρόπο (π.χ. κλοπή διαβαθμισμένων πληροφορίων προς πώληση στη μαύρη αγορά του σκοτεινού ίντερνετ) είτε με τον εκβιασμό των εταιρειών από τη μη διαθεσιμότητα της υπηρεσίας (π.χ. κρυπτογράφηση δίσκων με ιό ransomware), που αποτελεί, σύμφωνα με πρόσφατα στατιστικά, τον μεγαλύτερο κίνδυνο, όπου ο δίσκος κρυπτογραφείται και αν δεν πληρώσεις λύτρα σε bitcoins, δεν έχεις πλέον πρόσβαση στα δεδομένα σου και δεν μπορείς να παρέχεις τις υπηρεσίες που είχες στους πελάτες σου. Άρα, ή πληρώνεις (συνήθως είναι «τίμιοι» και σου λένε τον κωδικό επαναφοράς!), ή επιστρέφεις στο τελευταίο σου αντίγραφο ασφαλείας (backup).

iw? Η απώλεια εσόδων από ένα τέτοιο χτύπημα ή η απώλεια φήμης είναι πιο σοβαρή, κατά τη γνώμη σας;

Γ.Τ.: Η απώλεια κερδών είναι κάτι μετρήσιμο και άμεσο. Δυστυχώς, δεν είναι μόνο αυτό. Πρόσφατες έρευνες έδειξαν ότι το συνολικό ποσό ζημιάς αγγίζει το τριπλάσιο της αρχικής, αφού η πληγωμένη εταιρεία χάνει πελατεία, λόγω φήμης, και θέλει αρκετό χρόνο μέχρι να επανακάμψει. Κάποιες εταιρείες κλείνουν οριστικά αν ο χρόνος επαναφοράς είναι υπερβολικός και οι πελάτες έχουν ήδη φύγει.

iw? Υπάρχουν κι άλλοι κίνδυνοι που πρέπει να γνωρίζουμε;

Γ.Τ.: Στην ουσία, οτιδήποτε επηρεάζει το τρίπτυχο της ασφάλειας της πληροφορίας, δηλαδή ακεραιότητα-εμπιστευτικότητα-διαθεσιμότητα, αποτελεί κίνδυνο, όπως ενδεικτικά η κλοπή ή καταστροφή προσωπικών δεδομένων/εμπορικών μυστικών/πνευματικής ιδιοκτησίας, ηλεκτρονικές απάτες, καταστροφή εμπορικών δεδομένων & πληροφοριακών συστημάτων, μετάδοση προγραμμάτων ιών κ.λπ.

iw? Τι λένε οι κανονιστικές ρυθμίσεις και ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ, που τίθεται σε λειτουργία το 2018 (οι εταιρείες, για παράδειγμα, που εκτελούν συναλλαγές με χρεωστικές και πιστωτικές κάρτες έχουν ποινικές και διοικητικές κυρώσεις σε περίπτωση απώλειας δεδομένων); Έχουν υπάρξει τέτοιες περιπτώσεις στην Ελλάδα και τι ποσά επιδικάζονται;

Γ.Τ.: Ισχύουν όσα αναφέρετε. Τα ποσά των κυρώσεων που προβλέπονται σε περίπτωση σημαντικής παραβίασης από το GDPR είναι υπέρογκα και φτάνουν έως το 4% του ετήσιου τζίρου της εταιρείας ή τα 20 εκατ. ευρώ, όποιο είναι υψηλότερο! Και σήμερα, η αρμόδια αρχή επιβάλλει κυρώσεις, αλλά μικρότερου ύψους. Βάσει συγκριτικών στατιστικών της Ελλάδας και άλλων ευρωπαϊκών χωρών, δεν υπήρχε αναλογικότητα για παρόμοια αμέλεια. Με τον νέο κανονισμό θα υπάρχει αναλογικότητα και αύξηση των ποσών των κυρώσεων.

Τα προϊόντα, οι καλύψεις και οι αποζημιώσεις

iw? Τι νέα προϊόντα προσφέρετε και τι καλύψεις δίνουν;

Γ.Τ.: Οι επιπτώσεις από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους δεν μπορούν να αντιμετωπιστούν δραστικά στο πλαίσιο των παραδοσιακών ασφαλιστηρίων συμβολαίων. Απαιτείται σωστός προγραμματισμός και εμπειρία προκειμένου να δομηθεί ένα προϊόν που θα προσφέρει τις απαραίτητες λύσεις στην ασφάλιση κυβερνοχώρου και θα αντιμετωπίσει ολοκληρωτικά τις συνέπειες των κινδύνων. Η Εθνική Ασφαλιστική προσεγγίζει τον κίνδυνο κατά περίπτωση και προσφέρει αποτελεσματικές λύσεις στον ασφαλισμένο, ενώ τα προϊόντα υποστηρίζονται αντασφαλιστικά από αγορές με εμπειρία στη διαχείριση τέτοιων κινδύνων. Ενδεικτικές καλύψεις είναι:

– Ευθύνη και έξοδα από παραβίαση συστημάτων ασφαλείας
– Ευθύνη από λάθη και παραλείψεις προγραμματισμού
– Αποκατάσταση ηλεκτρονικών δεδομένων
– Απώλειες από διακοπή εργασίας και επιπλέον έξοδα
– Έξοδα δημοσίων σχέσεων

iw? Πώς μπορεί να κρίνει ο πελάτης το ύψος της ασφαλιστικής κάλυψης που χρειάζεται;

Γ.Τ.: Μέσα από λεπτομερές ερωτηματολόγιο, συλλέγουμε τις απαραίτητες πληροφορίες, ώστε να δομήσουμε ένα ασφαλιστικό προϊόν που να ταιριάζει στις ανάγκες του συγκεκριμένου πελάτη (tailor made). Ο πελάτης μπορεί να κρίνει και να συγκρίνει.

iw? Πώς καταβάλλονται οι αποζημιώσεις;

Γ.Τ.: Αναφορικά με την καταβολή της αποζημίωσης, ο ασφαλισμένος πρέπει να γνωστοποιεί κάθε περίσταση που ευλόγως αναμένεται να δώσει αφορμή για απαίτηση ή για ασφαλιστικό γεγονός. Η γνωστοποίηση πρέπει να περιλαμβάνει τους λόγους για τους οποίους θεωρείται πιθανή η απαίτηση ή το ασφαλιστικό γεγονός, καθώς και πλήρη σχετικά στοιχεία σε σχέση με τις ημερομηνίες, την καταλογιζόμενη, υποτιθέμενη, ενδεχόμενη ή εικαζόμενη παραβίαση, τον ασφαλισμένο και τον ενάγοντα (ή τους ενάγοντες), μια εκτίμηση της πιθανής ζημίας και των πιθανών επιπτώσεών της. Ουσιαστικά, πρέπει να ενεργοποιηθεί άμεσα ο μηχανισμός παροχής νομικών υπηρεσιών, υπηρεσιών ΙΤ, πρώτης αντίδρασης ή υπηρεσιών του συμβούλου διαχείρισης κρίσης, προκειμένου να περιοριστεί η τελική ζημιά, αλλά και να αποτιμηθεί η υπάρχουσα.

iw? Τι κάνει η εταιρεία ώστε να προστατέψει τα δεδομένα των πελατών της;

Γ.Τ.: Η Εθνική Ασφαλιστική ακολουθεί ολιστική προσέγγιση αντιμετώπισης, και όχι αποσπασματικές λύσεις, με αρωγούς την τεχνογνωσία και την εμπειρία των στελεχών της στην επιλογή και ιεράρχηση των κατάλληλων λύσεων σε έργα προστασίας των δεδομένων της πληροφορίας. Επένδυσε και επενδύει συνεχώς (τρέχουν παράλληλα 5 έργα ασφάλειας). Παράλληλα, οι διαδικασίες ανασχεδιάστηκαν και αυτοματοποιήθηκαν, ώστε σε κάθε αίτημα αλλαγής ή περιστατικού να λαμβάνονται υπόψη και οι απαιτήσεις ασφάλειας, ώστε να καλύπτεται η απαίτηση του GDPR για “security by default & by design”.