Της Λαλέλας Χρυσανθοπούλου
Με την αύξηση της cyber εγκληματικότητας και την προσέλκυση των φώτων της δημοσιότητας σε υπεξαιρέσεις προσωπικών δεδομένων (υπόθεση Equifax) και επιθέσεις με κακόβουλο λογισμικό (WannaCry), μήπως ο εφησυχασμός για τους cyber κινδύνους ανήκει πια στο παρελθόν, πολλώ δε μάλλον καθώς οι εν λόγω κίνδυνοι…αυξάνονται και πληθύνονται όσο προχωρά η διαδικασία ψηφιοποίησης της οικονομίας ;
«Ναι», είναι η απάντηση που δίνει ο Οργανισμός Οικονομικής Ανάπτυξης και Συνεργασίας σε μελέτη που εκπόνησε για την ανάπτυξη της αγοράς cyber ασφαλειών και τη διαχείριση των cyber κινδύνων: Οπως επισημαίνουν οι αναλυτές του ΟΟΣΑ Bill Below και Leigh Wolfrom, παρότι οι περισσότεροι ιδιώτες δεν λαμβάνουν επαρκή μέτρα αυτοπροστασίας (όπως φαίνεται και από τον χαμηλό βαθμό υιοθέτησης του Ελέγχου Ταυτότητας Δυο Παραγόντων, πιο γνωστού αγγλιστί ως Two-Factor Authentication), εντούτοις οι εταιρείες επιδεικνύουν εντεινόμενη διάθεση για προστασία, με τις μεγαλύτερες εξ’ αυτών να «σέρνουν το χορό».
Εως το 2019 το cyber έγκλημα αναμένεται να κοστίσει στις επιχειρήσεις πάνω από 2 τρις. δολ
Οι αριθμοί που μιλάνε από μόνοι τους θα έπρεπε να αποτελούν κίνητρο για κάθε εταιρεία, μεγάλη ή μικρή να ενισχύσει τις cyber άμυνές της: Εως το 2019, το cyber έγκλημα αναμένεται να κοστίσει στις επιχειρήσεις πάνω από 2 τρις. δολ, σύμφωνα με στοιχεία της Juniper Research. Οι εταιρείες επενδύουν ολοένα και περισσότερα σε τεχνολογίες και υπηρεσίες cyber ασφάλειας και εκτιμάται ότι οι σχετικές δαπάνες (μη περιλαμβανομένης της ασφάλισης) θα προσεγγίσουν τα 100 δις. δολ. στο τέλος του έτους. Η Zion Market Research εκτιμά ότι το ύψος της παγκόσμιας αγοράς cyber ασφαλίσεων, από 4,2 δις. δολ. το 2017 θα ανέλθει στα 23 δις. δολ. το 2024, κάτι που «μεταφράζεται» σε μέσους ετήσιους ρυθμούς ανάπτυξης 27% για τα επόμενα χρόνια. Η PwC από την πλευρά της υπολογίζει ότι η αξία των cyber ασφαλίστρων από 2,5 δις. δολ. που κυμαίνεται σήμερα (με τη μερίδα του λέοντος να αφορά στις ΗΠΑ) θα τριπλασιαστεί στα 7,5 δις. δολ. στο τέλος της δεκαετίας.
Οπως δήλωσε το μέλος του ΔΣ της Munich Re Doris Hopke κατά την πρόσφατη συνάντηση των (αντ)ασφαλιστών στο Baden-Baden της Γερμανίας, ‘Οι απώλειες από τις cyber επιθέσεις καταδεικνύουν σαφώς ότι το cyber αποτελεί έναν από τους μεγαλύτερους κινδύνους διεθνώς που αποτελεί πρόκληση, αλλά και ευκαιρία για την ασφαλιστική βιομηχανία να αναπτύξει και να προσφέρει λύσεις για τους cyber κινδύνους».
Ενώ τα ποσοστά διείσδυσης των cyber ασφαλίσεων σε μεγάλους ομίλους κυμαίνεται γύρω στο 50% στις περισσότερες χώρες, για τις μικρομεσαίες επιχειρήσεις το αντίστοιχο ποσοστό είναι μονοψήφιο
Πραγματικά, η ταχεία ανάπτυξη της αγοράς cyber ασφαλίσεων αποτελεί αμάχητο τεκμήριο για την αύξηση της κατανόησης –από πλευράς επιχειρήσεων- του cyber κινδύνου και της ενισχυμένης διάθεσής τους να τον μεταβιβάσουν. Οπως υποστηρίζει ο ΟΟΣΑ, η απόκτηση της σωστής κάλυψης δεν είναι εύκολη υπόθεση, ιδίως για εταιρείες που δεν έχουν καταλάβει επαρκώς τις ίδιες τους τις αδυναμίες. Την ίδια στιγμή, οι διαφορετικές προσεγγίσεις των ασφαλιστικών εταιρειών αλλά και η πολυπλοκότητα των καλύψεων αυξάνουν τon προβληματισμό των δυνητικών αγοραστών. Και η ίδια η ασφαλιστική βιομηχανία, άλλωστε, παραδέχεται ότι η έλλειψη δεδομένων για τις cyber απώλειες όπως και η ταχύτατα μεταβαλλόμενη φύση των κινδύνων δυσχεραίνουν την ανάπτυξη «απλών» προϊόντων…
Κατανοώντας την έκθεση στον κίνδυνο
Ακόμα και μεγάλες εταιρείες με…υψηλό βαθμό cyber κινδύνου, μπορούν να υποεκτιμήσουν την έκθεσή τους και το απαιτούμενο επίπεδο προστασίας. Η Equifax για παράδειγμα, εκτιμάται ότι είχε αγοράσει ασφαλιστική κάλυψη της τάξης των 100-150 εκατ. ευρώ. Ομως, οι απώλειες που υπέστη από την υπεξαίρεση των δεδομένων των πελατών της υπολογίζεται ότι ξεπερνούν κατά πολύ το ποσό αυτό. Πέρα από αυτό, η περίπτωση της Equifax αποτελεί ένα χαρακτηριστικό παράδειγμα για τις επιπτώσεις μιας μεγάλης κλίμακας παραβίασης δεδομένων: Υπενθυμίζεται ότι κατά τις πέντε συνεδριάσεις μετά την αποκάλυψη της επίθεσης, η χρηματιστηριακή αξία της εταιρείας μειώθηκε κατά 3,5 δις. δολ., με τις σωρευτικές απώλειες της μετοχής να φτάνουν το 30% (αν και στη συνέχεια ανέκτησε μεγάλο μέρος του χαμένου εδάφους). Το πλήγμα στο brand της εταιρείας, η διαταραχή που προκλήθηκε από τις διοικητικές ανακατατάξεις, τις έρευνες των εποπτικών αρχών και τα πρόστιμα που ακολούθησαν, το υψηλό κόστος της για ένα χρόνο δωρεάν παροχής υπηρεσιών πιστοληπτικής παρακολούθησης στους 143 εκατομμύρια πελάτες της Equifax (των οποίων τα δεδομένα υπεκλάπησαν) καθώς και οι δεκάδες ομαδικές αγωγές συνθέτουν ένα εκρηκτικό κοκτέιλ παρενεργειών, των οποίων το σωρευτικό κόστος δεν έχει ακόμα αποσαφηνιστεί.
Και έαν οι μεγάλες εταιρείες μπορούν να πέσουν θύματα cyber επιθέσεων, εξυπακούεται ότι οι μικρές εταιρείες είναι πολύ πιο ευάλωτες. Ενώ τα ποσοστά διείσδυσης των cyber ασφαλίσεων σε μεγάλους ομίλους κυμαίνεται γύρω στο 50% στις περισσότερες χώρες, για τις μικρομεσαίες επιχειρήσεις το αντίστοιχο ποσοστό είναι μονοψήφιο.
Οπως προαναφέρθηκε, η έλλειψη στοιχείων σε βάθος χρόνου για cyber επιθέσεις αποτελεί μεγάλο πρόβλημα που εμποδίζει τις ασφαλιστικές εταιρείες από το να αναπτύξουν τα μοντέλα που χρειάζονται για να τιμολογήσουν σωστά τα ασφάλιστρα και να εκτιμήσουν την έκθεση στον εκάστοτε κίνδυνο. Αυτό με τη σειρά του μειώνει την προθυμία των ασφαλιστικών και αντασφαλιστικών εταιρειών να παρέχουν μεγάλης έκτασης κάλυψη. Οδηγεί επίσης σε πληθώρα εξαιρέσεων που ενδεχομένως λειτουργούν αποτρεπτικά για τους πελάτες. Τα όποια δεδομένα συλλέγονται υπάρχουν κατά κύριο λόγο στους «αποθηκευτικούς χώρους» διάφορων εταιρειών χωρίς άμεση πρόσβαση ή την απαραίτητη εναρμόνιση που απαιτείται για τη σύγκρισή τους.
Ενα ρίσκο ανεπαρκώς οριοθετημένο
Η μεταλλασσόμενη φύση του cyber εγκλήματος σημαίνει ότι τα μοντέλα ρίσκου ενδεχομένως να πρέπει να «κοιτάξουν» πέρα από τα ιστορικά στοιχεία. Καθώς νέες μορφές κακόβουλου λογισμικού και άλλες τεχνολογίες στοχεύουν πανταχού παρόντα λειτουργικά συστήματα, ευρέως διαδεδομένες εφαρμογές, υπηρεσίες στο cloud και πλατφόρμες hardware (πχ διακομιστές), μια μεμονωμένη εγκληματική cyber πράξη μπορεί να έχει αντίκτυπο παγκοσμίως. Χαρακτηριστικό παράδειγμα αυτής της νέας πραγματικότητας –και προάγγελος της νέας τάξης πραγμάτων- είναι η επίθεση με κακόβουλο λογισμικό «Wannacry” του 2017, δια της οποίας «μολύνθηκαν» πάνω από 200.000 ηλεκτρονικοί υπολογιστές σε 150 χώρες. Είναι γεγονός ότι η προοπτική για συσσώρευση κινδύνων μπορεί να αποθαρρύνει κάποιους (αντ)ασφαλιστές από το να εισέλθουν στην αγορά cyber ασφαλίσεων. Συμπερασματικά θα μπορούσε να πει κανείς ότι η αβεβαιότητα και η «διασύνδεση» των ρίσκων οδηγεί σε υψηλότερα cyber ασφάλιστρα και σε περιορισμό του επιπέδου κάλυψης.
Η έλλειψη στοιχείων σε βάθος χρόνου για τις cyber επιθέσεις αποτελεί μεγάλο πρόβλημα που εμποδίζει τις ασφαλιστικές εταιρείες από το να αναπτύξουν τα μοντέλα που χρειάζονται για να τιμολογήσουν σωστά τα ασφάλιστρα και να εκτιμήσουν την έκθεση
Ο ΟΟΣΑ καταλήγει ότι το να βρεθεί λύση που να αντισταθμίζει την έλλειψη κοινόχρηστων, εναρμονισμένων δεδομένων για τις cyber επιθέσεις είναι ζωτική σημασίας ώστε η ασφαλιστική βιομηχανία να μπορέσει να αξιοποιήσει στο μέγιστο βαθμό την τεχνογνωσία της στη διαχείριση κινδύνων για την αντιμετώπιση των κινδύνων που συνοδεύουν τη μετάβαση στην ψηφιακή οικονομία. Το νομικό και ρυθμιστικό περιβάλλον μπορεί να συμβάλλει στον περιορισμό των επιπέδων αβεβαιότητας. Ιδιαίτερα σε χώρες με «χαλαρό» πλαίσιο αναφορικά με τις υποχρεώσεις δημοσιότητας, οι κυβερνήσεις θα πρέπει να εξετάσουν τη συμβολή που μπορεί να έχουν τέτοιες απαιτήσεις για τη διαθεσιμότητα στοιχείων σχετικά με cyber περιστατικά.
Ενα παράδειγμα προς την κατεύθυνση αυτή είναι η θέση σε ισχύ τον περασμένο Μάιο του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) στην Ευρωπαϊκή Ενωση. Η υποχρέωση που προβλέπει o GDPR για τη δημοσιοποίηση περιστατικών παραβίασης προσωπικών δεδομένων θα δημιουργήσει μια πολύτιμη δεξαμενή δεδομένων, τα οποία εάν διατίθεντο, θα βοηθούσαν τα μέγιστα τις ασφαλιστικές εταιρείες να κατανοήσουν καλύτερα και να διαχειρίζονται πιο αποτελεσματικά τους cyber κινδύνους, συμβάλλοντας έτσι στην θωράκιση των cyber αντοχών της κοινωνίας. Για το λόγο αυτό, ο GDPR θεωρείται παράγοντας που μπορεί να λειτουργήσει καταλυτικά για την ανάπτυξη της ευρωπαϊκής αγοράς cyber ασφαλίσεων που βρίσκεται σε εμβρυακό στάδιο, αντιστοιχώντας μόλις στο 5% της παγκόσμιας αγοράς, ενώ το μερίδιο της αγοράς των ΗΠΑ προσεγγίζει το 90%, σύμφωνα με ορισμένους υπολογισμούς. Προκειμένου μάλιστα τα στοιχεία να είναι συγκρίσιμα και να κοινοποιούνται με ασφάλεια στην ασφαλιστική βιομηχανία, η Insurance Europe ανέπτυξε ένα υπόδειγμα που μπορεί να χρησιμοποιηθεί επό εταιρείες όλων των κλάδων εάν υποστούν θύμα cyber επίθεσης με υποκλοπή ευαίσθητων δεδομένων. Τελικό ζητούμενο είναι να διασφαλιστεί η ύπαρξη των απαραίτητων πολιτικών ώστε να μπορέσει η (cyber)ασφαλιστική βιομηχανία να αναδειχθεί σε κινητήριο δύναμη για την άμβλυνση του cyber κινδύνου και την δημιουργία «δικλίδων ασφαλείας» σε κάθε χώρα…