της Λαλέλας Χρυσανθοπούλου
“WannaCry” (Θες να κλάψεις) βαφτίστηκε ο ιός που προκάλεσε την κυβερνοεπίθεση-μαμούθ σε όλο τον πλανήτη το Σαββατοκύριακο, “χτυπώντας” πάνω από 200.000 υπολογιστές σε πάνω από 150 χώρες. Και δεν αποκλείεται πολλές επιχειρήσεις….να θελήσουν να κλάψουν βλέποντας τον λογαριασμό των δυνητικών ζημιών -που μπορεί να ανέλθουν σε εκατοντάδες εκατομμύρια δολάρια- αφού λίγες επιχειρήσεις εκτός ΗΠΑ έχουν την κατάλληλη ασφαλιστική κάλυψη.
Ο “WannaCry” «κλείδωσε» προσωρινά κατά τη διάρκεια του Σαββατοκύριακου εργοστάσια αυτοκινήτων, νοσοκομεία. Η κυβερνο-επίθεση τέθηκε προσωρινά υπό έλεγχο, αλλά οι ειδικοί φοβούνται νέο “κύμα” εντός των επόμενων ημερών.
Το κόστος της αποκατάστασης των διαταραχών ίσως φτάσει τα δισεκατομμύρια δολάρια, με τις επιχειρήσεις σε Ευρώπη, Ρωσία και Ασία να εμφανίζονται ιδιαίτερα ευάλωτες.
Σχεδόν εννέα στις 10 ασφαλίσεις έναντι κυβερνο-επιθέσεων στον κόσμο αφορούν στις ΗΠΑ, εκτιμά ο Kevin Kalinich, υψηλόβαθμο στέλεχος της Aon Plc. Το ύψος των ετήσιων “κυβερνο-ασφαλίστρων” εκτιμάται σε 2,5-3 δισ. δολαρίων. Ο βασικότερος λόγος για την μεγαλύτερη διείσδυση των cyber ασφαλίσεων στις ΗΠΑ είναι ότι στη χώρα εδώ και δέκα χρόνια ισχύει νομοθεσία που καθιστά υποχρεωτική την ενημέρωση των αρχών για κυβερνο-επιθέσεις, σχολιάζει ο Bob Parisi, στέλεχος της εταιρείας μεσιτών Marsh.
Η μεγαλύτερη διαφάνεια δημιουργεί ισχυρό κίνητρο για τις αμερικανικές επιχειρήσεις να αποκτήσουν ασφαλιστική κάλυψη για να αποζημιωθούν για τις ζημίες από περιστατικά που ήταν υποχρεωμένες να κοινοποιήσουν. Η οδηγία της ΕΕ για την Προστασία των Προσωπικών Δεδομένων που θα τεθεί σύντομα σε ισχύ αναμένεται να έχει την ίδια επίπτωση στην Ευρώπη.
Οι επιχειρήσεις που δεν είχαν προετοιμαστεί για τον WannaCry μάλλον θα επωμιστούν κόστη για την επιχειρηματική διαταραχή που υπέστησαν τα οποία ξεπερνούν κατά πολύ τα “λύτρα” που ζήτησαν οι χάκερ για να “ξεκλειδώσουν” τους υπολογιστές, λέει ο Kalinich της Aon.
“Εάν είσαι ένα νοσοκομείο που αναγκάστηκε να διώξει ασθενείς, μια μεταφορική που δεν μπορείς να στείλεις ένα πακέτο ή μια τηλεπικοινωνιακή εταιρεία στην Ισπανία, τη Ρωσία ή την Κίνα, το κόστος από την διαταραχή των λειτουργιών σου θα είναι μεγαλύτερη από τα λύτρα των 300 δολαρίων (ανά υπολογιστή)”, πρόσθεσε ο ίδιος.
Μεταξύ των επιχειρήσεων που επλήγησαν από τις κυβερνο-επιθέσεις, που “κλειδώνουν” τα υπολογιστικά σύστήματα έως ότου τα θύματα πληρώσουν λύτρα, περιλαμβάνονται το Εθνικό Σύστημα Υγείας της Μ. Βρετανίας (NHS), η γαλλική αυτοκινητοβιομηχανία Renault και η ισπανική τηλεπικοινωνιακή Telefonica.
Πηγές προσκείμενες στην Telefonica δήλωσαν ότι η εταιρεία είχε ασφαλιστική κάλυψη έναντι των επιθέσεων, αλλά είναι νωρίς για να γίνει ακριβής εκτίμηση του οικονομικού κόστους. Renault και NHS αρνήθηκαν να σχολιάσουν.
Σύμφωνα με την αμερικανική εταιρεία Cyence, το συνολικό κόστος της διαταραχής επιχειρήσεων εξαιτίας του WannaCry ίσως φτάσει τα 4 δισ. δολάρια.
Η Cyber Consequences Unit, μη κερδοσκοπικό ινστιτούτο των ΗΠΑ που συμβουλεύει κυβερνήσεις και επιχειρήσεις για τα κόστη των κυβερνο-επιθέσεων θέτει πολύ πιο χαμηλά των πήχη, κάνοντας λόγο για απώλειες “εκατοντάδων εκατομμυρίων δολαρίων που δύσκολα θα ξεπεράσουν το 1 δισ. δολ.”
Μια τυπική κάλυψη έναντι κυβερνο-επιθέσεων θα προστατέψει τις εταιρείες έναντι αιτημάτων για λύτρα, θα καλύψει τα κόστη της έρευνας για την ανεύρεση του υπαίτιου καθώς και την πληρωμή των λύτρων, σύμφωνα με τον Parisi. Υπάρχουν όμως και τα “παραθυράκια”. Για παράδειγμα, οι εταιρείες που δεν “κατέβασαν” ένα ειδικό λογισμικό της Microsoft που κυκλοφόρησε τον Μάρτιο και ενισχύει τις άμυνες των υπολογιστικών συστημάτων μπορεί να μην καλύπτονται από την κυβερνο-ασφάλιση.
Το ίδιο ισχύει και για τις εταιρείες που χρησιμοποιούν “πειρατικό” λογισμικό ή για τις εταιρείες που έσπευσαν να πληρώσουν τα λύτρα στους χάκερς προτού επικοινωνήσουν με την ασφαλιστική τους. Τα περισσότερα συμβόλαια καλύπτουν ζημίες έως και 50 εκατ. ευρώ, οι περισσότερες εκ των οποίων συνδέονται με την διαταραχή της λειτουργίας της ασφαλισμένης επιχείρησης.
Οι κυβερνο-ασφαλίσεις συνήθως καλύπτουν επίσης το κόστος της ενημέρωσης αυτών των οποίων τα προσωπικά δεδομένα παραβιάστηκαν, την πρόσληψη εταιρειών δημοσίων σχέσεων για να αντιμετωπιστεί το πλήγμα στη φήμη της εταιρείας καθώς και την κάλυψη νομικών εξόδων για τυχόν δικαστικές διαμάχες.
Οι εταιρίες που πρωταγωνιστούν στην αγορά των κυβερνο-ασφαλίσεων είναι οι Allianz, AIG, Chubb, Zurich Insurance καθώς και κορυφαίες ασφαλιστικές της αγοράς των Lloyd’s του Λονδίνου, όπως οι Beazley και Hiscox.
Ακόμα και πριν την τεράστια κυβερνο-επίθεση, η ζήτηση για κυβερνο-ασφάλιση στην Ευρώπη αναμενόταν να αυξηθεί μετά την θέση σε ισχύ (στα μέσα του 2018) της κοινοτικής οδηγίας που καθιστά υποχρεωτική την ενημέρωση των αρχών για κρούσματα υποκλοπής δεδομένων. Με δεδομένο τον οξύ ανταγωνισμό και την αβεβαιότητα για το ποιες από τις απώλειες του Σαββατοκύριακου ήταν ασφαλισμένες, η επίπτωση στα ασφάλιστρα ίσως να είναι περιορισμένη.
