Σύνοψη της έκθεσης του Club des juristes (Κλαμπ Γάλλων Νομικών)
Το ερώτημα για μια εταιρεία δεν είναι πλέον αν θα βρεθεί αντιμέτωπη με το Cyber Risk. Αυτό είναι ήδη δεδομένο. Και οι συνέπειες του κινδύνου αυτού έχουν γίνει τόσο μεγάλες ώστε η διαχείρισή του δεν αποτελεί πλέον τεχνικό θέμα που ανήκει στην αποκλειστική ευθύνη των τμημάτων πληροφορικής. Αποτελεί πρόκληση διακυβέρνησης.
Πολλά πρόσφατα παραδείγματα απεικονίζουν τη γενίκευση της απειλής και την ανάγκη κινητοποίησης όλων των τομέων της οικονομίας. Οι ασφαλιστές και οι αντασφαλιστές συμμετέχουν στη δημιουργία ενός γαλλικού και ευρωπαϊκού φορέα προστασίας έναντι του cyber risk, ενώ εργάζονται παράλληλα για τη δημιουργία προϊόντων ασφάλισης cyber σε ένα συνεχώς μεταβαλλόμενο περιβάλλον.
Ο νομοθέτης έχει ήδη κατανοήσει το θέμα. Έτσι, ο Γαλλικός νόμος για την πληροφορική και την ελευθερία του 1978 και ο νόμος για τον στρατιωτικό προγραμματισμό της περιόδου 2014-2019 είχαν ήδη εισαγάγει υποχρεώσεις, τόσο ως προς την ασφάλεια όσο και προς την προστασία των προσωπικών δεδομένων.
Η θέση σε ισχύ, τον Μάιο του 2018, του καθεστώτος ευθύνης που απορρέει από τον ευρωπαϊκό κανονισμό για την προστασία των προσωπικών δεδομένων (GDPR) και την οδηγία για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών (NIS – Ασφάλεια δικτύων και πληροφοριών) θα συμπληρώσουν και θα ενισχύσουν το υπάρχον νομοθετικό πλαίσιο.
Οι ισχυρές κυρώσεις που μπορούν πλέον να επιβάλλουν οι ρυθμιστικές αρχές (έως 20 εκατ. Ευρώ ή 4% του παγκόσμιου κύκλου εργασιών) σε περίπτωση μη κοινοποίησης από τους υπευθύνους επεξεργασίας δεδομένων των παραβιάσεων των προσωπικών δεδομένων, θα ενθαρρύνει τις εταιρείες να επενδύσουν στην πρόληψη και στην προστασία των συστημάτων πληροφοριών τους. Είναι επίσης πιθανό να επιταχύνουν τη μεταφορά του κινδύνου προς την ασφάλιση. Η “μη λήψη δράσεων” αποτελεί πλέον σφάλμα διαχείρισης που μπορεί να επιφέρει ευθύνη σε έναν διευθυντή, σε περίπτωση επέλευσης ενός συμβάντος cyber risk που θα επηρεάσει σημαντικά στα αποτελέσματα της επιχείρησής του.
Οι γαλλικές εταιρείες εξακολουθούν να μην καλύπτονται επαρκώς έναντι του cyber risk. Η ασφάλιση αυτή, ωστόσο, έχει διπλά οφέλη.
Αφενός, επιβάλλει στην εταιρεία τη χαρτογράφηση των κινδύνων της, την ανάλυση των τρωτών της σημείων και την αξιολόγηση των προκλήσεων. Το έργο αυτό συμβάλλει στην ευαισθητοποίηση της εταιρίας ως προς την έκθεσή της έναντι των κινδύνων του κυβερνοχώρου (cyber) και της δίδει τη δυνατότητα να εκτιμήσει ορθά τόσο τις δαπάνες πρόληψης και προστασίας όσο και τις δαπάνες μεταφοράς του κινδύνου στην ασφάλιση.
Από την άλλη πλευρά, μόνο η ασφάλιση μπορεί να προστατεύσει την επιχείρηση από τις απώλειες που μπορεί να προκαλέσει είτε μια κυβερνο-επίθεση ή ένας ακούσιος λάθος χειρισμός. Αυτές οι απώλειες μπορεί να είναι σημαντικές και να θέσουν σε κίνδυνο την επιβίωση της εταιρείας. Η ασφάλιση έρχεται εδώ για να καλύψει έναν κίνδυνο τον οποίο η πρόληψη δεν μπόρεσε να απομακρύνει.
Στη Γαλλία, και γενικότερα στην Ευρώπη, η αγορά ασφάλισης του cyber risk μεγαλώνει, αλλά παραμένει ακόμη σε εμβρυακό στάδιο: η Ευρώπη αντιπροσωπεύει λιγότερο από το 10% της παγκόσμιας αγοράς ασφάλισης cyber risk. Η ανάπτυξη αυτής της αγοράς θα εξαρτηθεί όχι μόνο από την αυξημένη ζήτηση αλλά και από τη βελτίωση της προσφοράς.
Πολλές είναι οι προκλήσεις που αντιμετωπίζουν οι ασφαλιστικές εταιρείες με αυτόν τον νέο κίνδυνο.
Πρώτη πρόκληση είναι η εκτίμηση του βαθμού τρωτότητας μιας επιχείρησης. Αυτή η τρωτότητα δεν εξαρτάται μόνο από τη δική της δράση, αλλά και από το περιβάλλον της (υπεργολάβοι, αλυσίδες εφοδιασμού, πελάτες κ.λπ.) το οποίο μπορεί να αποτελέσει απειλή.
Σε αυτήν τη δυσκολία προστίθεται και η απροθυμία πολλών εταιριών να μοιραστούν με τον ασφαλιστή τους όλες τις στρατηγικές και εμπιστευτικές πληροφορίες ή εκείνες που σχετίζονται με το επίπεδο ανθεκτικότητας των πληροφοριακών τους συστημάτων. Ωστόσο, οι πληροφορίες αυτές είναι απαραίτητες για την εκτίμηση του κινδύνου κατά την ανάληψή του, αλλά και για την ορθότερη αποζημίωση μετά την επέλευσή του.
Επιπλέον, ο κλάδος του cyber risk αλλάζει διαρκώς. Εξελίσσεται τόσο με το ρυθμό της τεχνολογίας των πληροφοριακών και ηλεκτρονικών συστημάτων, όσο και με τις τεχνικές δυνατότητες ατόμων και οργανισμών που ασχολούνται με κακόβουλες κυβερνοεπιθέσεις. Όλοι αυτοί οι παράγοντες περιορίζουν την πρόβλεψη με βάση τα ήδη υπάρχοντα περιστατικά και επιβάλλουν τη διαμόρφωση πιθανών καταστροφικών σεναρίων.
Σε αυτό το πλαίσιο κινδύνων και κανονιστικών περιορισμών, οι ασφαλιστές οδηγούνται στην ανάληψη ενός διευρυμένου συμβουλευτικού ρόλου προς τις εταιρίες.
Με στόχο μια ορθή και σοφή στροφή του cyber risk προς την ασφάλιση, η Επιτροπή Cyber Risk του Club des Juristes έχει συντάξει δέκα συστάσεις για την καλύτερη διασφάλιση του κυβερνοχώρου:
- Προς τους ασφαλιστές και τους διαχειριστές κινδύνου, ώστε να επιταχυνθεί η ανάπτυξη της κουλτούρας του cyber risk, να εξηγηθεί το περιεχόμενο της κάλυψης, να ενισχυθεί ο διάλογος και η εμπιστοσύνη με τους ασφαλισμένους.
- Προς τους ασφαλιστές και αντασφαλιστές, το ANSSI και το CNIL* ώστε να αναπτυχθεί ένα ομοιογενές πλαίσιο για την ψηφιακή ασφάλεια, να συγκεντρωθούν οι γνώσεις για συμβάντα cyber risk και για την καλύτερη κατανόηση της έκθεσης στους κινδύνους και της συσσώρευσης αυτών.
- Προς τις ευρωπαϊκές αρχές, ώστε να καθοριστεί ένα σύνολο τεχνικών προτύπων που θα διευκολύνουν την αξιολόγηση του επιπέδου ασφάλειας cyber των εταιρειών και που θα καθορίσουν τους όρους υγειούς ανταγωνισμού μεταξύ των ασφαλιστών του κλάδου.
- Προς τις δημόσιες αρχές και τους επενδυτές, ώστε να στραφούν οι δημόσιες και ιδιωτικές επενδύσεις προς την ανάδειξη ενός τομέα αριστείας στην τεχνολογία του κυβερνοχώρου.
* ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) Εθνική Υπηρεσία για την Ασφάλεια των Πληροφοριακών Συστημάτων
CNIL (Commission Nationale de l’Informatique et des Libertés) Εθνική Επιτροπή Πληροφορικής και Ελευθεριών- η αντίστοιχη Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα