[starbox]
Τη σύνθετη φύση των διαδικτυακών κινδύνων και τα προβλήματα που μπορεί να δημιουργήσουν στις επιχειρήσεις αναλύει ο Κώστας Βούλγαρης, Financial Lines Head, Greece, Cyprus & Malta στην AIG. Τα τελευταία χρόνια λόγω της αύξησης των επιθέσεων διεθνώς πολλές επιχειρήσεις στρέφονται προς την ασφαλιστική αγορά και την προστασία που μπορεί να τους προσφέρει μέσω των προγραμμάτων της. Όπως αναφέρει έρευνα που διεξήχθη την περασμένη χρονιά σε ΗΠΑ και Καναδά για λογαριασμό της AIG, έδειξε ότι πάνω από το 85% των στελεχών των επιχειρήσεων ανησυχεί ε για τις ηλεκτρονικές και διαδικτυακές απειλές στην επιχείρησή τους
- Ποιοι είναι οι κυβερνοκίνδυνοι και ποιες επιχειρήσεις αφορούν; Τι επιπτώσεις μπορεί να έχουν στη λειτουργία μία επιχείρησης;
Ο όρος Cyber Risks ή αλλιώς «Κυβερνοκίνδυνοι» περιλαμβάνει μια πολύ ευρεία αλλά και σοβαρή σειρά κινδύνων, η οποία μέχρι πριν από μερικές δεκαετίες δεν υπήρχε καν. Αν θέλαμε να συνοψίσουμε το ακριβώς είναι, θα λέγαμε πως πρόκειται για απειλές στα δεδομένα και τα συστήματα μιας εταιρίας. Έτσι στην κατηγορία αυτή θα δούμε τη διαρροή και την απώλεια δεδομένων, από εσωτερικές ή εξωτερικές επιθέσεις, ή αμέλεια στη χρήση. Η επιχείρηση ενδέχεται επίσης να αντιμετωπίσει σημαντικά προβλήματα εξαιτίας δυσλειτουργίας των ηλεκτρονικών της συστημάτων, αλλά και αλλοίωση ή και διακοπή της παρουσίας της στο διαδίκτυο, ως συνέπεια κακόβουλης επίθεσης ή απλά ανθρώπινου λάθους.
Ανεξάρτητα όμως από την προέλευση των κινδύνων, αυτό που πρέπει να κρατήσουμε κατά νου είναι η σύνθετη φύση τους καθώς και οι επιπτώσεις που μπορεί να έχουν σε μια επιχείρηση. Κατά πρώτον έχουμε να αντιμετωπίσουμε την απώλεια δεδομένων που μπορεί να συνεπάγεται και κλοπή προσωπικών στοιχείων των πελατών μια εταιρίας. Αυτό αυτομάτως σημαίνει οικονομικές επιπτώσεις για αποζημιώσεις, νομικά έξοδα αλλά και απώλεια κερδών. Κατά δεύτερον μιλάμε για προβλήματα στο τμήμα ΙΤ που καλείται να επιλύσει τα προβλήματα αυτά και να αποκαταστήσει τη ζημιά το συντομότερο δυνατό και φυσικά μια μεγάλη κρίση εταιρικής φήμης αλλά και απέναντι στη διοίκηση επιχείρησης.
Εδώ πρέπει να τονίσουμε επίσης ότι υπάρχει μια λανθασμένη αντίληψη σχετικά με τη φύση των εταιριών οι οποίες ενδέχεται να πέσουν θύματα μιας τέτοιας επίθεσης. Μπορεί ο κόσμος να φέρνει στο νου του π.χ. τις τράπεζες ως τα πιο πιθανά θύματα, αλλά η αλήθεια είναι πως κάθε επιχείρηση, από μια μικρομεσαία μέχρι έναν μεγάλο χρηματοοικονομικό οργανισμό με παγκόσμια παρουσία, ενδέχεται να βρεθούν αντιμέτωποι με τέτοιου είδους κινδύνους.
- Έρευνες που έχουν γίνει στο εξωτερικό δείχνουν ότι το ενδιαφέρον των επιχειρήσεων να μάθουν για την ασφάλιση που αφορά σε διαδικτυακούς κινδύνους αυξάνεται συνεχώς. Είναι αντίστοιχη και η εικόνα στην Ελλάδα;
Πράγματι η ανησυχία για τις συνέπειες των ηλεκτρονικών και διαδικτυακών κινδύνων αυξάνεται ολοένα και περισσότερο. Μάλιστα, έρευνα που διεξήχθη την περασμένη χρονιά σε ΗΠΑ και Καναδά για λογαριασμό της AIG, έδειξε ότι πάνω από το 85% των στελεχών των επιχειρήσεων ανησυχεί είτε μεγάλο είτε σε μέτριο βαθμό για τις ηλεκτρονικές και διαδικτυακές απειλές στην επιχείρησή τους. Το ποσοστό μάλιστα ήταν μεγαλύτερο από άλλες κατηγορίες κινδύνων, όπως η απώλεια εσόδων ή οι ζημιές στην περιουσία της εταιρίας.
Παρόλο που αντίστοιχη έρευνα δεν έχει διεξαχθεί στην Ελλάδα, μπορούμε με σιγουριά να πούμε πως πλέον οι επιχειρήσεις αντιμετωπίζουν ιδιαίτερα σοβαρά τη συγκεκριμένη κατηγορία απειλών. Δεν μπορούμε φυσικά να συγκρίνουμε την Ελλάδα με περισσότερο ώριμες αγορές όπως αυτή των ΗΠΑ, αλλά σίγουρα το ζήτημα έχει ανέβει υψηλά στην ατζέντα των επιχειρήσεων, αφενός γιατί αντιλαμβάνονται τις επιπτώσεις τους, αφετέρου γιατί η Ελλάδα είναι ήδη στον χάρτη των χωρών που δέχονται επιθέσεις. Αξίζει μάλιστα να σημειώσουμε πρόσφατη έρευνα γνωστής εταιρίας λογισμικού ασφαλείας που δημοσιεύτηκε στις αρχές Ιουλίου: σύμφωνα με αυτήν η Ελλάδα είναι μέσα στις δέκα χώρες με ενεργές επιθέσεις σε εταιρίες του ενεργειακού τομέα.
- Είναι επαρκή –από άποψη καλύψεων- τα προγράμματα ασφάλισης έναντι των κινδύνων του διαδικτύου που υπάρχουν στην Ελλάδα;
Καθώς η φύση των κινδύνων αυτών είναι τόσο σύνθετη, δεν θα έκρινα ως επαρκές ένα πρόγραμμα μόνο με βάση τις καλύψεις.
Σίγουρα οι καλύψεις είναι σημαντικές αλλά στη συγκεκριμένη κατηγορία απειλών η ασφαλιστική εταιρία οφείλει να είναι σύμβουλος του πελάτη: να του δείξει πώς πρέπει να προφυλαχθεί επαρκώς για να αποφύγει τις επιπτώσεις μιας ζημιάς, αλλά και στην περίπτωση που υπάρξει κάποιο συμβάν να παρέχει επιπλέον υπηρεσίες από πραγματογνώμονες και ειδικούς συμβούλους που θα βοηθήσουν τον ασφαλισμένο να το αντιμετωπίσει άμεσα και με επιτυχία.
Επιπλέον η ασφαλιστική θα πρέπει να προσφέρει και υψηλά όρια: μια τέτοιο περιστατικό ενδέχεται να έχει ως αποτέλεσμα υπέρογκα έξοδα σε αποζημιώσεις, νομικά έξοδα, αλλά και απώλεια κερδών. Τέλος, είναι σημαντικό να επιλεγεί μια εταιρία με μεγάλη τεχνογνωσία στον τομέα αυτόν, ώστε να μπορεί να υποστηρίξει τον ασφαλισμένο σε κάθε του αίτημα και να χρησιμοποιεί την εμπειρία της για να προβλέψει τις ανερχόμενες μελλοντικές απειλές. Με βάση τα παραπάνω, πράγματι, μπορούμε να πούμε πως υπάρχουν εταιρίες που καλύπτουν επαρκώς τις ανάγκες των ασφαλισμένων στον τομέα αυτόν.
- Ποιες λύσεις-προγράμματα προτείνει η εταιρεία σας;
Eιδικά για τους ηλεκτρονικούς και διαδικτυακούς κινδύνους, η AIG έχει δημιουργήσει το εξειδικευμένο πρόγραμμα CyberEdgeπου περιλαμβάνει τόσο τις περισσότερο «τυπικές» ασφαλιστικές καλύψεις, όσο και συμβουλευτικές υπηρεσίες από εμπειρογνώμονες για την προφύλαξη και αντιμετώπιση μιας κρίσης.
Σε ό,τι αφορά το καθαρά ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων που μπορεί να προκύψουν μετά από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης, ή απώλεια δεδομένων από φορητές συσκευές. Καλύπτονται επίσης τα έξοδα αποκατάστασης, εκ νέου περισυλλογής ή αναδημιουργίας των δεδομένων, ενώ προαιρετικά μπορούν να συμπεριληφθούν και οι χρηματικές απώλειες που θα προκύψουν όταν διακοπεί η λειτουργία των συστημάτων μιας επιχείρησης, ή εάν υπάρξει εκβιασμός μετά από διαρροή δεδομένων.
Προχωρώντας ένα βήμα πέρα από τα τυπικά ασφαλιστήρια, το CyberEdge μέσα από ένα μηχανισμό που έχει στηθεί στην Ελλάδα, για τις ελληνικές επιχειρήσεις, καλύπτει την διεκπεραίωση της απαραίτητης σχετικής έρευνας από εξειδικευμένους συμβούλους πληροφορικής οι οποίοι θα αναλάβουν να ενημερώσουν την Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με τις συνθήκες του συμβάντος, καθώς και για τα τεχνικά μέτρα που θα λάβει η επιχείρηση προκειμένου να αποφευχθεί αντίστοιχο περιστατικό στο μέλλον. Επιπροσθέτως, περιλαμβάνει το κόστος των υπηρεσιών που θα είναι απαραίτητες σε αντίστοιχα περιστατικά, όπως αυτές των νομικών συμβούλων, των πραγματογνωμόνων που θα κληθούν να διερευνήσουν τις συνθήκες και το μέγεθος της διαρροής των δεδομένων – και να τη σταματήσουν αν συνεχίζεται – καθώς και των συμβούλων επικοινωνίας και δημοσίων σχέσεων που θα καταρτίσουν ένα ενδελεχές πλάνο επικοινωνίας και διαχείρισης κρίσης προς εσωτερικά και εξωτερικά κοινά.