Πώς πρέπει να αντιμετωπίσει η αγορά τον κίνδυνο στον κυβερνοχώρο;

Πηγή: Market Insights from the world of Lloyd’s, Market magazine, Χειμώνας 2012, www.lloyds.com

Οι παραβιάσεις δεδομένων και οι κυβερνοεπιθέσεις στοχεύουν κρατικά δίκτυα και εταιρείες υψηλού προφίλ, όπως η Google, η CityGroup και η Nintendo. Ο πρόσφατος Δείκτης Κινδύνου Lloyd’s (Lloyd’s Risk Index) κατέταξε το κυβερνοέγκλημα ανάμεσα στους πέντε πρώτους κινδύνους στη Βόρεια Αμερική, αλλά μόλις 14ο στην Ευρώπη. Το περιοδικό Market συγκέντρωσε ειδικούς της ασφάλειας πληροφοριών και των ασφαλίσεων για να συζητήσουν τις απειλές.

Πολλές από τις μεγαλύτερες εταιρείες, κυβερνήσεις και διεθνείς οργανισμούς στον κόσμο έχουν πέσει θύματα των κινδύνων από διακοπές δικτύου και κακόβουλες επιθέσεις από χάκερς, κυβερνοεγκληματίες, ομάδες πίεσης και τρομοκράτες.
Όσο περισσότερο εταιρείες και μεμονωμένα άτομα βασίζονται σε υπηρεσίες μέσω διαδικτύου τόσο οι κίνδυνοι στους οποίους εκτίθενται μπορεί να αυξηθούν, με επιπτώσεις στη φήμη και τον ισολογισμό τους. 

Το 2011, η εταιρεία ασφάλειας πληροφοριακών συστημάτων Verizon εντόπισε 855 παραβιάσεις δεδομένων, οι οποίες επηρέασαν τα προσωπικά δεδομένα 174 εκατομμυρίων ανθρώπων. Στις περισσότερες περιπτώσεις χρησιμοποιήθηκαν επιθέσεις hacking και κακόβουλου λογισμικού, ενώ την πλειοψηφία των επιθέσεων πραγματοποίησαν «χακτιβιστές», δηλαδή χάκερς με πολιτικά κίνητρα. 

Τα προηγούμενα χρόνια, η πλειοψηφία των κυβερνοεπιθέσεων είχε πραγματοποιηθεί από κυβερνοεγκληματίες, με πρωταρχικό κίνητρο το οικονομικό όφελος. Μια όλο και πιο ανησυχητική τάση αφορά τις προσωπικές πληροφορίες, καθώς αποτελούν το βασικό στόχο των κυβερνοεγκληματιών και αντιπροσωπεύουν το 95% των αρχείων που χάθηκαν το 2011 έναντι μόλις 1% για το 2010. Η ιδιωτικότητα αποτελεί πλέον ένα κρίσιμο επιχειρηματικό θέμα για πολλές εταιρείες, ειδικά για αυτές που δραστηριοποιούνται σε τομείς επιβαρυμένους από πλήθος δεδομένων, όπως η υγεία, η εκπαίδευση, η λιανική πώληση και οι χρηματοοικονομικές υπηρεσίες. 

Ωστόσο, οι νόμοι της γνωστοποίησης παραβίασης προσωπικών δεδομένων στις Η.Π.Α. ήδη υποχρεώνουν τις εταιρείες να ενημερώνουν τους πελάτες για πιθανές παραβιάσεις των προσωπικών δεδομένων τους, καθώς και να λαμβάνουν μέτρα για την αποκατάσταση τυχόν ζημιάς, πιθανώς μια δαπανηρή άσκηση για εταιρείες που διατηρούν τα προσωπικά δεδομένα εκατομμυρίων ανθρώπων. 

Οι ασφαλιστές και οι μεσίτες των Lloyd’s αναπτύσσουν εμπειρογνωσία και προϊόντα ειδικά διαμορφωμένα για την αμερικανική αγορά και τα διαθέτουν σε ευρωπαϊκές επιχειρήσεις. Αυτές οι ασφαλιστικές λύσεις και οι λύσεις διαχείρισης κίνδυνων παρέχουν πρακτική και οικονομική βοήθεια σε περίπτωση παραβίασης δεδομένων. Βέβαια, όσο πιο πολύ βασιζόμαστε σε πληροφοριακά συστήματα και εξωτερική ανάθεση (outsourcing) τόσο οι εγκληματικές απειλές αυξάνονται. Οι εταιρείες θα πρέπει επίσης να βελτιώσουν την όλη ασφάλεια των πληροφοριακών συστημάτων τους και τη διαχείριση κινδύνων.
Μέχρι σήμερα, οι ευρωπαϊκές εταιρείες έχουν συγκριτικά αργήσει να αντιληφθούν τις κυβερνοαπειλές. Ωστόσο, η αλλαγή των νόμων περί προστασίας των δεδομένων και η αύξηση της συνειδητοποίησης σχετικά με τη δυσφήμιση θα οδηγήσουν σε ισχυρές αντιδράσεις, σύμφωνα με τους ειδικούς που μίλησαν στο περιοδικό Market.

Τι λένε οι ειδικοί

Ποιοι είναι οι μεγαλύτεροι κίνδυνοι του κυβερνοχώρου για τις επιχειρήσεις σήμερα και ποιοι θα είναι οι κίνδυνοι που θα προκύψουν στο μέλλον;

Alessandro Lezzi
Ένας από τους μεγαλύτερους κινδύνους του κυβερνοχώρου που αντιμετωπίζουν οι εταιρείες σήμερα είναι ο κίνδυνος της δυσφήμισης. Η νομοθεσία γνωστοποίησης παραβίασης προσωπικών δεδομένων των Η.Π.Α. αποτελεί βασικό κίνητρο για να αγοράσουν οι εταιρείες ασφάλειες κυβερνοχώρου κι ενώ στην Ευρώπη αυτό το είδος νομοθεσίας δεν είναι τόσο ανεπτυγμένο προς το παρόν, οι εταιρείες ανησυχούν για την απειλή της δυσφήμισης και για πιθανή διακοπή των επιχειρηματικών δραστηριοτήτων τους. Ο επικείμενος Κανονισμός Προστασίας Δεδομένων της Ε.Ε. θα παρακινήσει τις εταιρείες να δράσουν.

Gareth Tungatt
Οι ευρωπαϊκοί νόμοι προστασίας δεδομένων έχουν γίνει πιο αυστηροί και οι ρυθμιστές επιβάλλουν πιο αυστηρές ποινές στις εταιρείες. Επίσης, υπάρχει μια ευρύτερη ανησυχία από όλα τα ενδιαφερόμενα μέρη για την πιθανή παραβίαση δεδομένων των παρόχων υπηρεσιών νεφοϋπολογιστικής (cloud computing), δηλαδή εταιρειών που παρέχουν αποθήκευση δεδομένων εκτός ιστοχώρου (offsite). Πρόκειται για μελλοντικό κίνδυνο, καθώς η νεφοϋπολογιστική γίνεται όλο και περισσότερο διαδεδομένη και η ασφαλιστική αγορά θα πρέπει να παρακολουθεί προσεκτικά τη συνολική έκθεσή της.

Jens Krickhahn
Η Γερμανία ήταν από τις πρώτες χώρες της Ε.Ε. που υιοθέτησε ένα νόμο που υποχρεώνει τις εταιρείες να ενημερώνουν τους πελάτες τους σε περίπτωση παραβίασης των προσωπικών τους δεδομένων, έχοντας παράλληλα τη νομική υποχρέωση να ενημερώνουν τις αρχές για την εν λόγω παραβίαση. Πρόκειται για μεγάλο κίνδυνο για τις γερμανικές εταιρείες, τόσο για τη φήμη τους όσο και για το κόστος των αξιώσεων των ασφαλισμένων και τρίτων προσώπων.

Robin Kroha
Στη Γερμανία η άγνοια για τους κίνδυνους του κυβερνοχώρου αποτελεί μεγάλο πρόβλημα, ειδικά για τις μικρότερες εταιρείες που δεν έχουν τις δυνατότητες ασφάλειας και διαχείρισης κινδύνων των μεγαλύτερων εταιρειών. Βλέπουμε μεγάλο πλήθος επαγγελματικού κακόβουλου λογισμικού να χρησιμοποιείται ενάντια σε εταιρείες για πρόσβαση σε δεδομένα, καθώς επίσης, έχουμε δει πολλές εξελιγμένες επιθέσεις να χρησιμοποιούν εργαλεία που έχουν αναπτύξει στρατιωτικές υπηρεσίες ή υπηρεσίες πληροφοριών.

Δρ Thomas Dübendorfer
Το πλήθος των πολύτιμων ψηφιακών περιουσιακών στοιχείων σε απευθείας σύνδεση αυξάνεται ραγδαία και επειδή το έγκλημα ακολουθεί το χρήμα, αναμένω αύξηση των εγκληματικών δραστηριοτήτων στον κυβερνοχώρο. Πιθανώς να δούμε ένα αυξανόμενο αριθμό ιδιαίτερα εξελιγμένων επιθέσεων που θα προσπαθήσουν να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε απόρρητες πληροφορίες ή σε υποδομές κρίσιμες σε επιχειρήσεις και κυβερνήσεις.

Simon Milner 
Οι κίνδυνοι του κυβερνοχώρου διαφέρουν ανάλογα με τον τομέα. Οι εταιρείες που βασίζονται σε on-line δραστηριότητες μπορεί να υποστούν απώλεια εσόδων στην περίπτωση μιας διαρκούς κυβερνοεπίθεσης, ενώ η παραβίαση απόρρητων πληροφοριών θα έθετε σε μεγαλύτερο κίνδυνο τις εταιρείες χρηματοοικονομικών υπηρεσιών, για παράδειγμα. Όσο για κινδύνους στο εγγύς μέλλον, συμφωνώ ότι η νεφοϋπολογιστική αποτελεί τη μεγαλύτερη απειλή που δεν έχει ακόμη πλήρως αναγνωριστεί. Και ναι, αν κοιτάξουμε ακόμα πιο μακριά στο μέλλον, υπάρχει κίνδυνος σε κρίσιμες υποδομές, όπως επιχειρήσεις κοινής ωφέλειας, από κυβερνοτρομοκράτες, ακτιβιστές και εχθρικές κυβερνήσεις.

Έχουν γίνει αντιληπτοί οι κίνδυνοι του κυβερνοχώρου και ποια είναι η παρούσα κατάσταση της διαχείρισης κινδύνων και της ασφάλειας;

Robin Kroha
Το βασικό πρόβλημα είναι ότι οι περισσότερες εταιρείες απλώς δεν αντιλαμβάνονται τους κινδύνους που αντιμετωπίζουν σήμερα. Οι κίνδυνοι του κυβερνοχώρου δεν έχουν γίνει αντιληπτοί και η διαχείριση κινδύνων διεξάγεται ακόμη με παραδοσιακούς τρόπους. Η κυβερνοασφάλεια είναι κατακερματισμένη σε πολλούς Οργανισμούς και αυτός ο αναδυόμενος κίνδυνος αφήνεται πολύ συχνά στα χέρια των τμημάτων των πληροφοριακών συστημάτων ή της ασφάλειας.

Δρ Thomas Dübendorfer
Η διαχείριση της ασφάλειας συστημάτων απαιτεί να καταβάλουμε μεγάλη προσπάθεια για να συμβαδίζουμε με τις τεχνολογικές αλλαγές και να έχουμε έμπειρους επαγγελματίες της ασφάλειας που να παρακολουθούν τα συστήματα. Η ασφάλεια αποτελεί μια διαδικασία. Όσο κινούμαστε προς την ψηφιοποίηση των δεδομένων υγείας, για παράδειγμα, θα υπάρχουν συστήματα σε απευθείας σύνδεση που θα διατηρούν ευαίσθητα προσωπικά δεδομένα. Όλο αυτό απαιτεί πολύ καλό σχεδιασμό. Μια πρόσφατη μελέτη αποκάλυψε ότι η ασφάλεια των πληροφοριακών συστημάτων σε κάποια ευρωπαϊκά νοσοκομεία παρουσίαζε ιδιαίτερα σημαντικά κενά.

Gareth Tungatt
Το πρότυπο της διαχείρισης κινδύνων εξαρτάται από την εκάστοτε βιομηχανία, αλλά ακόμα είναι ένα σχετικά νέο πεδίο για τους διαχειριστές κινδύνων. Η διαχείριση κινδύνων και η ασφάλεια έχουν βελτιωθεί και έχουν γίνει περισσότερο κατανοητές σε τομείς που υπόκεινται στον κανονισμό περί της ιδιωτικότητας, όπως τα χρηματοοικονομικά ιδρύματα και οι πάροχοι υγειονομικής περίθαλψης στις Η.Π.Α. Ωστόσο, δεν είναι στο ίδιο επίπεδο όλες οι εταιρείες.

Jens Krickhahn
Επίσης, παρατηρούμε διαφορετικά πρότυπα σε διαφορετικές βιομηχανίες. Για παράδειγμα, κάποιοι μεγάλοι έμποροι λιανικής έχουν συμμορφωθεί προς το Πρότυπο Ασφαλείας Δεδομένων της Βιομηχανίας Καρτών Πληρωμών (Payment Card industry Data Security Standard), ενώ πολλές μικρότερες εταιρείες που επίσης δέχονται πληρωμές με πιστωτικές κάρτες ούτε καν γνωρίζουν ότι υπάρχουν τα πρότυπα αυτά.

Πόσο ανεπτυγμένα είναι τα προϊόντα ασφάλισης έναντι κινδύνων του κυβερνοχώρου; Μπορούν οι ασφαλιστές να βοηθήσουν όσον αφορά τη μεταβίβαση κινδύνων και την παροχή συμβουλών;

Graham West
Εκτός από παροχή καινοτόμων λύσεων μεταβίβασης κινδύνων, η αγορά των Lloyd’s θα μπορούσε να εκπαιδεύσει την ευρύτερη αγορά ασφάλισης και να αυξήσει την επίγνωση των πελατών για τους κινδύνους. Οι Lloyd’s μπορούν να προσαρμόσουν τα υπάρχοντα προϊόντα του κυβερνοχώρου, όπως αυτά που αναπτύχθηκαν για τις Η.Π.Α., και να τα εφαρμόσουν για τις ανάγκες των χωρών της Ε.Ε. Επίσης, είναι σημαντικό να τονίσουμε το ρόλο του μεσίτη στην παροχή συμβουλών προς τους πελάτες και την προσαρμογή των ασφαλιστηρίων.

Alessandro Lezzi
Στη Βόρεια Αμερική, η βιομηχανία ασφαλίσεων έχει ήδη ξεκινήσει να βοηθάει εταιρείες να αντεπεξέλθουν στην κρίση των παραβιάσεων, με αποτέλεσμα τα προϊόντα ασφάλισης του κυβερνοχώρου να είναι πολύ ανεπτυγμένα. Επίσης, ως αγορά μπορούμε να εξηγήσουμε τις απειλές και να βοηθήσουμε τις εταιρείες παρέχοντας βελτιώσεις στη διαχείριση κινδύνων και στις εσωτερικές πολιτικές τους.

Simon Milner
Οι κυβερνοαπειλές είναι σύνθετες, με αποτέλεσμα οι ασφάλειες να διευρύνονται όλο και περισσότερο. Οι περισσότεροι κυβερνοασφαλιστές παρέχουν κάλυψη κατά της δυσφήμισης έναντι του κόστους απασχόλησης προσωπικού δημοσίων σχέσεων, ενώ ένας άλλος ασφαλιστής έχει διευρύνει την υπηρεσία αυτή ώστε να περιλαμβάνει την απώλεια εσόδων ως αποτέλεσμα της δυσφήμισης μιας εταιρείας.

Gareth Tungatt
Η εξυπηρέτηση αποτελεί πλέον ένα σημαντικό μέρος των ασφαλειών κυβερνοχώρου, ειδικά για μικρότερες εταιρείες που επιθυμούν μια λύση διαχείρισης κινδύνων που να τους υποστηρίζει σε περίπτωση παραβιάσεων. 

Jens Krickhahn
Είναι σημαντικό να μπορούν οι εταιρείες να βασίζονται σε ασφαλιστές που θα μεταβιβάσουν τους κινδύνους του κυβερνοχώρου και να έχουν πρόσβαση σε εγκληματολογική και νομική εμπειρογνωσία. Η ασφαλιστική εταιρεία Hiscox λάνσαρε το πρώτο προϊόν στη Γερμανία, το οποίο προσφέρει μια συγκεκριμένη λύση. Μέρος της λύσης περιλαμβάνει την πρόσβαση σε ειδικούς εγκληματολογίας και νομικής. Ωστόσο, η Γερμανία αποτελεί μια νέα αγορά που διαθέτει μόλις δύο παρόχους ασφαλειών κυβερνοχώρου και θα πρέπει να αναπτυχθεί περαιτέρω αν θέλουμε να αυξηθεί η επίγνωση των μεσιτών για το προϊόν.

Robin Kroha
Οι ασφαλιστές παίζουν καθοριστικό ρόλο στην αύξηση των προτύπων και παρέχουν σημαντική βοήθεια σε εταιρείες για να αναπτύξουν την ασφάλεια των πληροφοριών τους. Οι εταιρείες θα πρέπει να αποδείξουν στους ασφαλιστές ότι διαθέτουν ασφάλεια, αν επιθυμούν να αγοράσουν ασφάλειες κυβερνοχώρου και να μειώσουν το κόστος κάλυψης. Οι επιχειρήσεις διστάζουν να επενδύσουν σε ασφάλεια, αλλά οι ασφαλιστές μπορούν να το αλλάξουν αυτό.

Ποια βήματα πρέπει να γίνουν ώστε να είναι διαχειρίσιμοι και ασφαλίσιμοι οι κίνδυνοι του κυβερνοχώρου; Μπορούν οι κυβερνήσεις, οι νομοθέτες και η κοινωνία ως σύνολο να ενισχύσουν την ανθεκτικότητα;

Simon Milner
Αυξάνοντας την επίγνωση και διαμοιράζοντας τις πληροφορίες, οι ασφαλιστές μπορούν να βοηθήσουν τις εταιρείες να κατανοήσουν πού μπορεί να χωλαίνει η παροχή της ασφάλειάς τους. Οι επιχειρήσεις θα πρέπει να αποφεύγουν την εσφαλμένη αντίληψη ότι δεν πρόκειται να τους συμβεί αυτό, γιατί μπορεί να συμβεί και πιθανόν να συμβεί.

Alessandro Lezzi
Η αγορά πρέπει να κάνει κάποια βήματα ώστε να εκπαιδεύσει και να εξηγήσει τις κυβερνοαπειλές. Οι κυβερνήσεις μπορούν να βοηθήσουν θεσπίζοντας πρότυπα μέσω της νομοθεσίας, ενώ μεμονωμένα άτομα μπορούν να ασκήσουν πίεση στις εταιρείες για να έχουν πολιτικές ιδιωτικότητας και υψηλά εταιρικά πρότυπα. 

Gareth Tungatt
Ως βιομηχανία, αναπτύσσουμε τις γνώσεις μας. Η εμπειρία από τις Η.Π.Α. μας έχει διδάξει πολλά, αλλά για να συνεχίσουν οι ασφαλιστές να παρέχουν κάλυψη θα πρέπει να αποκτήσουν μια πιο ολοκληρωμένη άποψη. Οι ασφαλιστές θα πρέπει να κατανοήσουν καλύτερα τη συνολική έκθεση σε ένα αντιπροσωπευτικό δείγμα κινδύνων του κυβερνοχώρου. Επίσης, θα πρέπει να συνεργαστούν στενά με τη βιομηχανία της τεχνολογίας.

Jens Krickhahn
Αν είχα μια ευχή, θα ευχόμουν οι κυβερνήσεις και η βιομηχανία πληροφοριακών συστημάτων να συνεργαστούν ώστε να σχηματίσουν μια κοινή αντίληψη για τους κινδύνους του κυβερνοχώρου. Προς το παρόν, ο κανονισμός προστασίας δεδομένων της Ε.Ε. που έχει προταθεί, υποχρεώνει τις εταιρείες να γνωστοποιούν τις περιπτώσεις παραβίασης εντός 24 ωρών. Κατά τη γνώμη μου, αυτό είναι σχεδόν αδύνατο, καθώς και τα προτεινόμενα πρόστιμα του 5% των παγκόσμιων εσόδων θα μπορούσαν να καταστρέψουν τις εταιρείες. Χρειαζόμαστε να έχουμε μεγαλύτερη επίγνωση και κοινή αντίληψη για τους κινδύνους. Και το κοινό χρειάζεται να έχει την ίδια αντίληψη επίσης.

Δρ Thomas Dübendorfer
Τέλεια ασφάλεια σημαίνει πελώρια αύξηση του κόστους. Η διαχείριση κινδύνων είναι θέμα εξισορρόπησης του κόστους με το υποτιθέμενο μέγεθος της απειλής. Όταν γνωρίζουμε ποια ψηφιακά περιουσιακά στοιχεία πρέπει να ασφαλίσουμε και μπορούμε να αντιδρούμε άμεσα σε περίπτωση επίθεσης, τότε μπορούμε να μειώσουμε το κόστος και παράλληλα να διατηρούμε υψηλά πρότυπα ασφαλείας σε συστήματα όπου απαιτείται. Επίσης, η ανταλλαγή πληροφοριών σχετικά με επιθέσεις και απειλές ανάμεσα σε κυβερνήσεις, φορείς δικτύων και εταιρείες μπορεί να μας βοηθήσει να κατανοήσουμε την έκταση μιας ευρύτερης επίθεσης. Μπορούμε να χρησιμοποιήσουμε τα μαθήματα που πήραμε από προηγούμενες επιθέσεις για να ενισχύσουμε περισσότερο την ανθεκτικότητα των δικτύων και των υπηρεσιών.

Η ομάδα εμπειρογνωμόνων 

Στην ομάδα που διαθέτει εμπειρογνωσία η οποία της επιτρέπει να αντιλαμβάνεται τη φύση των κινδύνων του κυβερνοχώρου και τους τρόπους με τους οποίους οι εταιρείες μπορούν να προστατευτούν πιο αποτελεσματικά συμμετείχαν οι κ.κ.: 

Alessandro Lezzi Cyber Risk Undewriter Beazley. Είναι επικεφαλής στο κομμάτι της τεχνολογίας, των μίντια και της ομαδικής εργασίας. 

Gareth Tungatt Undewriting Manager Barbican. Ανήκει στο στελεχιακό δυναμικό της εταιρείας από το 2009 και ασχολείται κυρίως με τους κινδύνους από την τεχνολογία και το ηλεκτρονικό εμπόριο.

Graham West Lloyd’s General Representative for Switzerland. Έχει εμπειρία 30 ετών στην ευρωπαϊκή ασφαλιστική αγορά.

Jens Krickhahn Underwriting Manager Hiscox. Είναι επικεφαλής του τμήματος τεχνολογίας, μίντια και τηλεπικοινωνιών.

Robin Kroha Director of Corporate Security Management HiSolutions AG. Είναι σύμβουλος διαχείρισης και ειδικεύεται στη διαχείριση κρίσεων και την ασφάλεια των πληροφοριών.

Simon Milner Partner and Head of IT and Cyber Risk, JLT Specialty. Έχει εμπειρία 14 ετών στους διαδικτυακούς κινδύνους.

Δρ Thomas Dübendorfer Consultant and Lecturer. Είναι επικεφαλής στο τμήμα ασφάλειας του IT της Google Zurich, έχει διατελέσει σύμβουλος σε διακεκριμένες ελβετικές τράπεζες και διδάσκει για τη διαδικτυακή ασφάλεια.

Περισσότερες πληροφορίες στο Δείκτη Κινδύνου Lloyd’s 2011 (Lloyd’s Risk Index 2011)   www.lloyds.com/riskindex και στο www.datalossdb.org