Ο Tom De Laet, Incident Response Team Lead EMEA της Check Point Software, αναλύει την κατάσταση της ασφαλιστικής αγοράς στον κυβερνοχώρο και πώς τα προληπτικά μέτρα ασφαλείας μπορούν να μειώσουν τα ασφάλιστρα.
Όταν αγοράζετε ασφάλεια αυτοκινήτου, το κάνετε με την υπόσχεση ότι θα επιδείξετε καλή συμπεριφορά. Δεν θα περιμένατε από την ασφαλιστική εταιρεία του αυτοκινήτου σας να σας πληρώσει αν παραβιάζατε το όριο ταχύτητας, αν δεν είχατε ελέγξει ποτέ τα φρένα ή τα ελαστικά σας ή αν αφήνατε το καμάρι σας ξεκλείδωτο κατά τη διάρκεια της νύχτας. Υπάρχει μια αμοιβαία συμφωνία μεταξύ εσάς και του ασφαλιστή σας. Εσείς αναλαμβάνετε την ευθύνη για την ασφάλεια του αυτοκινήτου σας και τις δικές σας ενέργειες, και εκείνος πληρώνει όταν συμβαίνουν άσχημα πράγματα που δεν θα μπορούσατε να προβλέψετε, να αποτρέψετε ή να μετριάσετε.
Η ίδια αρχή ισχύει και για την ασφάλιση στον κυβερνοχώρο. Ως οργανισμός, είστε 100% υπεύθυνοι για τη δική σας ασφάλεια στον κυβερνοχώρο και οι ασφαλιστές είναι εκεί σε περίπτωση που συμβεί το αδιανόητο και το αναπόφευκτο. Για ορισμένες επιχειρήσεις, ιδίως τις μικρές και μεσαίες, η ύπαρξη ασφάλισης στον κυβερνοχώρο μπορεί να σημαίνει τη διαφορά μεταξύ της επιβίωσης και της χρεοκοπίας. Αυτό αντικατοπτρίζεται και στην ανάπτυξη της αγοράς, με την Munich Re να εκτιμά ότι τα ασφάλιστρα στον κυβερνοχώρο θα φτάσουν σε αξία τα 22 δισ. δολάρια μέχρι το 2025.
Ωστόσο, καθώς αυξάνεται ο όγκος των κυβερνοεπιθέσεων, η ασφαλιστική κάλυψη είναι πλέον δυσκολότερο να αποκτηθεί. Αυτό οφείλεται στο γεγονός ότι οι οικονομικές απώλειες από μια παραβίαση έχουν γίνει δυσανάλογες με τα ασφάλιστρα που χρεώνουν οι ασφαλιστές. Σύμφωνα με την έκθεση της IBM Cost of a Data Breach Report 2023, το παγκόσμιο μέσο κόστος μιας παραβίασης δεδομένων το 2023 ήταν 4,45 εκατομμύρια δολάρια, 15% περισσότερο από ό,τι το 2020, ενώ η εταιρεία ανάλυσης blockchain Chainalysis διαπίστωσε ότι οι δράστες ransomware θα κερδίσουν σχεδόν 900 εκατομμύρια δολάρια από τα θύματα φέτος. Αυτό είναι εμφανές από πρόσφατα περιστατικά υψηλού προφίλ, όπως η επίθεση ransomware στην MGM Resorts, η οποία έθεσε εκτός λειτουργίας πολλαπλά συστήματα σε ορισμένες από τις σημαντικότερες τοποθεσίες της στο Λας Βέγκας και η αποκατάσταση αναμένεται να κοστίσει εκατομμύρια . Ορισμένοι έχουν μάλιστα προτείνει ότι μπορεί να υπάρχει αιτιώδης σχέση μεταξύ του ransomware και των ασφαλίσεων στον κυβερνοχώρο, με τους επιτιθέμενους να χρησιμοποιούν τα εξαφανισμένα ασφαλιστήρια συμβόλαια στον κυβερνοχώρο για να υπαγορεύουν τις απαιτήσεις τους για λύτρα.
Με τις επιθέσεις στον κυβερνοχώρο να αυξάνονται, η σημασία της ασφάλισης στον κυβερνοχώρο δεν ήταν ποτέ πιο κρίσιμη, εκτός από τη διασφάλιση μιας ισχυρής στάσης κυβερνοασφάλειας. Ωστόσο, τα ασφάλιστρα συνεχίζουν να αυξάνονται και οι ασφαλιστές έχουν γίνει όλο και πιο προσεκτικοί όσον αφορά τους κινδύνους που αναλαμβάνουν.
Η πλοήγηση στη δύσβατη ασφαλιστική αγορά
Το πρώτο τρίμηνο του 2023, τα ασφάλιστρα αυξήθηκαν κατά 11%. Αυτή η εκτίναξη του κόστους επιδεινώνεται από το γεγονός ότι οι ασφαλιστές αρχίζουν να αμφισβητούν κατά πόσο τα υφιστάμενα ασφάλιστρα καλύπτουν επαρκώς τους κινδύνους που συνδέονται με τις απειλές στον κυβερνοχώρο. Σε απάντηση σε αυτή την αυξανόμενη ανησυχία, οι ασφαλιστές αυστηροποιούν τα πρότυπα ανάληψης κινδύνων και ανεβάζουν τον πήχη των ελάχιστων απαιτήσεων κυβερνοασφάλειας για τους ασφαλισμένους.
Για να αντισταθμίσουν τις αποζημιώσεις, ορισμένοι ασφαλιστές έχουν λάβει μέτρα για να αποκλείσουν ορισμένες δαπάνες. Για παράδειγμα, η Lloyds of London ανακοίνωσε πέρυσι ότι δεν θα περιλαμβάνει πλέον τις επιθέσεις από έθνη-κράτη στα ασφαλιστήρια συμβόλαιά της για τον κυβερνοχώρο, διότι “εκθέτει την αγορά σε συστημικούς κινδύνους που οι κοινοπραξίες θα δυσκολεύονταν να διαχειριστούν”. Εν τω μεταξύ, στην Αυστραλία, ο ασφαλιστικός γίγαντας Chubb κέρδισε την υπόθεση εναντίον της εταιρείας υπηρεσιών αυτοκινήτων Inchcape, η οποία προσπαθούσε να διεκδικήσει το κόστος που προέκυψε από τον καθαρισμό και την αποκατάσταση μιας επίθεσης ransomware. Το δικαστήριο έκρινε ότι επρόκειτο για έμμεση οικονομική ζημία, και ως εκ τούτου δεν καλύπτεται από το ασφαλιστήριο συμβόλαιο.
Ίσως αναρωτηθείτε τότε τι καλύπτει η ασφάλειά σας στον κυβερνοχώρο. Θα λάβετε αποζημίωση για απώλειες ως αποτέλεσμα του ότι ένας υπάλληλος έκανε κλικ σε ένα ηλεκτρονικό μήνυμα ηλεκτρονικού “ψαρέματος”; Θα τιμούσε ο πάροχός σας μια πληρωμή αν πληρώνατε οικειοθελώς μια απαίτηση ransomware; Το ζήτημα αυτό θα μπορούσε να καταστεί προβληματικό όταν χώρες όπως η Αυστραλία και οι Ηνωμένες Πολιτείες εξετάζουν το ενδεχόμενο απαγόρευσης των πληρωμών ransomware.
Είναι σύνηθες ότι ένα ασφαλιστήριο συμβόλαιο στον κυβερνοχώρο καλύπτει κυρίως το κόστος αντιμετώπισης περιστατικών (Incident Response – IR), εγκληματολογικής έρευνας και ανάκτησης που συνδέεται με μια επίθεση. Οι περισσότερες επιχειρήσεις είναι ευτυχείς να ασφαλίσουν σε αυτή τη βάση, καθώς το κόστος αυτής της έρευνας θα μπορούσε να επηρεάσει αρνητικά τις ταμειακές ροές, γνωρίζοντας ότι το κόστος μιας παραβίασης δεδομένων θα ήταν ακόμη μεγαλύτερο. Ωστόσο, πολλοί δεν έχουν λάβει υπόψη τους τις πραγματικές οικονομικές επιπτώσεις, όπως η απώλεια μεριδίου αγοράς και η επιρροή που αυτό έχει στην τιμή της μετοχής.
Όταν μια ασφαλιστική εταιρεία για τον κυβερνοχώρο καλύπτει τη διεξαγωγή έρευνας και την αποκατάσταση μετά από μια επίθεση, μπορεί να επιστρατεύσει τις εγκεκριμένες νομικές και IR ομάδες της, οι οποίες είναι ειδικά εκεί για να καθορίσουν αν μπορεί να καλυφθεί οποιοσδήποτε από τους κινδύνους, καθώς και το κόστος αυτού. Δεν επιδιώκουν να εκτελέσουν την ΕΔ με τρόπο που να περιλαμβάνει όλους τους πιθανούς επιχειρηματικούς κινδύνους που αναφέρθηκαν παραπάνω.
Υπάρχουν επίσης αυξημένες κυρώσεις για παραβιάσεις δεδομένων, γεγονός που μπορεί να κάνει ορισμένους οργανισμούς να αναζητήσουν άμεσα την ασφάλιση στον κυβερνοχώρο για να προσπαθήσουν να βοηθήσουν στην κάλυψη αυτών των δαπανών. Ωστόσο, είναι απίθανο να συμπεριλάβουν οι ασφαλιστές αυτά τα πρόστιμα. Αυτό θα είναι στη σφαίρα των νομικών συμβούλων και των δικηγορικών γραφείων, πράγμα που σημαίνει ότι η ΕΔ και η έρευνα θα πρέπει να είναι άμεση και ακριβής και τα ευρήματα να είναι υπερασπίσιμα σε μια νομική ακρόαση.
Οι λεπτομέρειες σχετικά με το τι καλύπτεται και τι όχι από ένα ασφαλιστήριο συμβόλαιο εξαρτώνται σε μεγάλο βαθμό από τον πάροχο ασφάλισης, αλλά σε γενικές γραμμές θα πρέπει να περιμένετε από τους ασφαλιστές να εξετάσουν διεξοδικά τις πρακτικές ασφαλείας σας. Χρειάζονται επιβεβαίωση ότι έχετε εφαρμόσει προληπτικά μέτρα για τον μετριασμό του κινδύνου και την αποτροπή μιας επίθεσης από το να συμβεί εξαρχής. Θα ελέγξουν τα πάντα, από την ασφάλεια ηλεκτρονικού ταχυδρομείου, την κατάσταση ελέγχου ταυτότητας πολλαπλών παραγόντων και τις διαδικασίες δημιουργίας αντιγράφων ασφαλείας μέχρι τα τελικά σημεία, την κρυπτογράφηση, τα τείχη προστασίας και την ευαισθητοποίηση των χρηστών.
Μου θυμίζει μια περίπτωση με έναν πελάτη στο χώρο των χρηματοπιστωτικών υπηρεσιών, ο οποίος αντιμετώπιζε τεράστια ασφάλιστρα και μόνο δύο προσφορές ανανέωσης στο τραπέζι. Μετά την εφαρμογή της υπηρεσίας Check Point Infinity Global Services (IGS) Managed Detection and Response (MDR) με Incident Response (MDR+IR), το ίδρυμα έλαβε έξι ανταγωνιστικές προσφορές και κατάφερε να μειώσει τα ασφάλιστρα έως και 80% σε σύγκριση με το προηγούμενο έτος. Αυτό οφειλόταν στην ικανότητά τους να ενεργοποιούν την αντιμετώπιση περιστατικών και να διεξάγουν ολοκληρωμένες έρευνες πριν καταφύγουν σε ασφαλιστικές απαιτήσεις. Αυτό το επίπεδο ελέγχου τους επέτρεψε να λαμβάνουν τεκμηριωμένες αποφάσεις, μειώνοντας τις περιττές ενεργοποιήσεις ασφάλισης και το σχετικό κόστος.
Ασφάλιση και ασφάλεια στον κυβερνοχώρο σε αρμονία
Η μακροπρόθεσμη βιωσιμότητα της ασφάλισης στον κυβερνοχώρο εξακολουθεί να αποτελεί αντικείμενο συζήτησης, αλλά γνωρίζουμε ότι η πρόληψη είναι ο πιο αποτελεσματικός τρόπος για να δείξετε πόσο σοβαρά παίρνετε την ασφάλεια όταν πρόκειται για την αποτροπή επιθέσεων στον κυβερνοχώρο. Οι επιχειρήσεις πρέπει να ενισχύσουν τη σταθερή τους επιλογή αμυντικών επιλογών, ώστε να συμπληρώνουν και όχι να βασίζονται στην ασφάλιση στον κυβερνοχώρο για να επιβιώσουν από αυτά τα περιστατικά. Στην πραγματικότητα, η καλύτερη ασφάλιση που έχετε είναι να είστε πιο προληπτικοί και να θέσετε σε εφαρμογή τα εργαλεία, τις διαδικασίες και τους ανθρώπους σας, ώστε να κάνετε ό,τι μπορείτε για να αποφύγετε μια παραβίαση.