Νίκος Σπυράτος, Διευθυντής Ανάληψης Κινδύνων Ασφαλίσεων Ζημιών, ERGO Ασφαλιστική
Οι εξελίξεις στην αγορά των cyber κινδύνων
Στη σύγχρονη, ψηφιακή εποχή, στην οποία η χρήση του Διαδικτύου και των νέων τεχνολογιών αποτελεί αναπόσπαστο κομμάτι της καθημερινής ζωής, το θέμα της ασφάλειας και της προστασίας ενάντια στις κυβερνοεπιθέσεις είναι ένα από τα πλέον καίρια και σημαντικά. Επιχειρήσεις και επαγγελματίες πέφτουν, συχνά, στην παγίδα του ηλεκτρονικού εγκλήματος, ερχόμενοι αντιμέτωποι με περιστατικά παραβίασης ή απειλών.
Η ασφάλιση διαδικτυακών κινδύνων (cyber risk) απασχολεί ολοένα και περισσότερο την παγκόσμια ασφαλιστική αγορά από την άποψη τόσο της προοπτικής ανάπτυξης όσο και των προκλήσεων και των ειδικών θεμάτων που αναδεικνύονται και πρέπει να αντιμετωπιστούν, όπως είναι π.χ. τα ζητήματα underwriting, risk management, προστασίας προσωπικών δεδομένων, νομικών θεμάτων (χρηματοδότηση εγκληματικών δραστηριοτήτων στην κάλυψη των λύτρων εκβιασμού), αντασφαλιστικών θεμάτων και, κυρίως, του ελέγχου της συγκέντρωσης των ασφαλιστικών ρίσκων (accumulation control management), σε συνδυασμό με την αναδυόμενη λειτουργία των κυβερνοεπιθέσεων ως μέσου διεξαγωγής πολεμικών ενεργειών μεταξύ κρατών.
Αναγνωρίζοντας τους πολύπλοκους κινδύνους του κυβερνοχώρου και τις προκλήσεις που αυτοί επιφέρουν, η ασφαλιστική βιομηχανία προχώρησε στη δημιουργία ενός νέου τύπου ασφάλισης που καλύπτει μεγάλο αριθμό των cyber risks, προκειμένου οι επιχειρήσεις να προστατεύσουν τα ηλεκτρονικά τους δεδομένα και να διασφαλιστεί η λειτουργία των πληροφοριακών τους συστημάτων.
Η ασφάλιση έναντι των κινδύνων του κυβερνοχώρου είναι, ομολογουμένως, μια πολύπλοκη και σχετικά νέα μορφή ασφάλισης. Στην Ελλάδα, η αγορά των cyber ασφαλίσεων βρίσκεται ακόμη σε στάδιο ανάπτυξης, καθώς προσφέρεται από περιορισμένο αριθμό ασφαλιστικών εταιρειών, κυρίως ως αυτοτελές ασφαλιστήριο συμβόλαιο (Standalone Cyber Insurance), αλλά και ως επέκταση κάποιας ευρύτερης ασφαλιστικής κάλυψης (Comprehensive Insurance). Η προστασία από τις κυβερνοαπειλές διαδραματίζει καθοριστικό ρόλο στην προσπάθεια μικρών και μεγάλων επιχειρήσεων, αλλά και ιδιωτών, να ενισχύσουν την ανθεκτικότητά τους στον κυβερνοχώρο, παρέχοντας πολλές διαφορετικές υπηρεσίες, πριν, κατά τη διάρκεια και μετά από ένα περιστατικό κυβερνοεπίθεσης.
Ο κίνδυνος για τις επιχειρήσεις
Σύμφωνα με τα δεδομένα των τελευταίων ετών, φαίνεται πως οι μικρομεσαίες επιχειρήσεις κινδυνεύουν αναλογικά περισσότερο από τις συνέπειες μιας κυβερνοεπίθεσης, καθώς οι μεγάλες εταιρείες διαθέτουν περισσότερους πόρους για να ανακάμψουν έπειτα από ένα τέτοιο πλήγμα και, επιπροσθέτως, μπορούν να υποστηρίξουν ευκολότερα την εσωτερική υποδομή για την προστασία έναντι των κυβερνοαπειλών. Αντίθετα, οι μικρομεσαίες επιχειρήσεις ενδέχεται να μην καταφέρουν να ανακάμψουν με διαχειρίσιμες επιπτώσεις στη λειτουργία τους. Η διακοπή της επιχειρηματικής δραστηριότητας αποτελεί μία από τις μεγαλύτερες απειλές, ενώ τα τελευταία χρόνια σημειώνεται αύξηση στις κυβερνοεπιθέσεις και στην παραβίαση των δεδομένων. Αρκεί να σκεφτούμε, ως παράδειγμα των επιπτώσεων, τον επιχειρηματικό πανικό που δημιούργησε, σε παγκόσμια βάση, ο millennium virus, αλλά και προσφάτως τις οικονομικές συνέπειες σε παγκόσμια κλίμακα του Crowdstrike Outage στις 19 Ιουλίου 2024. Κανένα από τα παραπάνω δεν ήταν προϊόν κακόβουλης επίθεσης, πλην όμως είναι ενδεικτικά του πόσο ευάλωτη είναι η μικροοικονομία, αλλά και η μακροοικονομία, σε μια συστημική κατάρρευση, η οποία μπορεί να προέλθει και από κακόβουλη επίθεση.
Καταγραφή των περιστατικών
Στην Ελλάδα έχουν ήδη καταγραφεί περιστατικά ζημιών, υποδεικνύοντας ότι το κυβερνοέγκλημα αποτελεί, πλέον, μια σοβαρή απειλή για το τοπικό επιχειρείν. Σύμφωνα με τα στοιχεία της Checkpoint Research (CPR), οι κυβερνοεπιθέσεις, παγκοσμίως, αυξήθηκαν κατά 28% το τρίτο τρίμηνο του 2022 σε σύγκριση με το αντίστοιχο διάστημα του προηγούμενου έτους. Κατά το ίδιο διάστημα, οι επιθέσεις αυξήθηκαν κατά 64% συγκριτικά με τον προηγούμενο χρόνο, καταγράφοντας 813 επιθέσεις, κατά μέσο όρο, την εβδομάδα.
Αντίστοιχα, η έκθεση της Specops, το 2023, αναφέρει ότι η Ελλάδα συγκαταλέγεται στις 10 πρώτες ευρωπαϊκές χώρες που κινδυνεύουν να υποστούν επιθέσεις με κακόβουλο λογισμικό (malware) και βρίσκεται µεταξύ των 10 πρώτων που μπορεί να αντιµετωπίσουν επίθεση µε λογισµικό εκβίασης για καταβολή λύτρων (ransomware). Η εν λόγω μελέτη, που βασίζεται στην Έκθεση Ψηφιακής Άµυνας της Microsoft, κατέδειξε ότι η Ελλάδα κατατάσσεται στη 13η θέση µεταξύ των 32 χωρών µε τα υψηλότερα επίπεδα εγκληµατικότητας στον κυβερνοχώρο, έχοντας δεχθεί περίπου το 4% του συνόλου των κυβερνοεπιθέσεων στην Ευρώπη.
Σε αυτό το πλαίσιο, οι ελληνικές επιχειρήσεις και οι κρατικοί οργανισμοί που αντικειμενικά έχουν κάνει άλματα στον ψηφιακό μετασχηματισμό και στη θωράκιση της κυβερνοασφάλειας οφείλουν να συνεχίσουν με τον ίδιο ρυθμό τις επενδύσεις και τη στρατηγική τους στην κυβερνοασφάλεια, περιορίζοντας το ρίσκο μιας επικείμενης επίθεσης.
Πακέτα ασφάλισης cyber κινδύνων
Η ασφαλιστική βιομηχανία, ως κλάδος, διαθέτει, πλέον, την τεχνογνωσία και την εξειδίκευση για να αναλάβει τη διαχείριση αυτών των κινδύνων, αν και η ευαισθητοποίηση των επιχειρήσεων γύρω από θέματα ασφάλισης διαδικτυακών απειλών παραμένει ακόμη περιορισμένη συγκριτικά με τις υπόλοιπες χώρες της Ευρωπαϊκής Ένωσης και κυρίως των ΗΠΑ.
Ένα πρόγραμμα cyber insurance στοχεύει στην αντιστάθμιση της ζημιάς που θα υποστεί μια επιχείρηση σε περίπτωση κυβερνοεπίθεσης. Κάθε επιχείρηση ή οργανισμός που επεξεργάζεται προσωπικά δεδομένα εργαζομένων ή και πελατών οφείλει να προτεραιοποιεί την προστασία αυτών των πληροφοριών. Για κάθε επιχείρηση, ανεξαρτήτως μεγέθους, η ασφάλιση μπορεί να προσφέρει μια επιπλέον σιγουριά. Ωστόσο, χρειάζεται να συνδυάζεται με τα απαραίτητα συστήματα ασφαλείας της ίδιας της επιχείρησης.
Στην ERGO Ασφαλιστική, αναγνωρίζοντας και κατανοώντας τις σύγχρονες ανάγκες των επιχειρήσεων για τη διασφάλιση των πληροφοριακών συστημάτων και των προσωπικών δεδομένων από διάφορους διαδικτυακούς κινδύνους, προσφέρουμε μια ολοκληρωμένη λύση με το πρόγραμμα ERGO Cyber, που διατίθεται σε δύο επίπεδα καλύψεων, για να μπορούν οι επαγγελματίες να επιλέξουν αυτό που ανταποκρίνεται καλύτερα στις ανάγκες τους.
Η ασφαλιστική αυτή κάλυψη είναι ξεχωριστή από τα υπόλοιπα προγράμματα για επιχειρήσεις και κινείται σε τρεις πυλώνες: διαχείριση κρίσεων/περιστατικών, διακοπή εργασιών και διοικητικές/νομικές υποχρεώσεις.
Ειδικότερα περιλαμβάνει:
● Αντιμετώπιση συμβάντος & Κέντρο Διαχείρισης Περιστατικών
● Αποκατάσταση βάσης δεδομένων
● Εκβιασμό στον κυβερνοχώρο
● Έγκλημα στον κυβερνοχώρο
● Διακοπή επιχειρηματικής λειτουργίας
● Εμπιστευτικότητα & Ευθύνη απορρήτου
● Ευθύνη ασφάλειας δικτύου
Η ασφάλιση έναντι των διαδικτυακών και ηλεκτρονικών κινδύνων δεν είναι απλά ένα ασφαλιστικό προϊόν, αλλά αποτελεί και ένα εργαλείο αντιμετώπισης κινδύνων (risk management), προσφέροντας όχι μόνο αποζημιώσεις, αλλά, κυρίως, υπηρεσίες διαχείρισης κρίσεων. Η παραπάνω ασφαλιστική κάλυψη παρέχεται μέσω αυτόνομου ασφαλιστικού προγράμματος για μικρομεσαίες επιχειρήσεις ενώ παράλληλα σχεδιάζεται ένα αντίστοιχο ασφαλιστικό πρόγραμμα για ιδιώτες.
Νομοθετικό πλαίσιο
Η αποτελεσματική διαχείριση κινδύνων του κυβερνοχώρου αποτελεί μια σημαντική επιχειρησιακή πρακτική. Η ικανότητα των επιχειρήσεων, ανεξαρτήτως μεγέθους, να προσαρμόζονται και να αποκρούουν αυτές τις απειλές είναι κρίσιμη τόσο για την οικονομία όσο και για την κοινωνία. Καθώς η έκθεση σε αυτούς τους κινδύνους έχει αυξηθεί, οι ελάχιστες προϋποθέσεις που απαιτούνται από τις ασφαλιστικές εταιρείες για τη μεταφορά του κινδύνου είναι, πλέον, απαραίτητες.
Μια βιώσιμη ασφαλιστική αγορά έναντι κυβερνοαπειλών μπορεί να επιτευχθεί μόνο μέσω μιας αποτελεσματικής συνεργασίας μεταξύ των υπευθύνων διαχείρισης κινδύνων, των υπευθύνων ασφάλισης, των ασφαλιστικών διαμεσολαβητών, των ασφαλιστικών και των αντασφαλιστικών εταιρειών και των δημόσιων αρχών.
Η ασφαλιστική διείσδυση μεταξύ των μικρομεσαίων επιχειρήσεων είναι ακόμη εξαιρετικά χαμηλή. Στην Ευρώπη, έχουν γίνει κάποια βήματα προς αυτήν την κατεύθυνση, ωστόσο χρειάζεται να σημειωθεί περαιτέρω πρόοδος στην ενημέρωση και την ενίσχυση της ευαισθητοποίησης σχετικά με την ασφάλιση κατά κυβερνοαπειλών. Συνεπώς, είναι απαραίτητη η λήψη πρωτοβουλιών και κατάλληλων ενεργειών για τη σωστή πληροφόρηση ιδιωτών και επιχειρήσεων σχετικά με τους κινδύνους που εγκυμονεί η δραστηριότητα στον κυβερνοχώρο και για τη σημασία της ασφαλιστικής κάλυψης στον τομέα αυτό.
Έρευνες σε επιχειρήσεις
Έρευνα στη Γαλλία έδειξε ότι μόνο το 3% των επιχειρήσεων είναι ασφαλισμένες, ενώ έρευνα της Munich Re ανέδειξε ότι μόνο το 14% των μικρομεσαίων επιχειρήσεων παγκοσμίως διαθέτουν ασφαλιστική κάλυψη για κυβερνοεπιθέσεις. Αυτό καταδεικνύει την ανάγκη όλο και περισσότερες επιχειρήσεις να υιοθετήσουν βασικές πρακτικές για την αντιμετώπιση των κινδύνων, που θα διευκολύνουν παράλληλα και την ασφάλισή τους. Σε αυτήν την κατεύθυνση, οι επιχειρήσεις θα μπορούσαν να συνεργαστούν με ασφαλιστικές εταιρείες οι οποίες θα τους παρέχουν την υποστήριξη και την προστασία που χρειάζονται, ανάλογα με το μέγεθος και τη δραστηριότητά τους. Επιπλέον, η συνεργασία όλων των εμπλεκομένων του ιδιωτικού και δημόσιου τομέα πρέπει να είναι διαρκής και οι λύσεις να είναι συλλογικές.
Προφανής ανάγκη για αλλαγές στο νομοθετικό-ρυθμιστικό πλαίσιο δεν έχει εντοπιστεί, επί του παρόντος, αν και είναι ακόμη νωρίς, λόγω της πρόσφατης λειτουργίας της συγκεκριμένης ασφάλισης, πλην ίσως του προαναφερθέντος θέματος του πολέμου, ο οποίος αποτελεί παραδοσιακή ασφαλιστική εξαίρεση και η χρήση των κυβερνοεπιθέσεων για πολεμικές ενέργειες μπορεί να γίνει από απόσταση, χωρίς κήρυξη πολέμου και χωρίς εμφανείς εχθροπραξίες (παρόμοια περιστατικά εντοπίστηκαν σε ευρωπαϊκές χώρες κατά τον πόλεμο της Ουκρανίας). Παρ’ όλα αυτά, η σταδιακή διεύρυνση της διείσδυσης της ασφάλισης κυβερνοχώρου πιθανόν να αναδείξει μελλοντικά τέτοιες ρυθμιστικές ανάγκες.
Aπό το περιοδικό Insurance World (αφιέρωμα “Cyber κίνδυνοι και ασφάλεια, οι μεγάλες αλλαγές στην κυβερνοασφάλεια από το 2025″/Έλενα Ερμείδου)
