[starbox]

Η ασφάλιση του κυβερνοχώρου αποτελεί ένα από τα ζητήματα που απασχολούν τα τελευταία χρόνια τις επιχειρήσεις και κυρίως τους οργανισμούς που χειρίζονται μεγάλες βάσεις δεδομένων και δίκτυα μεγάλης εμβέλειας. Σύμφωνα με τον κ. Μ. Κολέτσο, επικεφαλής στη Διεύθυνση Ασφαλίσεων Λοιπών Γενικών Κλάδων,Senior Risk Underwriter στην Εθνική Ασφαλιστική, η ανάγκη προστασίας των εταιρικών βάσεων δεδομένων, η ανάγκη προστασίας από εκβιασμούς μέσω του διαδικτύου καθώς και από ευθύνες  απορρέουσες από αμέλεια κατά τη διαχείριση προσωπικών δεδομένων ώθησαν τις επιχειρήσεις να εκφράσουν ενδιαφέρον για προγράμματα ασφάλισης των κινδύνων που πηγάζουν από το κυβερνοχώρο. Αν και οι κίνδυνοι από τέτοιου είδους επιθέσεις μπορεί να απειλήσουν επιχειρήσεις κάθε μεγέθους, ωστόσο φαίνεται πως οι μεγαλύτερες επιχειρήσεις είναι περισσότερο εκτεθειμένες.

Ποιοι είναι οι κυβερνοκίνδυνοι και ποιες επιχειρήσεις αφορούν; Τι επιπτώσεις μπορεί να έχουν στη λειτουργία μία επιχείρησης.

Στο πλαίσιο της διαρκώς αναπτυσσόμενης ψηφιακής οικονομίας οι κίνδυνοι που διατρέχουν πλέον οι επιχειρήσεις και οι οργανισμοί από τη χρήση δικτύων επικοινωνίας μέσω ηλεκτρονικών υπολογιστών είναι μεγάλης έντασης και μπορεί δυνητικά να αποδειχθούν καταστροφικοί για την ίδια τη λειτουργία της επιχείρησης. Ο όρος ¨Κυβερνοκίνδυνοι¨ αναφέρεται σε ένα μεγάλο εύρος κινδύνων σχετιζόμενων με τον κυβερνοχώρο και αφορούν  τη κλοπή/καταστροφή προσωπικών δεδομένων, τη κλοπή/ διάδοση εμπορικών μυστικών και στοιχείων πνευματικής ιδιοκτησίας, ηλεκτρονικές απάτες καθώς και χρήση προγραμμάτων ιών υπολογιστών με σκοπό πάντα είτε την αποκόμιση ιδίου οφέλους ή τη καταστροφή εμπορικών δεδομένων και πληροφοριακών συστημάτων.

Η φύση αυτών των κινδύνων αφορά όλες τις επιχειρήσεις οι οποίες, στο πλαίσιο  του ιδιαίτερα ανταγωνιστικού περιβάλλοντος μέσα στο οποίο λειτουργούν, χρησιμοποιούν τοπικά δίκτυα ή δίκτυα ευρείας εμβέλειας προκειμένου να επιβιώσουν και να αναπτυχθούν. Η καταγραφή βέβαια των γεγονότων μαρτυρά ότι μεγάλες επιχειρήσεις και οργανισμοί είναι περισσότερο ευάλωτοι και εκτεθειμένοι σε επιθέσεις στο κυβερνοχώρο λόγω φυσικά του μεγάλου κέρδους που αναμένει να αποκομίσει ή της μεγάλης ζημιάς που επιθυμεί να προκαλέσει ένας ¨ψηφιακός τρομοκράτης¨, αλλά και των κενών στην ασφάλεια που πιθανόν να υπάρχουν και δεν είναι άμεσα και εύκολα αναγνωρίσιμα σε τέτοιου είδους επιχειρήσεις.

Οι επιπτώσεις τέτοιων κινδύνων περιλαμβάνουν, μεταξύ άλλων, δυσφήμηση, θέματα ευθύνης έναντι τρίτων, επιβολή προστίμων από δημόσιες αρχές, απώλεια εργασιών και εσόδων, απώλεια βιομηχανικών μυστικών, αυξημένο κόστος εκτέλεσης εργασιών, απώλεια περιουσίας καθώς και απώλεια εισοδήματος λόγω διακοπής λειτουργίας δικτύων και προβλημάτων κατά τη λειτουργία υπολογιστών.

 Έρευνες που έχουν γίνει στο εξωτερικό δείχνουν ότι το ενδιαφέρον των επιχειρήσεων να μάθουν για την ασφάλιση που αφορά σε διαδικτυακούς κινδύνους αυξάνεται συνεχώς. Είναι αντίστοιχη και η εικόνα στην Ελλάδα;

H ασφάλιση κυβερνοχώρου αποκτά ολοένα μεγαλύτερο ενδιαφέρον για τους Ασφαλιστές και τις επιχειρήσεις.  Η ανάγκη προστασίας των εταιρικών βάσεων δεδομένων, η ανάγκη προστασίας από εκβιασμούς μέσω του διαδικτύου καθώς και από ευθύνες  απορρέουσες από αμέλεια κατά τη διαχείριση προσωπικών δεδομένων είναι μερικοί από τους λόγους που ώθησαν τις επιχειρήσεις να εκφράσουν ενδιαφέρον για προγράμματα ασφάλισης των κινδύνων που πηγάζουν από το κυβερνοχώρο.

Σύμφωνα με στοιχεία της αγοράς, οι Ασφαλισμένοι καλύπτονται έναντι κινδύνων του διαδικτύου με:

–          Χρήση Εμπορικών Συμβολαίων γενικής ευθύνης τα οποία περιλαμβάνουν και καλύψεις κινδύνων κυβερνοχώρου.

–          Χρήση  διαφόρων τύπων ασφαλιστηρίων συμβολαίων τα οποία όμως δεν εστιάζουν απόλυτα στους κινδύνους κυβερνοχώρου π.χ. συμβόλαια Ευθύνης Διευθυντών & Στελεχών και Διακοπής Εργασιών.

–          Ανεξάρτητα συμβόλαια ασφάλισης κυβερνοχώρου.

Τα παραδοσιακά ασφαλιστήρια συμβόλαια ενδέχεται ωστόσο να μην είναι σε θέση να αντιμετωπίσουν αποτελεσματικά τους κινδύνους που αντιμετωπίζει ένας οργανισμός στα πλαίσια του ηλεκτρονικού εμπορίου και της παγκόσμιας ψηφιακής οικονομίας. Εταιρείες και μεγάλοι οργανισμοί στην Ευρώπη στρέφονται συνεχώς στις ασφαλιστικές εταιρείες αναζητώντας ένα σύμμαχο στην αντιμετώπιση των κινδύνων, που πηγάζουν από τη χρήση του κυβερνοχώρου, μέσω εξειδικευμένων ασφαλιστικών προγραμμάτων. Μερικές από τις καλύψεις που περιλαμβάνουν τα υπάρχοντα προγράμματα ασφάλισης κυβερνοχώρου είναι οι παρακάτω:

–          Ευθύνη και έξοδα από παραβίαση συστημάτων ασφαλείας

–          Ευθύνη από λάθη και παραλείψεις προγραμματισμού

–          Αποκατάσταση ηλεκτρονικών δεδομένων

–          Απώλειες από διακοπή εργασίας και επιπλέον έξοδα

–          Έξοδα δημοσίων σχέσεων

Ωστόσο η αξιολόγηση αυτού του είδους των κινδύνων δεν είναι εύκολη υπόθεση για τον Ασφαλιστή. Η έλλειψη ιστορικών στοιχείων, η δυσκολία στην ποσοτικοποίηση της πιθανής ζημιάς που ενδέχεται να κληθεί να αποζημιώσει ο Ασφαλιστής, ο ηθικός κίνδυνος, η συνεχής και ραγδαία ανάπτυξη της τεχνολογίας η οποία καθιστά τα συστήματα ασφαλείας ολοένα και πιο ευάλωτα σε εξωτερικές παραβιάσεις, η φύση των κινδύνων και η μέτρηση μιας καταστροφικής ζημιάς, η ανάγκη για συνεχή επικοινωνία ανάμεσα σε Ασφαλιστή και Ασφαλισμένο είναι μερικές από τις παραμέτρους που πρέπει να ληφθούν υπόψη κατά τη διαδικασία αξιολόγησης και τιμολόγησης του κινδύνου.

Είναι επαρκή –από άποψη καλύψεων- τα προγράμματα ασφάλισης έναντι των κινδύνων του διαδικτύου που υπάρχουν στην Ελλάδα;

Στην Ελληνική Αγορά κατά καιρούς εκφράζεται έντονη ζήτηση για την ασφάλιση των κινδύνων του κυβερνοχώρου και ειδικά από μεγάλες εταιρείες και οργανισμούς. Αν και  η ασφαλιστική αγορά δεν έχει ακόμα να παρουσιάσει ώριμα και επαρκή στοιχεία αναφορικά με τέτοιου τύπου ασφάλιση, προτείνονται λύσεις μέσα από δομημένα ασφαλιστήρια συμβόλαια τα οποία υποστηρίζονται αντασφαλιστικά από αγορές με εμπειρία στη διαχείριση τέτοιων κινδύνων.

Ποιες λύσεις-προγράμματα προτείνει η εταιρεία σας;

Στα πλαίσια αυτά λειτουργεί και η Εθνική Ασφαλιστική η οποία αν και δεν έχει προχωρήσει στο σχεδιασμό ενός αυτοτελούς και ανεξάρτητου προγράμματος ασφάλισης έναντι των κινδύνων του κυβερνοχώρου, είναι σε θέση να προσεγγίσει τον κίνδυνο κατά περίπτωση και να προσφέρει τις απαραίτητες λύσεις στον Ασφαλισμένο.

Καταλήγοντας,  η ασφάλιση κυβερνοχώρου αρχίζει πλέον να φαίνεται ελκυστική λύση για μια εταιρεία που καλείται να αντιμετωπίσει ουσιαστικά τους έντονα αυξανόμενους κινδύνους που πηγάζουν από τη χρήση του κυβερνοχώρου. Υπάρχουν ωστόσο μεγάλα περιθώρια βελτίωσης έτσι ώστε να δομηθεί  ένα  ασφαλιστικό προϊόν το οποίο να είναι αμοιβαία επωφελές τόσο για τον Ασφαλισμένο όσο και για τον Ασφαλιστή.

[starbox]

Τη σύνθετη φύση των διαδικτυακών κινδύνων και τα προβλήματα που μπορεί να δημιουργήσουν στις επιχειρήσεις αναλύει ο Κώστας Βούλγαρης, Financial Lines Head, Greece, Cyprus & Malta στην AIG.  Τα τελευταία χρόνια λόγω της αύξησης των επιθέσεων διεθνώς πολλές επιχειρήσεις στρέφονται προς την ασφαλιστική αγορά και την προστασία που μπορεί να τους προσφέρει μέσω των προγραμμάτων της. Όπως αναφέρει έρευνα που διεξήχθη την περασμένη χρονιά σε ΗΠΑ και Καναδά για λογαριασμό της AIG, έδειξε ότι πάνω από το 85% των στελεχών των επιχειρήσεων ανησυχεί ε για τις ηλεκτρονικές και διαδικτυακές απειλές στην επιχείρησή τους

• Ποιοι είναι οι κυβερνοκίνδυνοι και ποιες επιχειρήσεις αφορούν; Τι επιπτώσεις μπορεί να έχουν στη λειτουργία μία επιχείρησης;

Ο όρος Cyber Risks ή αλλιώς «Κυβερνοκίνδυνοι» περιλαμβάνει μια πολύ ευρεία αλλά και σοβαρή σειρά κινδύνων, η οποία μέχρι πριν από μερικές δεκαετίες δεν υπήρχε καν. Αν θέλαμε να συνοψίσουμε το ακριβώς είναι, θα λέγαμε πως πρόκειται για απειλές στα δεδομένα και τα συστήματα μιας εταιρίας. Έτσι στην κατηγορία αυτή θα δούμε τη διαρροή και την απώλεια δεδομένων, από εσωτερικές ή εξωτερικές επιθέσεις, ή αμέλεια στη χρήση. Η επιχείρηση ενδέχεται επίσης να αντιμετωπίσει σημαντικά προβλήματα εξαιτίας δυσλειτουργίας των ηλεκτρονικών της συστημάτων, αλλά και αλλοίωση ή και διακοπή της παρουσίας της στο διαδίκτυο, ως συνέπεια κακόβουλης επίθεσης ή απλά ανθρώπινου λάθους.

Ανεξάρτητα όμως από την προέλευση των κινδύνων, αυτό που πρέπει να κρατήσουμε κατά νου είναι η σύνθετη φύση τους καθώς και οι επιπτώσεις που μπορεί να έχουν σε μια επιχείρηση. Κατά πρώτον έχουμε να αντιμετωπίσουμε την απώλεια δεδομένων που μπορεί να συνεπάγεται και κλοπή προσωπικών στοιχείων των πελατών μια εταιρίας. Αυτό αυτομάτως σημαίνει οικονομικές επιπτώσεις για αποζημιώσεις, νομικά έξοδα αλλά και απώλεια κερδών. Κατά δεύτερον μιλάμε για προβλήματα στο τμήμα ΙΤ που καλείται να επιλύσει τα προβλήματα αυτά και να αποκαταστήσει τη ζημιά το συντομότερο δυνατό και φυσικά μια μεγάλη κρίση εταιρικής φήμης αλλά και απέναντι στη διοίκηση επιχείρησης.

Εδώ πρέπει να τονίσουμε επίσης ότι υπάρχει μια λανθασμένη αντίληψη σχετικά με τη φύση των εταιριών οι οποίες ενδέχεται να πέσουν θύματα μιας τέτοιας επίθεσης. Μπορεί ο κόσμος να φέρνει στο νου του π.χ. τις τράπεζες ως τα πιο πιθανά θύματα, αλλά η αλήθεια είναι πως κάθε επιχείρηση, από μια μικρομεσαία μέχρι έναν μεγάλο χρηματοοικονομικό οργανισμό με παγκόσμια παρουσία, ενδέχεται να βρεθούν αντιμέτωποι με τέτοιου είδους κινδύνους.

• Έρευνες που έχουν γίνει στο εξωτερικό δείχνουν ότι το ενδιαφέρον των επιχειρήσεων να μάθουν για την ασφάλιση που αφορά σε διαδικτυακούς κινδύνους αυξάνεται συνεχώς. Είναι αντίστοιχη και η εικόνα στην Ελλάδα;

Πράγματι η ανησυχία για τις συνέπειες των ηλεκτρονικών και διαδικτυακών κινδύνων αυξάνεται ολοένα και περισσότερο. Μάλιστα, έρευνα που διεξήχθη την περασμένη χρονιά σε ΗΠΑ και Καναδά για λογαριασμό της AIG, έδειξε ότι πάνω από το 85% των στελεχών των επιχειρήσεων ανησυχεί είτε μεγάλο είτε σε μέτριο βαθμό για τις ηλεκτρονικές και διαδικτυακές απειλές στην επιχείρησή τους. Το ποσοστό μάλιστα ήταν μεγαλύτερο από άλλες κατηγορίες κινδύνων, όπως η απώλεια εσόδων ή οι ζημιές στην περιουσία της εταιρίας.

Παρόλο που αντίστοιχη έρευνα δεν έχει διεξαχθεί στην Ελλάδα, μπορούμε με σιγουριά να πούμε πως πλέον οι επιχειρήσεις αντιμετωπίζουν ιδιαίτερα σοβαρά τη συγκεκριμένη κατηγορία απειλών. Δεν μπορούμε φυσικά να συγκρίνουμε την Ελλάδα με περισσότερο ώριμες αγορές όπως αυτή των ΗΠΑ, αλλά σίγουρα το ζήτημα έχει ανέβει υψηλά στην ατζέντα των επιχειρήσεων, αφενός γιατί αντιλαμβάνονται τις επιπτώσεις τους, αφετέρου γιατί η Ελλάδα είναι ήδη στον χάρτη των χωρών που δέχονται επιθέσεις. Αξίζει μάλιστα να σημειώσουμε πρόσφατη έρευνα γνωστής εταιρίας λογισμικού ασφαλείας που δημοσιεύτηκε στις αρχές Ιουλίου: σύμφωνα με αυτήν η Ελλάδα είναι μέσα στις δέκα χώρες με ενεργές επιθέσεις σε εταιρίες του ενεργειακού τομέα.

• Είναι επαρκή –από άποψη καλύψεων- τα προγράμματα ασφάλισης έναντι των κινδύνων του διαδικτύου που υπάρχουν στην Ελλάδα;

Καθώς η φύση των κινδύνων αυτών είναι τόσο σύνθετη, δεν θα έκρινα ως επαρκές ένα πρόγραμμα μόνο με βάση τις καλύψεις.

Σίγουρα οι καλύψεις είναι σημαντικές αλλά στη συγκεκριμένη κατηγορία απειλών η ασφαλιστική εταιρία οφείλει να είναι σύμβουλος του πελάτη: να του δείξει πώς πρέπει να προφυλαχθεί επαρκώς για να αποφύγει τις επιπτώσεις μιας ζημιάς, αλλά και στην περίπτωση που υπάρξει κάποιο συμβάν να παρέχει επιπλέον υπηρεσίες από πραγματογνώμονες και ειδικούς συμβούλους που θα βοηθήσουν τον ασφαλισμένο να το αντιμετωπίσει άμεσα και με επιτυχία.

Επιπλέον η ασφαλιστική θα πρέπει να προσφέρει και υψηλά όρια: μια τέτοιο περιστατικό ενδέχεται να έχει ως αποτέλεσμα υπέρογκα έξοδα σε αποζημιώσεις, νομικά έξοδα, αλλά και απώλεια κερδών. Τέλος, είναι σημαντικό να επιλεγεί μια εταιρία με μεγάλη τεχνογνωσία στον τομέα αυτόν, ώστε να μπορεί να υποστηρίξει τον ασφαλισμένο σε κάθε του αίτημα και να χρησιμοποιεί την εμπειρία της για να προβλέψει τις ανερχόμενες μελλοντικές απειλές. Με βάση τα παραπάνω, πράγματι, μπορούμε να πούμε πως υπάρχουν εταιρίες που καλύπτουν επαρκώς τις ανάγκες των ασφαλισμένων στον τομέα αυτόν.

• Ποιες λύσεις-προγράμματα προτείνει η εταιρεία σας;

Eιδικά για τους ηλεκτρονικούς και διαδικτυακούς κινδύνους, η AIG έχει δημιουργήσει το εξειδικευμένο πρόγραμμα CyberEdgeπου περιλαμβάνει τόσο τις περισσότερο «τυπικές» ασφαλιστικές καλύψεις, όσο και συμβουλευτικές υπηρεσίες από εμπειρογνώμονες για την προφύλαξη και αντιμετώπιση μιας κρίσης.

Σε ό,τι αφορά το καθαρά ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων που μπορεί να προκύψουν μετά από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης, ή απώλεια δεδομένων από φορητές συσκευές. Καλύπτονται επίσης τα έξοδα αποκατάστασης, εκ νέου περισυλλογής ή αναδημιουργίας των δεδομένων, ενώ προαιρετικά μπορούν να συμπεριληφθούν και οι χρηματικές απώλειες που θα προκύψουν όταν διακοπεί η λειτουργία των συστημάτων μιας επιχείρησης, ή εάν υπάρξει εκβιασμός μετά από διαρροή δεδομένων.

Προχωρώντας ένα βήμα πέρα από τα τυπικά ασφαλιστήρια, το CyberEdge μέσα από ένα μηχανισμό που έχει στηθεί στην Ελλάδα, για τις ελληνικές επιχειρήσεις, καλύπτει την διεκπεραίωση της απαραίτητης σχετικής έρευνας από εξειδικευμένους συμβούλους πληροφορικής οι οποίοι θα αναλάβουν να ενημερώσουν την Αρχή Προστασίας Προσωπικών Δεδομένων σχετικά με τις συνθήκες του συμβάντος, καθώς και για τα τεχνικά μέτρα που θα λάβει η επιχείρηση προκειμένου να αποφευχθεί αντίστοιχο περιστατικό στο μέλλον.  Επιπροσθέτως, περιλαμβάνει το κόστος των υπηρεσιών που θα είναι απαραίτητες σε αντίστοιχα περιστατικά, όπως αυτές των νομικών συμβούλων, των πραγματογνωμόνων που θα κληθούν να διερευνήσουν τις συνθήκες και το μέγεθος της διαρροής των δεδομένων – και να τη σταματήσουν αν συνεχίζεται – καθώς και των συμβούλων επικοινωνίας και δημοσίων σχέσεων που θα καταρτίσουν ένα  ενδελεχές πλάνο επικοινωνίας και διαχείρισης κρίσης προς εσωτερικά και εξωτερικά κοινά.