Αλέξης Κώτσαλος, Dip CIIM Chief Insurance Officer, Ευρώπη Ασφαλιστική
Στον σύγχρονο, διασυνδεδεμένο κόσμο, η αυξανόμενη συχνότητα και πολυπλοκότητα των κυβερνοεπιθέσεων έχει αναδείξει την κυβερνοασφάλεια σε κορυφαίο ζήτημα για τις επιχειρήσεις.
Οι κυβερνοεπιθέσεις αυξάνονται με ανησυχητικό ρυθμό. Σύμφωνα με εκτιμήσεις της ΕΕ, το κόστος του κυβερνοεγκλήματος θα ανέλθει σε περίπου 23,84 τρισ. δολ. έως το 2027, από 8,44 τρισ. το 2022, γεγονός που καταδεικνύει την τεράστια οικονομική επιβάρυνση για τις επιχειρήσεις παγκοσμίως. Επίσης, η πρόοδος της τεχνολογίας και η αυξανόμενη εξάρτηση από το Διαδίκτυο των Πραγμάτων (IoT) μπορεί να διευκολύνουν τη ζωή μας, ωστόσο διευρύνουν περαιτέρω τα τρωτά σημεία. Η πρόβλεψη για 41 δισεκατομμύρια συσκευές που θα συνδεθούν με το Διαδίκτυο των Πραγμάτων (IoT) έως το 2025 αναδεικνύει την αυξημένη εξάρτηση σε ψηφιακά συστήματα και υποδομές. Οι συνδεδεμένες συσκευές, όπως οι μηχανές, οι αισθητήρες και τα δίκτυα του IoT, προσφέρουν εξαιρετικές δυνατότητες αυτοματοποίησης και βελτίωσης των επιχειρησιακών λειτουργιών. Ωστόσο, η ασφάλεια αυτών των συσκευών αποτελεί πρόκληση, καθώς αποτελούν διευρυμένο στόχο για επιθέσεις.
Το ασφαλιστικό προϊόν cyber insurance
Η προστασία των δεδομένων και των δικτύων από απειλές, όπως τα κακόβουλα λογισμικά, οι επιθέσεις ransomware και οι επιθέσεις σε υποδομές κρίσιμης σημασίας, όπως τα ενεργειακά δίκτυα, είναι κορυφαίας σημασίας. Μια επίθεση στον κυβερνοχώρο μπορεί, πλέον, πολύ εύκολα να εξελιχθεί σε φυσική ζημιά. Τα ασφαλιστήρια συμβόλαια περιουσίας, ακόμη και αυτά κατά παντός κινδύνου, δεν έχουν ενσωματώσει τις απειλές του κυβερνοχώρου, που αποτελούν ακόμη ρητή εξαίρεση. Είναι, πλέον, κοινά αποδεκτό από όλους ότι η κυβερνοασφάλιση (cyber insurance) δεν αφορά τα τμήματα πληροφορικής ενός οργανισμού, αλλά διαπερνά όλο τον οργανισμό, ανεξαρτήτως μεγέθους και κλάδου δραστηριοποίησης.
Επίσης, το cyber insurance είναι μεν ασφαλιστικό προϊόν, αλλά διαφέρει από όλα τα υπόλοιπα ασφαλιστικά προϊόντα, προκειμένου να είναι βιώσιμο και αποτελεσματικό, καθώς παρέχεται ως μια ολιστική συνεργατική υπηρεσία, που εστιάζει όχι μόνο στην αποκατάσταση, αλλά και στην πρόληψη. Δεν αποτελεί μόνο ένα οικονομικό δίχτυ ασφαλείας, αλλά και έναν χρήσιμο πόρο για υποστήριξη από ειδικούς καθ’ όλη τη διαχείριση του περιστατικού. Κατανέμοντας ο ασφαλιστής όλους τους διαθέσιμους πόρους (υλικοτεχνικούς, νομικούς, συμβουλευτικούς, χρηματοδοτικούς) συμμετέχει αποτελεσματικά στη διαχείριση περιστατικών πριν αυτά συμβούν, όταν συμβαίνουν και αφού έχουν συμβεί. Από τις εγκατεστημένες άμυνες, την αποκατάσταση απαιτήσεων τρίτων, τη χρηματοδότηση και διαχείριση νομικών ζητημάτων, μέχρι την προστασία της φήμης και την εν γένει χρηματοδότηση αντιμετώπισης των συμβάντων.
Κυβερνοαπειλές σε στρατηγικές συγχωνεύσεων και εξαγορών
Ένας τομέας στον οποίο οι κυβερνοαπειλές συνδέονται άμεσα με τη στρατηγική των επιχειρήσεων είναι οι συγχωνεύσεις και εξαγορές (M&A). Σε αυτό το πλαίσιο, η κυβερνοασφάλιση (cyber insurance) αναδεικνύεται ως ένα ισχυρό εργαλείο μεταφοράς κινδύνου, προσφέροντας ένα επίπεδο προστασίας σε ένα όλο και πιο ασταθές γεωπολιτικό περιβάλλον.
Γεωπολιτικές εντάσεις
Οι κυβερνοαπειλές έχουν, πλέον, συνδεθεί στενά με τις παγκόσμιες γεωπολιτικές εντάσεις. Κρατικοί παράγοντες, εγκληματικά δίκτυα και ακτιβιστικές ομάδες (Hactivists) αξιοποιούν τις κυβερνοεπιθέσεις ως όπλο για να στοχοποιήσουν κρίσιμες υποδομές, πολυεθνικές εταιρείες και κυβερνήσεις. Ορισμένα μέρη του κόσμου ή συμφέροντα είναι πιο ευάλωτα σε επιθέσεις με πολιτικά κίνητρα.
Τα παραδείγματα είναι πολλά: Η επίθεση NotPetya, το 2017, αποδόθηκε σε Ρώσους κρατικούς παράγοντες και προκάλεσε τεράστιες ζημιές σε πολυεθνικές εταιρείες, όπως η Maersk και η Merck, προκαλώντας δισεκατομμύρια δολάρια σε ζημιές. Η Maersk, ηγέτιδα εταιρεία στον χώρο της ναυτιλίας, αντιμετώπισε πλήρη παράλυση των λειτουργιών της όταν τα πληροφοριακά της συστήματα παραβιάστηκαν, οδηγώντας σε διαταραχές στο παγκόσμιο εμπόριο. Αντίστοιχα, η Merck, μια φαρμακευτική εταιρεία, υπέστη ζημιές που ξεπέρασαν το 1,3 δισ. δολ., λόγω της ίδιας επίθεσης.
Οι γεωπολιτικές συνέπειες ήταν σαφείς: οι κυβερνοεπιθέσεις, συχνά υποκινούμενες από κρατικές δυνάμεις, μπορούν να προκαλέσουν καταστροφικές ζημιές σε εταιρείες μακριά από την πολιτική διαμάχη. Αλλά και στην Ελλάδα έχουν καταγραφεί και δημοσιευθεί επιθέσεις σε επιχειρήσεις του χρηματοπιστωτικού τομέα, απαιτώντας λύτρα σε bitcoin.
Η μεταφορά κινδύνου σε ασφαλιστές
Ως απάντηση σε αυτήν την αυξανόμενη απειλή, η κυβερνοασφάλιση έχει καταστεί ελκυστικός μηχανισμός μεταφοράς κινδύνου. Μεταφέροντας το οικονομικό βάρος μιας επίθεσης στους ασφαλιστές, οι εταιρείες μπορούν να προστατευθούν από τις σημαντικές οικονομικές απώλειες που θα προέκυπταν από ένα περιστατικό κυβερνοασφάλειας. Για παράδειγμα, η Merck κατάφερε να διεκδικήσει επιτυχώς αποζημίωση 1,4 δισ. δολ. από την ασφαλιστική της κάλυψη, υπογραμμίζοντας τη σημασία της ύπαρξης ολοκληρωμένης ασφάλισης.
Ο ρόλος του κυβερνοκινδύνου έχει αποκτήσει νέα σημασία στις διαδικασίες συγχωνεύσεων και εξαγορών. Οι εταιρείες που εξαγοράζουν απαιτείται, πλέον, να διενεργούν λεπτομερή έλεγχο της κυβερνοασφάλειας πριν από την ολοκλήρωση μιας συμφωνίας. Η κυβερνοασφάλιση δεν αφορά μόνο την προστασία από επιθέσεις στον κυβερνοχώρο, αλλά και την ασφαλή διαχείριση των δεδομένων, τη συμμόρφωση με κανονισμούς και την προστασία της φήμης της επιχείρησης. Η απώλεια ή η διαρροή δεδομένων μπορεί να έχει καταστροφικές συνέπειες, τόσο οικονομικά όσο και νομικά. Η ενσωμάτωση πληροφοριακών συστημάτων μετά την εξαγορά μπορεί να αποκαλύψει ευπάθειες που θα μπορούσαν να εκμεταλλευτούν οι κυβερνοεγκληματίες, ενώ οι κληρονομούμενες ευθύνες από παλαιότερες παραβιάσεις μπορούν να επιβαρύνουν τη νεοσυσταθείσα οντότητα ή ακόμη και την προσωπική περιουσία του πωλητή.
Χαρακτηριστικά παραδείγματα
Ένα χαρακτηριστικό παράδειγμα που έχει δημοσιευθεί είναι η εξαγορά της Yahoo από τη Verizon. Το 2016, η Yahoo δέχθηκε δύο μαζικές παραβιάσεις δεδομένων, επηρεάζοντας δισεκατομμύρια χρήστες. Όταν η Verizon ενημερώθηκε για τις παραβιάσεις στα τελευταία στάδια της εξαγοράς, οι πληροφορίες αυτές επηρέασαν σοβαρά τη συμφωνία. Η Verizon, τελικά, μείωσε την τιμή αγοράς, για να ληφθούν υπόψη οι ενδεχόμενες ευθύνες και η ζημιά στη φήμη της Yahoo.
Το 2016, η Marriott International εξαγόρασε τη Starwood Hotels, χωρίς να γνωρίζει ότι το δίκτυο της Starwood είχε παραβιαστεί δύο χρόνια πριν. Αυτή η παραβίαση αποκαλύφθηκε το 2018, μετά την ολοκλήρωση της εξαγοράς, εκθέτοντας τα προσωπικά δεδομένα περίπου 500 εκατομμυρίων επισκεπτών. Η Marriott αντιμετώπισε σημαντικές οικονομικές απώλειες και πρόστιμα. Η υπόθεση αυτή υπογραμμίζει την ανάγκη για έγκαιρο έλεγχο των κυβερνοκινδύνων πριν από την ολοκλήρωση μιας συμφωνίας.
Ο ρόλος της κυβερνοασφάλισης στην οικονομία, λύσεις και καλύψεις από την Ευρώπη
Σε αυτήν την περίπτωση, η κυβερνοασφάλιση θα μπορούσε να διαδραματίσει σημαντικό ρόλο στη μείωση της οικονομικής έκθεσης. Μέσω της κάλυψης τόσο των άμεσων ζημιών όσο και των ευθυνών απέναντι σε τρίτους, η ασφάλιση θα μπορούσε να προσφέρει τους απαραίτητους πόρους για να καλύψει τα έξοδα έρευνας, νομικές αμοιβές και αποζημιώσεις πελατών, περιορίζοντας έτσι τις αρνητικές επιπτώσεις στην εξαγορά. Στη σύγχρονη, ψηφιακή οικονομία, η κυβερνοασφάλιση δεν αποτελεί, πλέον, προαιρετική επιλογή, αλλά στρατηγική αναγκαιότητα.
Η Ευρώπη Ασφαλιστική, εταιρεία που εστιάζει στις ανάγκες διαχείρισης κινδύνου επιχειρηματικών πελατών, παρακολουθεί στενά τις εξελίξεις στον χώρο της κυβερνοασφάλισης και προετοιμάζεται εντατικά ώστε να προσφέρει τις πιο σύγχρονες και αποτελεσματικές λύσεις αντιμετώπισης και μεταφοράς των κινδύνων στο ψηφιακό γίγνεσθαι.
Από το περιοδικό Insurance World (αφιέρωμα “Cyber κίνδυνοι και ασφάλεια”/Έλενα Ερμείδου)