Επιμέλεια: Λαλέλα Χρυσανθοπούλου
Η εξάρτηση, σε κοινωνικό και οικονομικό επίπεδο, από τις ψηφιακές τεχνολογίες αυξάνεται, ανοίγοντας τον δρόμο στην καινοτομία, την εξοικονόμηση πόρων και την ευκολία για επιχειρήσεις και πολίτες.
Όμως υπάρχει και η άλλη όψη του νομίσματος: Η επέλαση της ψηφιοποίησης μας καθιστά όλους πιο ευάλωτους σε cyber επιθέσεις και σε έκθεση των προσωπικών μας δεδομένων.
Η Ευρωπαϊκή Ένωση έχει σημειώσει σημαντική πρόοδο για την ενίσχυση των «κυβερνο-αμυνών», όμως έχει ακόμη πολύ δρόμο να διανύσει. Οι επιχειρήσεις και οι πολίτες αντιλαμβάνονται ολοένα και περισσότερο τους κινδύνους στους οποίους εκτίθενται, αλλά δυσκολεύονται να μετουσιώσουν αυτήν την κατανόηση σε απτά μέτρα αυτοπροστασίας. Κι εδώ ακριβώς «μπαίνουν στην εξίσωση» οι ασφαλιστικές εταιρείες…
Η ασφαλιστική βιομηχανία μπορεί να διαδραματίσει σημαντικό ρόλο στις προσπάθειες της ΕΕ να ενισχύσει την ανθεκτικότητά της απέναντι στις cyber επιθέσεις και την ανταγωνιστικότητά της. Ενδεικτικά, οι ασφαλιστικές εταιρείες μπορούν:
- να διασφαλίσουν την επιχειρηματική συνέχεια βοηθώντας τις πληγείσες εταιρείες να ξεπεράσουν γρήγορα μια cyber επίθεση,
- να βοηθήσουν εταιρείες και επιχειρήσεις να κατανοήσουν καλύτερα τους cyber κινδύνους στους οποίους είναι εκτεθειμένοι και πώς μπορούν να προστατευτούν έναντι αυτών,
- να συμβουλεύσουν τις αρμόδιες αρχές, σε εθνικό και ευρωπαϊκό επίπεδο, για τη διαχείριση και τον περιορισμό των εν λόγω κινδύνων.
Οι ασφαλιστικές εταιρείες, διαχρονικά, λειτουργούν ως μηχανισμός μεταφοράς κινδύνου και παρέχουν στις επιχειρήσεις αποζημίωση για απρόβλεπτες ζημίες. Στην περίπτωση των cyber κινδύνων, η κάλυψη των ασφαλισμένων μπορεί να επεκταθεί και σε μη οικονομικούς κινδύνους.
Οι cyber ασφαλίσεις καλύπτουν μια ευρεία γκάμα των προβλημάτων που προκύπτουν από τις cyber επιθέσεις, από το phishing και την υποκλοπή προσωπικών/ευαίσθητων δεδομένων έως τις επιθέσεις μέσω κακόβουλου λογισμικού. Παρέχουν κάλυψη απευθείας στον ασφαλισμένο, π.χ. για καταστροφή ψηφιακών assets, αλλά και έναντι τρίτων, στην περίπτωση παραβίασης προσωπικών δεδομένων τρίτων που φυλάσσει ή διαχειρίζεται ο ασφαλισμένος.
Επιπροσθέτως, ορισμένα cyber συμβόλαια περιλαμβάνουν και μια παράμετρο παροχής υπηρεσιών που αφορά στην παροχή τεχνικών, νομικών και επικοινωνιακών υπηρεσιών στην περίπτωση ενός συμβάντος.
Οι cyber καλύψεις ποικίλλουν ανάλογα με τις ανάγκες των πελατών, τον τύπο των cyber κινδύνων στους οποίους είναι εκτεθειμένοι, το μέγεθος και τον βαθμό ψηφιοποίησης της εκάστοτε επιχείρησης, καθώς και το είδος των υπηρεσιών που παρέχει.
Μπορεί να πρόκειται για «αυτόνομο» προϊόν cyber ασφάλισης ή να παρέχεται ως μέρος ενός «παραδοσιακού» ασφαλιστικού συμβολαίου. Για παράδειγμα, ορισμένοι τύποι cyber απωλειών καλύπτονται από ασφάλιση περιουσίας, ευθύνη διοικητικών στελεχών ή ασφάλιση αστικής ευθύνης.
Λόγω αυτής ακριβώς της ποικιλομορφίας των cyber ασφαλίσεων, είναι πολύ σημαντική η καλή επικοινωνία μεταξύ ασφαλιστικής εταιρείας και ασφαλισμένου.
Η αγορά cyber ασφαλίσεων της ΕΕ
Σύμφωνα με τους περισσότερους υπολογισμούς, η Ευρώπη αναλογεί σε λιγότερο από το 10% της παγκόσμιας αγοράς για cyber ασφαλίσεις. Η μερίδα του λέοντος της ευρωπαϊκής αγοράς συνδέεται με τη ζήτηση από μεγάλες επιχειρήσεις και σε μικρότερο βαθμό από μικρομεσαίες επιχειρήσεις.
Παρότι καταγράφεται αυξητική τάση και για τις cyber καλύψεις που αφορούν σε ιδιώτες, εντούτοις ο εν λόγω κλάδος βρίσκεται ακόμη σε εμβρυακό επίπεδο στις περισσότερες χώρες της ΕΕ.
Είναι σαφές ότι υπάρχουν πολλά εμπόδια που πρέπει να ξεπεραστούν προκειμένου οι cyber ασφαλίσεις να γίνουν εδραιωμένο ασφαλιστικό προϊόν. Ένα από αυτά είναι η δυσκολία στην αξιολόγηση και ποσοτικοποίηση των cyber κινδύνων και ο υπολογισμός των απωλειών που απορρέουν από cyber συμβάντα. Πρόκειται για εξαιρετικά περίπλοκη άσκηση, εξαιτίας μιας σειράς παραγόντων, όπως:
- Η αβεβαιότητα για τις δυνητικές μελλοντικές ζημίες.
- Ο υψηλός βαθμός συσχέτισης των κινδύνων εξαιτίας της ευρείας χρήσης ορισμένων λειτουργικών συστημάτων.
- Η ύπαρξη λίγων διαθέσιμων δεδομένων για cyber συμβάντα και απώλειες: Οι ασφαλιστικές εταιρείες «μοντελοποιούν» τις ζημίες χρησιμοποιώντας ιστορικά και αναλογιστικά στοιχεία. Όμως, στην περίπτωση των cyber κινδύνων, τα ιστορικά στοιχεία είναι ελάχιστα και τα αναλογιστικά πρακτικά ανύπαρκτα.
- Οι άυλες, σε πολλές περιπτώσεις, ζημίες: Για παράδειγμα, μια εταιρεία που δέχθηκε cyber επίθεση και υπέστη υπεξαίρεση προσωπικών δεδομένων μπορεί να δεχθεί πλήγμα στη φήμη της που είναι πολύ δύσκολο να ποσοτικοποιηθεί.
Βάσει των παραπάνω, οι ασφαλιστικές εταιρείες που αποφάσισαν να μην προσφέρουν cyber καλύψεις επανεξετάζουν τα χαρτοφυλάκιά τους και τις επιχειρηματικές τους δραστηριότητες για τις λεγόμενες «σιωπηρές» εκθέσεις σε cyber κινδύνους.
Οι εταιρείες που έχουν εντάξει τις cyber ασφαλίσεις στην γκάμα των προϊόντων και υπηρεσιών που προσφέρουν συσσωρεύουν τη σχετική τεχνογνωσία (underwriting) και τα απαραίτητα δεδομένα για την ανάληψη των εν λόγω κινδύνων, προκειμένου να τους τιμολογούν με μεγαλύτερη ακρίβεια.
Τι πρέπει (και τι δεν πρέπει) να κάνουν οι αρμόδιοι φορείς στην ΕΕ για την ανάπτυξη των cyber ασφαλίσεων
Παρά τις προαναφερθείσες προκλήσεις, οι cyber ασφαλίσεις μπορούν να έχουν σημαντική συνεισφορά στη θωράκιση της Ευρώπης από τις cyber απειλές. Οι φορείς χάραξης πολιτικής είναι σε θέση να ενισχύσουν τον ρόλο της ασφαλιστικής βιομηχανίας στο θέμα αυτό με διάφορους τρόπους. Στο πλαίσιο αυτό, η Insurance Europe προτείνει στους φορείς:
- Να προωθήσουν τις πρωτοβουλίες για καλύτερη κατανόηση των cyber κινδύνων: Οι ασφαλιστικές εταιρείες και οι αρχές πρέπει να συνεργαστούν για να επιταχύνουν την ανάπτυξη μιας «κουλτούρας cyber κινδύνων» στους πολίτες, τις επιχειρήσεις και τις δημόσιες υπηρεσίες και τη δημιουργία ενός πλαισίου ψηφιακής ασφάλειας για μικρομεσαίες επιχειρήσεις.
- Να στηρίξουν τις συμπράξεις δημόσιου και ιδιωτικού τομέα για την αντιμετώπιση καταστροφικών κινδύνων: Παραδείγματα τέτοιων συνεργασιών είναι η προσομοίωση cyber επιθέσεων, ώστε να αξιοποιηθούν τα διδάγματα που θα προκύψουν, η έναρξη διαλόγου για μεγάλης κλίμακας cyber επιθέσεις με τρομοκρατική χροιά και τα όρια της «ασφαλισιμότητας» (insurability), και η διαχείριση μεγάλων ή συσσωρευμένων εκθέσεων. Ορισμένοι κίνδυνοι μπορεί να αποδειχθούν υπερβολικά μεγάλοι για να καλύπτονται από την ασφαλιστική βιομηχανία, οπότε πιθανώς θα απαιτηθούν λύσεις με κρατική συμμετοχή, όπως η δημιουργία «δεξαμενών κινδύνων»-“risk pools”.
- Να ενθαρρύνουν τις χώρες-μέλη να αναλάβουν δράση για την αύξηση της cyber ασφάλειας: Με δεδομένο το ότι οι cyber επιθέσεις δεν γνωρίζουν σύνορα, οι χώρες πρέπει να συντονίζουν τον διαμοιρασμό των πληροφοριών μεταξύ τους, να συνεργάζονται για τον εντοπισμό των πηγών των επιθέσεων, να διοχετεύσουν ιδιωτικές και δημόσιες επενδύσεις για την ανάπτυξη ευρωπαϊκής αριστείας στη cyber τεχνολογία και να αναπτύξουν μηχανισμούς πιστοποίησης της cyber ασφάλειας προϊόντων και υπηρεσιών.
- Να στηρίξουν τις προσπάθειες για μεγαλύτερη διαθεσιμότητα των δεδομένων που συνδέονται με cyber συμβάντα: Στην παρούσα φάση, υπάρχει σε εξέλιξη μια διαδικασία συγκέντρωσης δεδομένων, ως αποτέλεσμα της υποχρέωσης που προβλέπεται από σειρά νομοθετημάτων για τις εταιρείες να αναφέρουν τα cyber συμβάντα. Ενδεικτικά, αναφέρεται ο Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR) και η ευρωπαϊκή οδηγία για την Ασφάλεια των Δικτύων (Network Information Security Directive). H Insurance Europe επιδιώκει να ανοίξει διάλογο με τις αρχές για το πώς ο ασφαλιστικός κλάδος θα μπορούσε να αποκτήσει πρόσβαση –στη βάση της ανωνυμίας– στα δεδομένα αυτά, προκειμένου να βελτιστοποιήσει τις διαδικασίες underwriting. Θεωρεί δε ότι o Ευρωπαϊκός Οργανισμός για την Ασφάλεια Δικτύων και Πληροφοριών (ENISA) είναι η κατάλληλη πλατφόρμα για να φιλοξενήσει αυτόν τον διάλογο.
Από την άλλη πλευρά, η Insurance Europe προτρέπει τους φορείς:
- Να μην εισάγουν πρόωρα υποχρεωτικές προδιαγραφές για τις cyber ασφαλίσεις, που μπορεί να βλάψουν τόσο τους πελάτες όσο και τις ασφαλιστικές εταιρείες. Όπως υποστηρίζει, οι ασφαλισμένοι που υποχρεούνται να αγοράσουν τυποποιημένα cyber προϊόντα μπορεί να καταλήξουν να αγοράσουν περισσότερη ή λιγότερη κάλυψη από όση πραγματικά χρειάζονται. Επιπροσθέτως, οι ασφαλιστικές εταιρείες χρειάζονται ευελιξία για να προσαρμόσουν τα cyber προϊόντα τους στις ανάγκες των πελατών τους και οι όροι των συμβολαίων μεταλλάσσονται συνέχεια, αντικατοπτρίζοντας τους μεταβαλλόμενους κινδύνους.
- Να μην καταστήσουν υποχρεωτική την ασφάλιση για cyber κινδύνους. Μεταξύ άλλων, αναφέρεται ότι το ποσοστό διείσδυσης των cyber ασφαλίσεων στην Ευρώπη είναι πολύ χαμηλό. Η τεχνητή αύξησή του στο 100% διά της υποχρεωτικότητας προϋποθέτει τεράστια αύξηση της αντασφαλιστικής ικανότητας ανάληψης των κινδύνων αυτών, που δεν είναι δυνατή. Η Insurance Europe επισημαίνει ακόμη τον κίνδυνο αύξησης των ασφαλίστρων, το υψηλό κόστος που συνεπάγεται η προσέλκυση μεγάλων κεφαλαίων για να αντιμετωπιστεί η αυξημένη ζήτηση για την ασφάλιση, καθώς και το ενδεχόμενο οι ασφαλισμένοι που έχουν αγοράσει την υποχρεωτική cyber κάλυψη να συμπεριφέρονται με πιο «επικίνδυνο» τρόπο, καθώς θα θεωρούν ότι σε περίπτωση ζημιών, το βάρος θα πέσει στην ασφαλιστική εταιρεία.