Η Ασφάλεια των Πληροφοριών είναι ευθύνη του Διευθύνοντος Συμβούλου και των ανωτάτων στελεχών

Του Νίκου Γεωργόπουλου , ΜΒΑ, CyRM, Cyber Risk Advisor – CROMAR Coverholder at LLOYD΄S

 

 

Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε εταιρίας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από πρόσφατες παραβιάσεις συστημάτων, το πώς ένας οργανισμός  χειρίζεται μια κρίση παίζει σημαντικό ρόλο στο κατά πόσο ο Διευθύνων Σύμβουλος  και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους.

 

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις εταιρίες γιατί προσφέρει δυνατότητα αποτελεσματικής επικοινωνίας με τα δίκτυα διανομής, τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει την δυνατότητα πρόσβασης σε νέα τμήματα της αγοράς με προϊόντα και υπηρεσίες χαμηλότερου κόστους.

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι εταιρίες όπως: οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, Βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά, σχέδια μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με τα δίκτυα διανομής, δεδομένα υγείας,,αριθμούς των πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά στοιχεία πελάτη, προσωπικά οικονομικά στοιχεία πελατών.

Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία και διαθεσιμότητα των συστημάτων της ασφαλιστικής εταιρίας μέσω κυβερνοεπιθέσεων που οδηγούν σε άρνηση παροχής υπηρεσίας (DDoS) των συστημάτων εξυπηρέτησης και αλλοίωση της ποιότητας των δεδομένων της εταιρίας.

Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στις εταιρίες για την  διαχείριση του οποίου εκτός από τις λύσεις που προσφέρει η τεχνολογία, οι πολιτικές ασφάλειας και διαδικασίες που ακολουθεί κάθε εταιρία απαραίτητο εργαλείο είναι η ασφάλιση.

Mε την εφαρμογή της νέας ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας.

Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Παράγοντες που επηρεάζουν την εταιρική φήμη

G_1

Πηγή: The Aftermath of a data breach Consumer Sentiment. Ponemon Institute Report

 

 

Επίσης στη μελέτη της NetDiligence “Cyber Claims Study 2015” μπορούμε να δούμε από περιστατικά παραβίασης συστημάτων ασφαλισμένων Αμερικανικών εταιριών την κατανομή των αιτίων που οδήγησαν σε παραβίαση συστημάτων και απώλεια εμπιστευτικών πληροφοριών.

Πιο αναλυτικά το 31% οφείλεται σε hacking, το 10% σε απώλεια εταιρικών συσκευών που περιέχουν εταιρικά δεδομένα (tablets, κινητά τηλέφωνα), 14% από malware/virus, το 11% σε περιστατικά κακόβουλων εργαζομένων, το 11% σε λάθη εργαζομένων, το 5% σε προβλήματα συστημάτων, το 3% σε κλοπή hardware (δίσκοι backup, usb), το 1% σε κλοπή χρημάτων και το 7% σε διάφορους παράγοντες

G_2

Πηγή: Netdiligence Cyber Claims Study 2015

Ειδικότερα για την Ελλάδα σύμφωνα με μελέτη που εκπόνησε η αγορά των Lloyd’s σε συνεργασία με το Κέντρο Μελετών Κινδύνων του Πανεπιστημίου του Κέμπριτζ το κόστος των κυβερνοεπιθεσεων που θα δεκτούν επιχειρήσεις και οργανισμοί την επόμενη δεκααετία (2015-2025) ανέρχεται σε $1.06 δις δολλάρια του εκτιμώμενου Α.Ε.Π της Ελλάδας. Το πόσο οποίο υπολείπεται ελάχιστα σε σχέση με τα σε $1.07 δις δολλάρια του εκτιμώμενου Α.Ε.Π που βρίσκονται σε κίνδυνο λόγω σεισμού

Για την αντιμετώπιση των επιπτώσεων ενός περιστατικού παραβίασης (data breach) , αποτελεσματικό εργαλείο διαχείρισης αποτελεί η ασφάλιση Cyber Insurance η οποία εκτός από τις χρηματικές αποζημιώσεις, προσφέρει πρόσβαση σε ομάδα ειδικών (δικηγόροι, επικοινωνιολόγοι, forensic investigators κλπ) οι οποίοι έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους  και να προστατεύσουν την   εταιρική φήμη.

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος  για  την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό.

Είναι αναγκαίο ο Διευθύνων Σύμβουλος  να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του η οποία συνεργαζόμενη με την ασφαλιστική εταιρία που προσφέρει την ασφάλιση cyber insurance μπορεί να διαχειριστεί αποτελεσματικά τα περιστατικά παραβίασης περιορίζοντας τις χρηματοοικονομικές επιπτώσεις και να προστατεύσει την φήμη της εταιρίας του.

Λαμβάνοντας υπόψη τις ανάγκες των επιχειρήσεων η Beazley δημιούργησε το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση  αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων, επιτρέπει στις επιχειρήσεις, να διαχειριστούν περιστατικά παραβιασης συστημάτων και να μετριάσουν  τον κίνδυνο να θιγεί η εταιρική φήμη τους και προσφέρεται στην Ελλάδα από την Cromar.

Το Beazley Global Breach Solution προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας πρόσβαση στην Ομάδα Διαχείρισης Περιστατικών, η οποία βραβεύθηκε από την Advisen ως η καλύτερη ομάδα για το 2015 και έχει αντιμετωπίσει άνω των 2.000 περιστατικών παγκοσμίως.

Leave a Reply

Your email address will not be published. Required fields are marked *

*