Του Νίκου Γεωργόπουλου, ΜΒΑ, CyRM, Cyber Risks Advisor , Cromar Lloyds Coverholder

Οι παραβιάσεις ηλεκτρονικών συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι καθημερινό φαινόμενο.

Οι επιχειρήσεις χωρίζονται σε δύο κατηγορίες σε αυτές που εχουν υποστεί παραβίαση συστημάτων και το γνωρίζουν και σε αυτές που θα αντιμετωπίσουν το πρόβλημα στο μέλλον.

Η ασφαλιστική αγορά ανταποκρινόμενη στις ανάγκες των επιχειρήσεων για οικονομική προστασία από τους κινδύνους που απειλούν τα συστήματά τους με παραβίαση και διαρροή εμπιστευτικών πληροφοριών δημιούργησε προϊόντα και υπηρεσίες Cyber Insurance.

Τι είναι η παραβίαση συστημάτων και η απώλεια δεδομένων;

Παραβίαση Συστημάτων μπορούμε να έχουμε από μη εξουσιοδοτημένη πρόσβαση σε εταιρικά συστήματα, η οποία συνοδευεται από απώλεια δεδομένων πελατών που περιλαμβάνουν οικονομικά στοιχεία, στοιχεία πιστωτικών καρτών ή τραπεζικού λογαριασμού, δεδομένα υγείας ή εταιρικών δεδομένων όπως εμπορικά μυστικά ή ζητήματα πνευματικής ιδιοκτησίας.

Η απώλεια δεδομένων μπορεί να συντελεστεί και με την κλοπή συστημάτων αποθήκευσης δεδομένων όπως usb, δίσκους αποθήκευσης ή πιο απλά από απροσεξία όταν κάποιο στέλεχος μιας εταιρίας ξεχάσει σε ένα αεροδρόμιο ένα tablet, ένα κινητό τηλέφωνο ή ένα laptop στο οποίο δεν έχει χρησιμοποιηθεί κάποιο πρόγραμμα για την κρυπτογραφηση των δεδομενων που περιέχει.

H παραβίαση συστημάτων μπορεί να προκαλέσει και άρνηση παροχής υπηρεσίας (ddos) του δικτύου της εταιρίας η οποία θα οδηγήσει σε διακοπή των εργασιών της και οικονομική ζημιά

Ποιες οι επιπτώσεις της παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών;

Μέχρι σήμερα, η χρηματοοικονομική επίπτωση στις ευρωπαϊκές Εταιρίες ήταν λιγότερο σοβαρή, διότι δεν ισχύει επί του παρόντος η νέα πανευρωπαϊκή νομοθεσία για την προστασία των δεδομένων. Σύμφωνα με τη νέα νομοθεσία, η οποία αναμένεται να ενσωματωθεί στο ευρωπαικό δίκαιο οι εταιρίες που δεν κατάφεραν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν μέχρι € 100 εκ ή έως 5 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας.

Ωστόσο, η Χρηματοκοικονομική επίπτωση θα μπορούσε να είναι το λιγότερο από τις ανησυχίες μιας εταιρείας σε σχέση με την απώλεια της εμπιστοσύνης των πελατών. Οι ασφαλισμένες εταιρίες θεωρούν ότι η υπ ‘αριθμόν μία ανησυχία τους είναι βλάβη της φήμης τους.

Όπως περίφημα είπε ο Warren Buffett: “Χρειάζονται 20 χρόνια για να χτιστεί η φήμη και πέντε λεπτά για να καταστραφεί.”

Ενδεικτικά το κόστος ανα χαμένο record και ανά κατηγορία επιχειρηματικής δραστηριότητας σύμφωνα με τα στοιχεία του Ponemon institute για παραβιάσεις δεδομένων στην Αμερική φαίνεται στον παρακάτω πίνακα:

Πηγή 2015 – Cost of Data Breach Study Global Analysis – Ponemon Institute Research Report

Η Πρόληψη είναι αρκετή;

Παραβιάσεις ηλεκτρονικών συστημάτων και διαρροή εμπιστευτικών πληροφοριών συμβαίνουν καθημερινά και σε πολύ μεγάλη κλίμακα. Οι εταιρείες πρέπει να είναι προετοιμασμένες για την αντιμετώπιση συμβάντων παραβίασης δεδομένων.

Οι μεγαλύτερες εταιρείες, αν και έχουν δημιουργήσει ειδικές ομάδες διαχείρισης κρίσης για την αντιμετώπιση αυτών των περιστατικών μπορούν να αντιμετωπίσουν μεγάλες οικονομικές ζημίες οι οποίες χωρίς την ύπαρξη ασφαλιστικής κάλυψης μπορούν να καταστούν καταστροφικές.

Οι μικρές και μεσαίες επιχειρήσεις πιθανό να είναι λιγότερο προετοιμασμένες για την αντιμετώπιση περιστατικών παραβίασης συστημάτων και απωλειας εμπιστευτικών πληροφοριών και δεν θα είναι σε θέση να απορροφήσουν το κόστος που συνδέεται με αυτά.

Πώς εξελίσσεται η ασφαλιστική αγορά;

Το μέγεθος της ασφαλιστικής αγοράς που αναπτύσσεται είναι πολύ μεγάλο όπως αποδεικνύεται από την ανάπτυξη που παρουσιάζει η αγορά του cyber insurance στην Αμερική.

Η ανάπτυξη της αγοράς των ΗΠΑ είναι ένα ενδιαφέρον παράδειγμα του τι οδηγεί τη ζήτηση. Το πρώτο βήμα ήταν η υποχρεωτική ενημέρωση του πελάτη σε περίπτωση που έχουν χαθεί προσωπικά του δεδομένα και η γνωστοποίηση του περιστατικου στις αρμόδιες αρχές , η οποία ξεκίνησε στην Καλιφόρνια το 2003 και τώρα υπάρχει σε 48 πολιτείες.

Η υποχρεωτική ενημέρωση των αρμοδίων αρχών και του πελάτη για κάθε παραβίαση δεδομένων είτε μεγάλη είτε μικρή ήταν αυτό που άλλαξε την αγορά.

To εκτιμώμενο μέγεθος της ευρωπαϊκής αγοράς σύμφωνα με τα στοιχεία της ADVISEN είναι €224 εκ. για το 2015 και € 426εκ για το 2016.

Οι ευρωπαικές εταιρίες δεν φαίνεται να αντιλαμβάνονται το κίνδυνο που διατρέχουν σε περιπτώσεις παραβίασης ηλεκτρονικών συστημάτων και διαρροής εμπιστευτικών πληροφοριών, ενώ οι ασφαλιστικές εταιρίες δεν έχουν μια ενιαία αντιμετωπιση απέναντι στον κίνδυνο και οι μεσίτες ασφαλίσεων δεν έχουν την γνώση που απαιτείται για την κατανόηση των κινδύνων και την εκπαίδευση των πελατών.

Η ευρωπαϊκή προσέγγιση της συγκεκριμένης αγοράς είναι περισσότερο συνδεδεμένη με την απώλεια κερδών μιας επιχείρησης σε περίπτωση διακοπής εργασιών λόγω στοχευμένων επιθέσεων άρνησης υπηρεσίας (ddos).

Η νέα νομοθεσία της Ευρωπαικής Ενωσης περί προστασίας προσωπικών δεδομένων που πρόκειται να ενσωματωθεί στο Ευρωπαικό δίκαιο θα φέρει μαζί της εκτός από την αναγκαία ενημέρωση εντός 24 ωρών των Αρχών Προστασίας Προσωπικών Δεδομένων, επίσης την υποχρεωτική ενημέρωση των υποκείμενων των οποίων χάθηκαν τα προσωπικά δεδομένα καθώς και διοικητικές κυρώσεις και πρόστιμα για τις εταιρίες που λόγω εσφαλμένου χειρισμού τους χάνουν δεδομένα.

Οι αλλαγές στην νομοθεσία θα μπορούσαν να αποτελέσουν καταλύτη αλλαγής της Ευρωπαικής Αγοράς του cyber insurance και να αυξήσουν σημαντικά το μέγεθός της, το οποίο μπορεί να φθάσει τα €780εκ το 2018 (Πηγή AGCS, Allianz).

Πως αναπτύχθηκαν τα ασφαλιστκά προϊόντα

Αρχικά τα ασφαλιστικά προίόντα που σχεδιάστηκαν κάλυπταν τις χρηματοοικονομικές ανάγκες των εταιριων σε περίπτωση παραβίασης συστημάτων και διαρροής δεδομένων.

Στην συνέχεια και λαμβάνοντας υπόψη τις ανάγκες των εταιριών πελατών δημιουργήθηκαν νέα ασφαλιστικά καινοτόμα προϊόντα τα οποία ενσωμάτωσαν υπηρεσίες διαχείρισης συμβάντων σε συνεργασία με εγνωσμενης αξίας παρόχους υπηρεσιών ψηφιακής εγκληματολογίας, νομικούς, επικοινωνιολόγους με σκοπό την αποτελεσματική διαχείριση των συμβάντων και την μείωση των συνεπειών στην εταιρική φήμη.

Η προσέγγιση αυτή αποδείχθηκε πολύτιμη για τους πελάτες, ιδιαίτερα εκείνους που δεν έχουν εξελιγμένες ομάδες διαχείρισης κινδύνου. Οι υπηρεσίες διαχείρισης συμβάντων βοηθάνε την εταιρία να καθορίσει τι έχει παραβιαστεί, να αξιολογήσει τις ευθύνες της, να ενημερώσει τους σωστούς ανθρώπους και να γίνει ό, τι είναι απαραίτητο για να σταθεί η επιχείρηση στα πόδια της και πάλι.

Ποιοι παράγοντες επηρεάζουν το κόστος ασφάλισης και την δυνατότητα ασφάλισης

Το κόστος των προϊόντων αυτών εξαρτάται από διάφορους παράγοντες όπως: α) η δραστηριότητα της εταιριας β) το μέγεθος των εσόδων γ) ο ογκος και ο τύπος των δεδομένων δ) η εξάπλωση της εταιρίας διεθνώς ε) η προηγούμενη εμπειρία σε περιπτώσεις data breach στ) o ανταγωνισμός και κατά πόσο ή όχι οι ασφαλιστές θεωρούν ότι ο ασφαλισμένος κίνδυνος είναι καλός ή κακός.

Η δυνατότητα ασφάλιση της εταιρίας εξαρτάται απο τα μέτρα προστασίας που έχει λάβει και τις διαδικασίες και πολιτικές που ακολουθεί για την αποφυγή και αντιμετώπιση περιστατικών παραβίασης συστημάτων και διαρροής δεδομένων.

Ενας άλλος σημαντικός παράγοντας που επηρεάζει τόσο το κοστος όσο και την δυνατότητα ασφάλισης είναι η εμπειρία της ασφαλιστικής εταιρίας στην αντιμετώπιση περισταστικών

Ποια εταιρία είναι κατάλληλη για ασφάλιση;

Η ύπαρξη ενός Information Security Officer είναι καθοριστικός παράγοντας στην δημιουργία πολιτικών και διαδικασιών ασφάλειας, πλάνου αντιμετώπισης αυτών των περιστατικών και στην αξιολόγηση της προς ασφάλιση εταιρίας.

Οι ασφαλιστές αναζητούν εταιρίες οι οποίες κατανοούν τον κίνδυνο, κάνουν σωστη διαχείρισή του και έχουν εχουν τις κατάλληλες πολιτικές και διαδικασίες. Η διαχείριση της κατάστασης σε περίπτωση απώλειας δεδομένων είναι αρμοδιότητα των ανωτάτων στελεχών και του διοικητικού συμβουλίου

Σήμερα δεν έχει σημασία πόσο πολλά firewalls έχει μια εταιρεία, ή το πόσο καλά είναι τα συστήματά της, καθώς κανένα σύνολο ελέγχων δε μπορεί να εγγυηθεί ότι δεν θα έχουν μια παραβίαση συστημάτων και απώλεια δεδομένων.

Τι μπορεί να κάνει η ασφαλιστική βιομηχανία κάνει για να βοηθήσει τις εταιρείες;

Η ασφαλιστική αγορά για την αποτελεσματική διαχείριση των οικονομικών συνεπειών περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων προσφέρει την κάλυψη των εξόδων διαχείρισης της κρίσης που προκαλεί ένα τετοιο περιστατικό όπως α) έξοδα για την πρόσληψη Εξειδικευμένων Ερευνητών Ασφαλείας β) έξοδα για την ενημέρωση πελατών γ) εξοδα δημοσίων σχέσεων και διαχείρσης κρίσης, δ) νομικά έξοδα για την διαχείριση των κανονιστικών απαιτήσεων ε) εξοδα νομικών συμβουλών για την αξιολόγηση των συνεπειών του περιστατικού στ) εξοδα προσληψης ειδικών διαπραγματευτών σε περίπτωση εκβιασμού.

Επίσης ασφαλίζει για την ευθύνη του ασφαλισμένου έναντι τρίτων, οι οποίοι θα μπορούσαν να ασκήσουν αγωγή κατά του ασφαλισμένου για ζημία που μπορούν να υποστούν λόγω περιστατικών παραβιάσεις ηλεκτρονικών συστημάτων και διαρροής προσωπικών τους δεδομένων και την Απώλεια Κερδών σε περίπτωση άρνησης παροχής υπηρεσίας (ddos) λόγω κυβερνοεπιθεσεων.

Η καινοτομία των νέων ασφαλιστικών προϊόντων προέρχεται από την παροχή υπηρεσιών διαχείρισης συμβάντων σε συνεργασία με εγνωσμένης αξίας παρόχους υπηρεσιών ψηφιακής εγκληματολογίας, νομικούς, επικοινωνιολόγους με σκοπό την αποτελεσματική διαχείριση των συμβάντων και την μείωση των συνεπειών στην εταιρική φήμη.

Παράγοντες που λαμβάνονται υπόψη στον σχεδιασμό ενός προγράμματος

Η ασφάλιση των οικονομικών συνεπειών μια εταιρίας σε περίπτωση παραβίασης συστημάτων και απώλειας δεδομένων δεν είναι μια συνηθισμένη κάλυψη – η μη γνώση των κινδύνων, οι υπηρεσίες που παρέχονται και η διαχείριση τέτοιων συμβάντων απαιτεί εξειδικευμένους ασφαλιστικούς διαμεσολαβητές.

Η σωστή αξιολόγηση των κινδύνων, η κατανόηση των ιδιαιτεροτήτων κάθε επιχείρησης σε περίπτωση παραβίασης συστημάτων και απώλειας δεδομένων, οι διαδικασίες που ακολουθεί και το ύψος της κάλυψης είναι ζωτικής σημασίας.

Για να σχεδιαστεί ένα πρόγραμμα που θα καλύπτει τις ανάγκες μιας εταιρίας θα πρέπει να σκεφτούμε τα ακόλουθα θέματα: α) ποιοι είναι οι κίνδυνοι? β) ποιες είναι οι υφιστάμενες ασφαλιστικές καλύψεις? γ) ποια ειναι τα σωστά όρια και υποόρια του προγράμματος δ) ποιες είναι οι εξαιρέσεις ? ε) πως καλύπτονται οι εταιρίες σε περίπτωση χρήσης εξωτερικών παρόχων ζ) ποιες οι διαδικασίες που ακολουθούν οι εταιρίες? στ) αν τα δεδομένα είναι κρυπτογραφημένα.

Τι προσφέρουμε στην ελληνική αγορά σαν λύση αντιμετώπισης περιστατικών παραβίασης συστημάτων και διαρροής δεδομένων

Η Cromar Insurance Brokers (www.cromar.gr) , Εξουσιοδοτημένος Ανταποκριτής των Lloyds (Lloyds Coverholder) προσφέρει σε συνεργασία με τους Beazley, εταιρία με μεγάλη εμπειρία στην διαχείριση περιστατικών data breach, η οποία έχει διαχειριστεί άνω των 2.000 περιστατικών, με υψηλή αξιολόγηση (A Excellent, AM Best)   προσφέρει στην ελληνικη αγορά το Beazley Global Breach solution.

Tο Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων και επιτρέπει στις επιχειρήσεις να διαχειριστούν την αυξανόμενη ευθύνη τους λόγω της διαχείρισης μεγάλου όγκου προσωπικών δεδομένων των πελατών τους, καθώς και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη από πιθανή παραβίαση συστημάτων και απώλειας των δεδομένων αυτών.

Πως μπορεί κάποιος να εμπλουτίσει τις γνώσεις του για θέματα ασφάλισης και διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων

Δημιουργήσαμε την πρώτη ελληνική κοινότητα συζήτησης περιστατικών data breach στην οποία προσφέρουμε καθημερινή ενημέρωση μέσω του Cyber Risks Advisors Linkedin Group το οποίο είναι group στο Linkedin.

Η αποδοχή του συγκεκριμενου Group είναι μεγάλη και συμμετεχούν μέλη από όλο τον κόσμο και πολλοί Ελληνες που διαπρέπουν στο εξωτερικό σε τομείς που σχετίζονται με την διαχείριση περιστατικών data breach.

Αλλη μια Καινοτομία που κάναμε ειναι η δημιουργία του πρώτου ελληνικού website www.cyberinsurancegreece.com το οποίο αποτελεί ένα εργαλείο ενημέρωσης και γνώσης αντιμετώπισης περιστατικών παραβίασης ιδιωτικότητας.

Ποιες είναι οι ποιο συχνές απαντήσεις μη ασφάλισης μιας εταιρίας.

• Είμαστε ήδη ασφαλισμένοι για απώλεια δεδομένων από το συμβόλαιο Γενικής Αστικής Ευθύνης
• Οι εργαζόμενοι της εταιρίας γνωριζουν πως πρέπει να προστατεύσουν τα δεδομένα και την εταιρία
• Εχουμε το καλύτερο τμήμα μηχανογράφησης
• Το κόστος ανταπόκρισης σε ένα περιστατικό είναι πολύ μικρό
• Τα περισσότερα περιστατικά συμβαινουν σε μεγάλες εταιρίες

Νικος Γεωργόπουλος, Cyber Risks Advisor CyRM, Cromar Insurance Brokers

Ο Νίκος Γεωργόπουλος είναι κάτοχος ΜΒΑ από το ALBA Graduate Business School και πτυχίου Φυσικής του Πανεπιστημίου Πάτρας. Διαθέτει 22 έτη εργασιακή εμπειρία στο χρηματοοικονομικό τομέα (XIOSBANK, Alpha Trust, Generali Hellas) στους τομείς Marketing, Πωλήσεων και Εναλλακτικών Δικτύων, είναι μέλος του International Association of Privacy Professionals και Πιστοποιημένος Cyber Insurance Risk Manager (CyRM) Είναι δημιουργός του “Cyber Risks Advisors” Linkedin Group ,του www.privacyrisksadvisors.com και του www.Cyberinsurancegreece.com.