Ποια είναι η υφιστάμενη κατάσταση στην Ελλάδα και τα 4 πράγματα που μας δίδαξε η κυβερνοεπίθεση “WannaCry”
Καθώς βρισκόμαστε στον απόηχο μιας από τις πιο εκτεταμένες κυβερνοεπιθέσεις που συνέβησαν έως σήμερα, οι εκτιμήσεις για το πραγματικό εύρος των ζημιών που υπέστησαν διάφορες επιχειρήσεις σε όλο τον κόσμο ποικίλουν, ενώ οι ειδικοί της ασφάλειας πληροφοριών εκφράζουν ανησυχίες για επικείμενες νέες επιθέσεις, ανάλογου χαρακτήρα.
Στην Ελλάδα υπάρχουν ήδη καταγεγραμμένα κρούσματα ζημιών, στοιχείο το οποίο καταδεικνύει πως το κυβερνοέγκλημα είναι ήδη μεταξύ των απειλών του τοπικού επιχειρείν. Παρόλα αυτά, η ευαισθητοποίηση των επιχειρήσεων σε θέματα ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων δεν είναι εμφανής, συγκριτικά με την κατάσταση στις υπόλοιπες χώρες της Ευρωπαϊκής Ένωσης.
Η πρόσφατη κυβερνοεπίθεση μας διδάσκει τέσσερα πράγματα, που αναδεικνύουν τόσο τη σπουδαιότητα της ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων, όσο και την ανάγκη αυτή να επιλεγεί με ορθολογικό τρόπο και όχι ως μια μεμονωμένη λύση, που θα κληθεί να λειτουργήσει ως «μαγικό ραβδί» σε περίπτωση ζημιάς.
Προσδιορισμός του κινδύνου – Η αρχή της σωστής ασφάλισης
Το πρώτο δίδαγμα αφορά στην κατανόηση του κινδύνου που διατρέχει μια επιχείρηση, ώστε να προσδιοριστεί το είδος των καλύψεων που θα επιλεγούν. Τα διαθέσιμα συμβόλαια στην Ελληνική ασφαλιστική αγορά προσφέρουν τις ακόλουθες βασικές καλύψεις:
- Αστικής ευθύνης έναντι τρίτων, συνεπεία κυβερνοεπίθεσης
- Δαπανών διοικητικών υποχρεώσεων (νομική προστασία και διοικητικά πρόστιμα)
- Δαπανών διαχείρισης γεγονότων
Προαιρετικά παρέχονται καλύψεις όπως:
- Απώλειας καθαρού κέρδους, συνεπεία διακοπής λειτουργίας του δικτύου
- Δαπανών εκβιασμού
- Παραβίασης πνευματικής ιδιοκτησίας
Στις διεθνείς αγορές υπάρχει και η δυνατότητα κάλυψης φυσικής ζημιά στα πάγια περιουσιακά στοιχεία μιας επιχείρησης, συνεπεία μιας κυβερνοεπίθεσης. Ο κίνδυνος αυτός αναμένεται να λάβει σημαντικές διαστάσεις με την αύξηση των τεχνολογιών διασύνδεσης και εκείνη του Internet of Things (IoT).
Νομοθετικές αλλαγές και νέες ανάγκες
Το δεύτερο δίδαγμα αφορά στην κατανόηση των απαιτήσεων που φέρνει η Ευρωπαϊκή Νομοθεσία περί Προστασίας Προσωπικών Δεδομένων (GDPR). Χαρακτηριστικά στοιχεία της νέας νομοθεσίας η οποία ενσωματώνεται στο τοπικό δίκαιο μέχρι 28/05/2018, είναι τα υψηλά πρόστιμα τα οποία μπορεί να φθάσουν τα 20.000.000 ευρώ ή το 4% του συνολικού παγκοσμίου κύκλου εργασιών μιας επιχείρησης. Πέραν των προστίμων, ο προσδιορισμός των κινδύνων ασφαλείας πληροφοριών και η λήψη προληπτικών μέτρων αποκτούν πλέον ισχυρή κανονιστική διάσταση.
Ποσοτικοποίηση του κινδύνου και ασφάλιση
Το τρίτο δίδαγμα αναδεικνύει τη χρησιμότητα εκτίμησης του δυνητικού οικονομικού κόστους, του σχετικού κινδύνου. Πολλές φορές επικρατεί η εσφαλμένη αντίληψη πως το κόστος του αφορά μόνο τα πρόστιμα, ή πως είναι εξ ολοκλήρου ασφαλίσιμο. Η πραγματικότητα ωστόσο μπορεί να είναι πολύ διαφορετική, καθώς μέσα από την ποσοτικοποίηση του κινδύνου εκτιμώνται τόσο οι ασφαλίσιμες όσο και οι μη ασφαλίσιμες συνιστώσες του, σε περίπτωση ζημιάς. Η ποσοτικοποίηση του κινδύνου επιτρέπει την ορθολογική επιλογή του εύρους των ορίων και των υπο-ορίων κάλυψης. Παράλληλα, αιτιολογεί αντικειμενικά την λήψη κάθε συμπληρωματικού διοικητικού ή τεχνολογικού μέτρου προστασίας πληροφοριών.
Προληπτικός σχεδιασμός αντίδρασης
Το τέταρτο δίδαγμα είναι η ανάγκη προληπτικού σχεδιασμού μέτρων αντίδρασης, σε περίπτωση περιστατικού ζημιάς. Το στοιχείο αυτό μαζί με τον προσδιορισμό του κινδύνου που αναφέρθηκε, είναι μερικές από τις ανάγκες που ισχυροποιεί περαιτέρω η νέα νομοθεσία. Ο προληπτικός σχεδιασμός λειτουργεί συμπληρωματικά με τις παροχές της ασφάλισης, σε επίπεδο διαχείρισης περιστατικού, ενώ το βασικό όφελός του έγκειται στο ότι μπορεί να συμβάλει ριζικά στη μείωση του αντικτύπου μιας ζημιάς και κυρίως στον περιορισμό των μη ασφαλίσιμων δαπανών που ενδέχεται να ανακύψουν.
Σε γενικές γραμμές, οι επικείμενες νομοθετικές αλλαγές, σε συνδυασμό με την ανάπτυξη των τεχνολογιών διασύνδεσης και της ψηφιοποίησης πολλών εταιρικών δραστηριοτήτων, έστω και με αργούς για τα ελληνικά δεδομένα ρυθμούς, εκτιμάται πως θα αναδείξουν την πολλαπλή σημασία της ασφάλισης έναντι των κυβερνοαπειλών και του ορθολογικού σχεδιασμού της.
Γιάννης Παπαγεωργίου
Senior Risk Consultant | Risk Consulting, Cyber Solutions
+30 213 017 7100 (Αθήνα)
[email protected]