Αφιέρωμα Cyber Insurance (μέρος α)
του Βάιου Κρόκου
Η παγκόσμια οικονομία αλλάζει με γοργούς ρυθμούς, απόρροια της ραγδαίας ανάπτυξης της τεχνολογίας και της ψηφιοποίησης σε όλους τους επιμέρους κλάδους. Στον αντίποδα, ελλοχεύουν, πλέον, τεράστιοι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι από χτυπήματα που οδηγούν σε απώλειες προσωπικών δεδομένων μέχρι και μεγάλου βεληνεκούς κυβερνοεπιθέσεις, το ένα όχι λιγότερο σημαντικό από το άλλο.
Από αυτό το κεφάλαιο δεν θα μπορούσε, φυσικά, να λείψει ο κλάδος των ασφαλειών, ο οποίος προσπαθεί να αποκομίσει τα οφέλη που του αναλογούν από τις εν λόγω εξελίξεις και να προσφέρει, παράλληλα, τις απαραίτητες καλύψεις. Υπό αυτό το πρίσμα, οι ασφαλιστικές εταιρείες καλούνται να καλύψουν μια ευρεία γκάμα απειλών.
Την ίδια ώρα, δημιουργούνται υψηλές προσδοκίες για σημαντική αύξηση του κύκλου εργασιών και των προσφερόμενων υπηρεσιών προς τους πελάτες για την πρόληψη και την αντιμετώπιση των νέων ανερχόμενων κινδύνων.
Στο αφιέρωμα του iw για την ασφάλιση των cyber κινδύνων μίλησαν για τα τελευταία δεδομένα, τις προοπτικές και τις προκλήσεις της αγοράς οι κύριοι: Κώστας Βούλγαρης, Financial Lines and Casualty Manager AIG, Νίκος Γεωργόπουλος, Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s, Γεώργιος Τσίνος, Προϊστάμενος του Τομέα Ασφάλειας Πληροφοριακών Συστημάτων της Εθνικής Ασφαλιστικής, Στέλιος Βασιλόπουλος, Underwriting Manager, Special Risks της HDI Global SE, Hellas.
Επίσης, αναλύονται οι προτάσεις και οι δράσεις των ΕΥ, IBM και Interamerican στον κρίσιμο αυτόν τομέα. Τέλος, αναφέρονται οι εκτιμήσεις και τα τελευταία νέα από υψηλόβαθμα στελέχη της διεθνούς αγοράς, σε συνέχεια της γνωστής πλέον κυβερνοεπίθεσης WannaCry, που έπληξε πολλές εταιρείες.
Τι αναφέρει ο κ. Κώστας Βούλγαρης, Financial Lines and Casualty Manager, AIG
Είναι τέτοιες οι διαστάσεις των ηλεκτρονικών και διαδικτυακών κινδύνων, που πλέον δεν μπορούν να ενταχθούν σε μία μόνο κατηγορία δηλώνει στο iw ο κύριος Κώστας Βούλγαρης, Financial Lines and Casualty Manager της AIG, υπογραμμίζοντας ότι οι χρηματοοικονομικοί οργανισμοί και οι επιχειρήσεις ενέργειας και τηλεπικοινωνιών είναι πιο πιθανό να πέσουν θύματα μεγάλων σε κλίμακα απειλών.
Δεν διαχωρίζει τον κίνδυνο που προκύπτει από ένα ανθρώπινο λάθος από τον κίνδυνο μιας στοχευμένης επίθεσης, πέραν όμως του ανθρώπινου λάθους, υπάρχουν και οι περιπτώσεις δυσαρεστημένων –νυν και τέως– εργαζομένων, που ενδέχεται να επιτρέψουν μια πιθανή πρόσβαση στα συστήματα ή μια διαρροή δεδομένων, όπως ο ίδιος συμπληρώνει.
Εν συνεχεία, παραθέτοντας περιγράφοντας το CyberEdge, μεταξύ άλλων, τονίζει ότι το πρόγραμμα πάει ένα βήμα πέρα από τα τυπικά ασφαλιστικά συμβόλαια, καλύπτοντας τις αμοιβές ειδικών εμπειρογνωμόνων σε θέματα ΙΤ, συμβούλων και εταιρειών δημοσίων σχέσεων.
iw? Το κυβερνοέγκλημα (cyber crime) βρίσκεται στις πρώτες θέσεις των κινδύνων για το 2017. Ποιοι είναι οι κίνδυνοι για τις επιχειρήσεις και ποιοι για τους ιδιώτες;
Κ.Β.: Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι έχουν λάβει πλέον τέτοιες διαστάσεις, που είναι δύσκολο πλέον να ενταχθούν σε μία μόνο κατηγορία, λόγω των εκφάνσεων της πολυπλοκότητάς τους. Σε εταιρικό επίπεδο, εδώ εντάσσονται οι περιπτώσεις διακοπής λειτουργίας συστημάτων, διαρροής δεδομένων, άρνησης υπηρεσιών (denial of service) κ.ο.κ. Η πολυπλοκότητα των παραπάνω περιστατικών έγκειται στο γεγονός ότι η εμφάνισή τους συνεπάγεται οικονομικές απώλειες για μια επιχείρηση, διαταραχή στη λειτουργία της για την αναζήτηση των αιτιών και την αποκατάσταση του προβλήματος, ενδεχόμενες νομικές κυρώσεις και πρόστιμα, καθώς και μια σοβαρή κρίση σε επίπεδο φήμης και αξιοπιστίας της εταιρείας.
iw? Ποιοι κλάδοι ενέχουν μεγαλύτερους κινδύνους και ποιοι τους λιγότερους;
Κ.Β.: Η αλήθεια είναι πως από τη στιγμή που όλες σχεδόν οι επιχειρήσεις μπορούν να πέσουν θύματα τέτοιων κινδύνων, εφόσον αποθηκεύουν εμπιστευτικές πληροφορίες είτε σε τοπικούς είτε σε απομακρυσμένους servers, χρησιμοποιούν e-mail για την εσωτερική και εξωτερική επικοινωνία καθώς και κάποιο σύστημα ηλεκτρονικών συναλλαγών. Φυσικά, οι χρηματοοικονομικοί οργανισμοί, οι επιχειρήσεις ενέργειας και τηλεπικοινωνιών, είναι πιο πιθανό να πέσουν θύματα μεγάλων σε κλίμακα απειλών που θα επηρεάσουν σημαντικά τη λειτουργία τους. Ψηλά, επίσης, στη λίστα βρίσκονται οι εταιρείες που δραστηριοποιούνται στους τομείς υγείας και τουρισμού, καθώς χειρίζονται προσωπικά και ευαίσθητα προσωπικά δεδομένα και χρησιμοποιούν κατά κόρον ηλεκτρονικές συναλλαγές με τους πελάτες τους.
iw? Μπορεί ένα ανθρώπινο λάθος να «ανοίξει την πόρτα» στους κυβερνοεγκληματίες; Τι πρέπει να προσέχουμε;
Κ.Β.: Φυσικά –ο κίνδυνος που προκύπτει από ένα ανθρώπινο λάθος είναι το ίδιο σημαντικός όσο και μια στοχευμένη επίθεση: παραλείψεις στη σωστή κρυπτογράφηση των αρχείων, ελλιπή μέτρα ασφαλείας, μεταφορά εμπιστευτικών αρχείων σε μη ασφαλή μέσα, όπως απλά USB sticks κ.λπ., είναι λίγα μόνο από τα παραδείγματα που βλέπουμε συχνά. Πέραν όμως του ανθρώπινου λάθους, υπάρχουν και οι περιπτώσεις δυσαρεστημένων –νυν και τέως– εργαζομένων, που ενδέχεται να επιτρέψουν μια πιθανή πρόσβαση στα συστήματα ή διαρροή δεδομένων. Αυτό είναι κάτι που τουλάχιστον το CyberEdge της AIG προβλέπει –ωστόσο πρέπει να λαμβάνονται και επιπλέον μέτρα ασφαλείας από την πλευρά της ίδιας της εταιρείας.
iw? Η απώλεια εσόδων από ένα τέτοιο χτύπημα ή η απώλεια φήμης είναι πιο σοβαρή, κατά τη γνώμη σας;
Κ.Β.: Όπως ανέφερα και παραπάνω, οι ηλεκτρονικοί κίνδυνοι είναι ιδιαίτερα σύνθετοι από τη φύση τους –ανάλογα με τη μορφή της επίθεσης και την έκτασή της αλλάζει αντίστοιχα και ο αντίκτυπος που έχει. Σκεφτείτε, για παράδειγμα, μια μεγάλη εμπορική επιχείρηση είτε με online είτε με φυσική παρουσία μέσω καταστημάτων, η οποία πέφτει θύμα άρνησης υπηρεσιών σε μια ημέρα αιχμής, π.χ. στις γιορτές ή στις εκπτώσεις, με αποτέλεσμα να μην μπορεί να τιμολογήσει ή να αναζητήσει προϊόντα στις αποθήκες. Εδώ οι οικονομικές απώλειες είναι μεγάλες και άμεσες, αλλά μακροχρόνια πιθανόν να μην επηρεάσουν τη φήμη μιας εταιρείας.
Από την άλλη, ας φανταστούμε ένα μεγάλο κέντρο υγείας με παραρτήματα σε όλη τη χώρα, που πέφτει θύμα επίθεσης, με αποτέλεσμα να διαρρεύσει το ιατρικό απόρρητο ασθενών. Εδώ οι επιπτώσεις στην εικόνα της εταιρείας και τη μετέπειτα πορεία της είναι πολύ μεγαλύτερες από τις άμεσες οικονομικές απώλειες.
iw? Τι προγράμματα διαθέτετε στην αγορά ως AIG και μέσω ποιων καναλιών;
Κ.Β.: Η AIG ήταν η πρώτη εταιρεία που διέθεσε στην ελληνική αγορά το CyberEdge, ένα πρόγραμμα για προστασία έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων. Το CyberEdge αφενός καλύπτει τις οικονομικές απώλειες που θα προκύψουν, λόγω αξιώσεων, προστίμων, κυρώσεων, απώλειας εργασιών κ.ά. Πηγαίνει όμως ένα βήμα πέρα από τα τυπικά ασφαλιστικά συμβόλαια, καλύπτοντας τις αμοιβές ειδικών εμπειρογνωμόνων σε θέματα ΙΤ, συμβούλων και εταιρειών δημοσίων σχέσεων που θα αναλάβουν τη διαχείριση της κρίσης, καθώς επίσης και νομικών συμβούλων. Παράλληλα, λειτουργεί προληπτικά, καλύπτοντας την εκπαίδευση των πελατών σε θέματα ασφάλειας των συστημάτων, ενώ σε περίπτωση επίθεσης παρέχει 24ωρη γραμμή υποστήριξης για άμεση αναγγελία παραβίασης και υποστήριξης από την AIG.
iw? Πώς μπορεί να κρίνει ο πελάτης το ύψος της ασφαλιστικής κάλυψης που χρειάζεται;
Κ.Β.: Για να τον βοηθήσουμε, λειτουργούμε σε συνεργασία με τον συνεργάτη και τον πελάτη, ώστε να αναλύσουμε τις τρέχουσες ανάγκες, τους άμεσους και έμμεσους κινδύνους στη λειτουργία της επιχείρησης και να ορίσουμε το ύψος της κάλυψης που χρειάζεται.
iw? Τι λένε οι κανονιστικές ρυθμίσεις και ο Γενικός Κανονισμός Προστασίας Δεδομένων της ΕΕ, που τίθεται σε λειτουργία το 2018;
Κ.Β.: Ο νέος κανονισμός EU General Data Protection Regulation (GDPR), που ενέκρινε το Ευρωπαϊκό Κοινοβούλιο στις αρχές του 2016, θα τεθεί σε ισχύ από τον Μάιο του 2018. Η νέα νομοθεσία θα αντικαταστήσει την υφιστάμενη Ευρωπαϊκή Οδηγία του 1995 για την Προστασία Δεδομένων και θα θέσει τις βάσεις για την προστασία των προσωπικών δεδομένων.
Μερικά σημεία-κλειδιά που πρέπει να κρατήσουμε είναι τα εξής:
-Η επιβολή του νόμου γίνεται αυστηρότερη, καθώς οι κατά τόπους αρχές προστασίας προσωπικών δεδομένων ενώνουν τις δυνάμεις τους σε ένα νέο πανευρωπαϊκό σώμα, που θα εκδίδει δεσμευτικές γνωμοδοτήσεις και θα επιβάλλει ιδιαίτερα υψηλά πρόστιμα.
-Ο GDRP καθιστά τους οργανισμούς υπόλογους για την προστασία των προσωπικών δεδομένων.
-Αυτό σημαίνει ότι κάθε εταιρεία θα πρέπει να υιοθετήσει πιο λεπτομερείς διαδικασίες για την προστασία των δεδομένων με τη συμμετοχή όλων των τμημάτων της.
-Τέλος, οι ιδιώτες ανακτούν μεγαλύτερο έλεγχο πάνω στη διαχείριση των δεδομένων τους, μέσω της φορητότητας, της δυνατότητας διαγραφής (“right to be forgotten”).
