Insurance World Το Πληρέστερο Ασφαλιστικό Portal. Ό,τι συμβαίνει στον ασφαλιστικό κόσμο γράφεται εδώ!
Οργανισμοί, επιχειρήσεις και δημόσιοι φορείς που στηρίζουν τις εργασίες τους στο διαδίκτυο, και χειρίζονται μεγάλο όγκο προσωπικών δεδομένων, είναι «ευάλωτοι» στις διαδικτυακές επιθέσεις.
Στη σύγχρονη εποχή, την ψηφιακή, οι κυβερνοεπιθέσεις αποτελούν πλέον ένα σύνηθες φαινόμενο, που αυξάνεται με ραγδαίους ρυθμούς, αλλάζει μορφές και εξελίσσεται.
Συχνά καταγράφονται επιθέσεις hacker σε ιστοσελίδες ή απόρρητα αρχεία δημόσιων φορέων, χρηματοπιστωτικών οργανισμών ή παροχής υπηρεσιών υγείας και διαρρέουν ευαίσθητα προσωπικά στοιχεία πελατών. Έτσι Οργανισμοί ή υπηρεσίες κοινής ωφέλειας έρχονται αντιμέτωποι με την πιθανή δυσφήμισή τους, την απώλεια πελατών, με νομικές συνέπειες και κατ’ επέκταση αποζημιώσεις, που μπορεί να απαιτήσουν οι θιγόμενοι.
Συχνά, οι κυβερνοεπιθέσεις προκαλούν και περαιτέρω ζημίες, όπως το κόστος από την προσωρινή διακοπή της λειτουργίας μιας επιχείρησης ή τις δαπάνες για την αποκατάσταση της ζημιάς στο λογισμικό της σύστημα. Σύμφωνα με τους ειδικούς του χώρου η επόμενη πρόκληση για τις εταιρείες και τα τμήματα πληροφορικής είναι η προστασία των δεδομένων σε cloud.
Σήμερα φαίνεται πως δημόσιοι και ιδιωτικοί φορείς αρχίζουν να αναγνωρίζουν το πρόβλημα και να αναζητούν λύσεις αφενός σε επίπεδο προστασίας των συστημάτων τους και αφετέρου σε εξειδικευμένα ασφαλιστικά προϊόντα. Σύμφωνα με έρευνα της Ipsos για τους Lloyd’s που έγινε σε εταιρείες από όλο τον κόσμο, το 2013 οι επικεφαλής των εταιρειών κατατάσσουν τις επιθέσεις αυτές τρίτες στη λίστα με τους σημαντικότερους κινδύνους, όταν το 2012 οι ηλεκτρονικοί κίνδυνοι ήταν δωδέκατοι. Επίσης μελέτη του Ponemon Institute διαπίστωσε ότι το 2012 το μέσο ετήσιο κόστος των κυβερνοεπιθέσεων για 56 οργανισμούς των ΗΠΑ ήταν 8,9 εκατ. δολάρια το χρόνο, από 8,4 εκατ. δολάρια το 2011.
Η εξέλιξη του φαινομένου και οι ανάγκες των οργανισμών οδήγησαν στη δημιουργία προγραμμάτων που διασφαλίζουν ότι μια εταιρεία ή ένας Οργανισμός θα μπορέσει να συνεχίσει τη λειτουργία του μετά από μια ηλεκτρονική επίθεση. Ήδη στο εξωτερικό, πρωτίστως στην Αμερική αλλά και σε κάποιες ευρωπαϊκές χώρες, τα προγράμματα αυτά ανθούν, καθώς οι επιχειρηματίες αντιλαμβάνονται την αναγκαιότητά τους. Σε ένα βαθμό σε αυτό έχει συντελέσει και το νομοθετικό πλαίσιο γύρω από τα προσωπικά δεδομένα, που ορίζει ως υποχρέωση των εταιρειών – όπως συμβαίνει στη Γερμανία – να ενημερώνουν τους πελάτες τους σε περίπτωση που τα προσωπικά τους δεδομένα έχουν εκτεθεί σε τρίτους.
Αναμφισβήτητα, σημαντικό ρόλο στην ανάπτυξη της ασφάλισης για cyber-κινδύνους έχει παίξει ταυτόχρονα και η συχνότητα του φαινομένου όσο και το γεγονός ότι πλέον οι επιθέσεις δεν έχουν αποκλειστικά ως έναυσμα την οικονομική ωφέλεια αυτών που τη σχεδιάζουν, αλλά, πολύ συχνά, έχουν πολιτική ή ιδεολογική βάση.
Απρος την αντιμετώπιση του προβλήματος αρχίζουν σταδιακά να προσανατολίζονται και οι οργανισμοί στην Ελλάδα. Όπως μας αναφέρει ο κ. Κώστας Βούλγαρης, Financial Lines Manager στην AIG, «σταδιακά οι επιχειρήσεις αντιλαμβάνονται την ανάγκη προστασίας τους από τη συγκεκριμένη κατηγορία κινδύνων. Αυτό συμβαίνει, κατά πρώτον, γιατί τα κρούσματα των επιθέσεων αυξάνονται και στην Ελλάδα, τόσο από hackers με οικονομικά κίνητρα όσο και από ακτιβιστικές οργανώσεις».
Τι λέει η AIG για τους cyber-κινδύνους
iw? Εταιρείες, εθνικοί φορείς και διεθνείς οργανισμοί στηρίζουν τις εργασίες τους στο διαδίκτυο. Ποιους κινδύνους αντιμετωπίζουν;
Κώστας Βούλγαρης, Financial Lines Manager, AIG: Ο όρος «ηλεκτρονικοί και διαδικτυακοί κίνδυνοι» περιλαμβάνει μια ιδιαίτερα ευρεία σειρά κινδύνων που ενδέχεται να αντιμετωπίσει οποιαδήποτε επιχείρηση έχει παρουσία ή/και στηρίζει τις εργασίες της στο διαδίκτυο. Αυτό, μεταξύ άλλων, συμπεριλαμβάνει οποιαδήποτε on-line πλατφόρμα, τις υπηρεσίες απομακρυσμένων servers, τα εταιρικά e-mail, την ιστοσελίδα της εταιρείας κ.α.
Εδώ, πλέον, το ζητούμενο δεν είναι τόσο η προστασία του hardware μιας εταιρείας όσο των δεδομένων που χειρίζεται, είτε αυτά είναι εταιρικά είτε προσωπικά δεδομένα πελατών/συνεργατών της. Κάτι τέτοιο μπορεί να οδηγήσει σε επιβολή πρόστιμων εις βάρος της επιχείρησης, υποβολή αγωγών, σημαντική κρίση εταιρικής φήμης ή ακόμη και στη διακοπή της λειτουργίας των δικτύων της.
iw? Οι εταιρείες έχουν αντιληφθεί τους κινδύνους και τις συνέπειες που αυτοί μπορεί να έχουν στην ομαλή λειτουργία τους; Έχουν διεισδύσει τα προγράμματα αυτά στην ελληνική αγορά (αν όχι, τι πρέπει να αλλάξει);
Κ.Β.: Σταδιακά, ολοένα και περισσότερες εταιρείες αντιλαμβάνονται την ανάγκη προστασίας τους από τη συγκεκριμένη κατηγορία κινδύνων. Αυτό συμβαίνει, κατά πρώτον, γιατί τα κρούσματα των επιθέσεων αυξάνονται και στην Ελλάδα, τόσο από hackers με οικονομικά κίνητρα όσο και από ακτβιστικές οργανώσεις.
Επιπλέον, οι εταιρείες αντιλαμβάνονται ότι η έκταση που παίρνει μια τέτοια επίθεση είναι ιδιαίτερα μεγάλη: αρχικά δημιουργούνται χρηματικές απώλειες που οφείλονται σε αποζημιώσεις σε τρίτους, νομικά έξοδα και έρευνες, καθώς και στην απώλεια εσόδων λόγω ενδεχόμενης διακοπής της λειτουργίας των δικτύων. Ενδέχεται επίσης να υπάρχουν νομικές κυρώσεις, καθώς και προβλήματα στη λειτουργία του τμήματος ΙΤ, που καλείται αφενός να αντιμετωπίσει το πρόβλημα και αφετέρου να συνεχίσει τη ροή των καθημερινών εργασιών του.
Εκτός από τα παραπάνω, μια επιχείρηση που έχει να αντιμετωπίσει ένα σχετικό κρούσμα επίθεσης, πρέπει παράλληλα να διαχειριστεί μια κρίση εταιρικής φήμης που ενδεχομένως θα κλονίσει τη θέση της στην αγορά και τη σχέση της με το κοινό. Θα κληθεί να απαντήσει σε ερωτήσεις και αρνητικά σχόλια στα ΜΜΕ και τα social media, χωρίς να είναι απαραίτητα προετοιμασμένη γι’ αυτό το ενδεχόμενο.
Η συνειδητοποίηση αυτή αυξάνει με γρήγορους ρυθμούς και τη διείσδυση στην αγορά των αντίστοιχων ασφαλιστικών προγραμμάτων.
iw? Πόσο καλά ανεπτυγμένα είναι τα προγράμματα ασφάλισης έναντι των κινδύνων του διαδικτύου;
Κ.Β.: Έχοντας τα παραπάνω κατά νου, στην AIG δημιουργήσαμε το πρώτο πρόγραμμα ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων στην ελληνική αγορά, το CyberEdge, το οποίο προβλέπει τις πολλαπλές και πολυεπίπεδες επιπτώσεις των διαδικτυακών και ηλεκτρονικών κινδύνων και συνδυάζει την παραδοσιακή ασφαλιστική κάλυψη με την παροχή επαγγελματικών συμβουλών.
Ξεκινώντας με το αμιγώς ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων κατά του ασφαλισμένου, που ενδέχεται να προέρχονται από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης ή απώλεια δεδομένων από φορητές συσκευές (smartphones, laptops, USB drives κ.λπ.).
Καλύπτονται, επίσης, οι χρηματικές απώλειες από τη διακοπή της λειτουργίας των συστημάτων μιας επιχείρησης (business interruption), καθώς και οι απώλειες από εκβιασμό μετά από διαρροή δεδομένων.
Το CyberEdge ολοκληρώνεται με μια σειρά υπηρεσιών από εξειδικευμένους νομικούς, συμβούλους δημοσίων σχέσεων και ειδικούς ασφαλείας. Έτσι, προβλέπεται η διαχείριση και αποκατάσταση της εταιρικής φήμης, με στρατηγικό πλάνο επικοινωνίας προς το εσωτερικό και εξωτερικό κοινό, ενώ παράλληλα οι ειδικοί εμπειρογνώμονες διερευνούν τα αίτια και τις συνθήκες παραβίασης, καθώς επίσης και το κόστος της ζημιάς, ενώ συμβάλλουν στην αποκατάσταση των συστημάτων και στην ανάκτηση των δεδομένων.
iw? Ποιες είναι οι λύσεις που προτείνετε για την προστασία από το κυβερνοέγκλημα;
Κ.Β.: Η λογική του «Act as you’ ve already been hacked» μάς βρίσκει σύμφωνους και αυτό γιατί όσο εξελίσσεται η τεχνολογία τόσο εξελίσσονται και οι μορφές επίθεσης που μπορεί να δεχθεί μια επιχείρηση. Συμβουλεύουμε λοιπόν τους ασφαλισμένους μας, αρχικά, να παρακολουθούν στενά τις εξελίξεις στον χώρο της ηλεκτρονικής ασφάλειας, δίνοντας έμφαση στην πρόληψη. Γι’ αυτόν ακριβώς τον λόγο, οι καλύψεις του CyberEdge περιλαμβάνουν το κόστος επαγγελματικών συμβουλών για την πρόληψη ή την ελαχιστοποίηση ενδεχόμενων αρνητικών επιπτώσεων κάποιας επίθεσης, αλλά και την ελαχιστοποίηση πιθανής ζημιάς στη φήμη οποιουδήποτε στελέχους της εταιρείας. Φυσικά, όμως, επειδή η εμπειρία έχει αποδείξει ότι δεν υπάρχει απαραβίαστο σύστημα, θεωρούμε ότι κάθε σύγχρονη επιχείρηση πρέπει να είναι και ασφαλισμένη.
