Τελευταία Νέα

Ν. Γεωργόπουλος (Cromar Insurance Brokers): Η ασφάλιση του διαδικτυακού εγκλήματος και η ελληνική αγορά

Ν. Γεωργόπουλος (Cromar Insurance Brokers): Η ασφάλιση του διαδικτυακού εγκλήματος και η ελληνική αγορά

Πολύ μεγάλο ποσοστό των εταιρικών περιουσιακών στοιχείων είναι άυλα και ανασφάλιστα

Του Νίκου Γεωργόπουλου *

Η αγορά της ασφάλισης cyber insurance διεθνώς σημείωσε ταχεία ανάπτυξη και γρήγορη εξέλιξη τα προηγούμενα έτη για να ανταποκριθεί στις ανάγκες των εταιρειών για ασφαλιστική κάλυψη των κυβερνοκινδύνων. Σήμερα, ως αποτέλεσμα της εκρηκτικής αύξησης των επιθέσεων ransomware, οι ασφαλιστικές εταιρείες έχουν οδηγηθεί στην επανεκτίμηση της διαδικασίας ανάληψης κινδύνου.
H εκρηκτική αύξηση των επιθέσεων ransomware (το μέσο κόστος ενός περιστατικού έφτασε τα 4,62 εκατ. δολ. σύμφωνα με τo report “Cost of Data Breach Report 2021” της IBM), οι οποίες δεν περιορίζονται από γεωγραφικά όρια και με τη χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης, οι επιθέσεις έχουν εξελιχθεί, κάνοντας οποιαδήποτε εταιρεία δυνητικό θύμα τους, αύξησε τον αριθμό των ζημιών των ασφαλιστικών εταιρειών δραματικά.

Επανεκτίμηση των συνθηκών και νέα πολιτική ανάληψης κινδύνου

Η αύξηση των ζημιών λόγω περιστατικών ransomware οδήγησε τις ασφαλιστικές εταιρείες στην επανεκτίμηση της διαδικασίας ανάληψης κινδύνου και στην επιλεκτική επιλογή εταιρειών προς ασφάλιση. Η επανεκτίμηση συνοδεύτηκε με μεγαλύτερο έλεγχο των τεχνικών και οργανωτικών μέτρων κάθε εταιρείας για την αντιμετώπιση περιστατικών παραβίασης, με χρήση ειδικού λογισμικού εξέτασης των συστημάτων της, με αλλαγές των παρεχόμενων καλύψεων, με μείωση ορίων ασφαλιστικής κάλυψης, εισαγωγή συνασφάλισης, αύξηση απαλλαγών και μεγάλες αυξήσεις ασφαλίστρων.
Η νέα πολιτική ανάληψης κινδύνου ζητά από τον ασφαλισμένο ή την υπό ασφάλιση εταιρεία να αποδείξει ότι έχει εφαρμόσει ενισχυμένα επίπεδα ελέγχου ασφάλειας για την πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά εξελιγμένα περιστατικά παραβίασης ασφάλειας.

Τα ελάχιστα μέτρα ασφαλείας

Τα ελάχιστα μέτρα ασφαλείας, που ζητάνε οι ασφαλιστές για εταιρείες με τζίρο έως 20.000.000 ευρώ είναι:

  • Ύπαρξη αντίγραφου ασφαλείας δεδομένων και ελεγμένες διαδικασίες ανάκτησής τους.

Ο στόχος του ransomware είναι να αναγκάσει την εταιρεία θύμα να πληρώσει λύτρα προκειμένου να αποκτήσει ξανά πρόσβαση στα κρυπτογραφημένα δεδομένα του. Η βιομηχανία του ransomware πλέον δεν αρκείται μόνο στο κλείδωμα των αρχείων αλλά και στην απειλή δημοσίευσης των δεδομένων που έχουν έρθει στην κατοχή τους πριν την εκδήλωση του εκβιασμού. Για να καταβάλλει μία εταιρεία-θύμα θα πρέπει να μην έχει δυνατότητα πρόσβασης σε αυτά. Μια σωστή διαδικασία δημιουργίας αντιγράφων ασφαλείας δεδομένων με ελεγμένη διαδικασία ανάκτησής της είναι ένας αποτελεσματικός τρόπος για να μετριαστεί ο κίνδυνος μιας επίθεσης ransomware.

  • Εκπαίδευση ευαισθητοποίησης του ανθρώπινου δυναμικού στον κυβερνοχώρο.

Ο πιο δημοφιλείς τρόπος διάδοσης κακόβουλου λογισμικού ransomware είναι τα μηνύματα ηλεκτρονικού ψαρέματος (phishing). Όταν ο χρήστης κάνοντας κλικ σε έναν σύνδεσμο ή να ανοίξει ένα συνημμένο κακόβουλο λογισμικό, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του χρήστη και στο εταιρικό δίκτυο. Η έλλεψη εκπαίδευσης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο είναι ζωτικής σημασίας για την προστασία του οργανισμού από το ransomware. Το μεγαλύτερο ποσοστό περιστατικών παραβίασης ασφάλειας οφείλεται σε ανθρώπινο λάθος και τουλάχιστον ένας στους τρείς ανεκπαίδευτους χρήστες πέφτουν θύματα περιστατικών ransomware.

  • Έλεγχος πρόσβασης χρήστη μέσω ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση.

Η επιβολή χρήσης ισχυρής πολιτικής κωδικών πρόσβασης, η απαίτηση της χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων, η εκπαίδευση των εργαζομένων σχετικά με επιθέσεις phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων σύνδεσης και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση στα εταιρικά συστήματα είναι όλα κρίσιμα στοιχεία της στρατηγικής ασφάλειας στον κυβερνοχώρο ενός οργανισμού.

  • Εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων.

Η εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων ειδικά εκείνων που χαρακτηρίζονται ως κρίσιμες μπορεί να συμβάλει στον περιορισμό των ευπαθειών ενός οργανισμού σε επιθέσεις ransomware.
Οι εταιρείες που δεν έχουν φροντίσει να έχουν τις κατάλληλες υποδομές και δεν έχουν δώσει έμφαση την εκπαίδευση του ανθρώπινου δυναμικού τους δεν έχουν πλέον δυνατότητα να ασφαλιστούν ή να διατηρήσουν το ασφαλιστικό πρόγραμμα και τις παροχές που έχουν.
Η ασφάλιση cyber insurance είναι ένα ασφαλιστικό προϊόν του οποίου η κάλυψη είναι παγκόσμια. Το Internet δεν έχει τόπο και ο κίνδυνος δεν κάνει διάκριση. Η Ελλάδα ανέβηκε στην 5η θέση παγκοσμίως στην κατάταξη των χωρών που δέχονται κυβερνοεπιθέσεις.

Οι εξελίξεις στην ελληνική αγορά

Οι μεταβολές που συνέβησαν στην διεθνή αγορά επηρέασαν ανάλογα και την ελληνική αγορά. Και στην ελληνική αγορά είχαμε μεγάλη αύξηση περιστατικών ransomware σε διάφορους τομείς ανεξαρτήτως μεγέθους εταιρείας. Το ποσοστό των περιστατικών παραβίασης ασφάλειας που κοινοποιήθηκαν στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα και οφείλονταν σε ransomware έφθασε το 30%.
Οι ελληνικές επιχειρήσεις βρέθηκαν σε ένα νέο τοπίο είτε όταν αναζητούσαν ασφαλιστική κάλυψη είτε ήταν σε διαδικασία ανανέωσης  υφιστάμενων προγραμμάτων. Συγκεκριμένα, οι ανανεώσεις των υφιστάμενων προγραμμάτων συνοδεύτηκαν από μεγάλα ποσοστά αυξήσεων, περιορισμούς στο ποσό της ασφαλιστικής κάλυψης, μερικές φορές ποσοστό συνασφάλισης και απαίτηση υλοποίησης συγκεκριμένων μέτρων εντός ορισμένου χρονικού διαστήματος για να  συνεχιστεί η ασφαλιστική κάλυψη. Πολλές εταιρείες που δεν είχαν ασφάλιση και ήθελαν να αγοράσουν δεν μπορούσαν γιατί τα μέτρα ασφαλείας δεν ήταν αρκετά.
Ένα ακόμα παγκόσμιο φαινόμενο είναι η έλλειψη κατανόησης των κινδύνων που συνδέονται με τον κυβερνοχώρο από τα στελέχη και τους υπαλλήλους των εταιριών κάτι που έκανε την κάθε εταιρεία πιο ευάλωτη.
Η περίοδος της πανδημίας αύξησε τους κινδύνους που αντιμετωπίζει κάθε εταιρεία. Ο ψηφιακός μετασχηματισμός, που έλαβε χώρα κατά την διάρκεια της πανδημίας εξέθεσε τις εταιρείες σε νέους κινδύνους για την διαχείριση των οποίων χρειάζεται και ασφάλιση cyber insurance. Χωρίς την υιοθέτηση νέων υπηρεσιών εξυπηρέτησης οι περισσότερες εταιρείες θα βρίσκονταν στο φάσμα της χρεωκοπίας.
Σήμερα ένα πολύ μεγάλο ποσοστό των εταιρικών περιουσιακών στοιχείων είναι άυλα και ανασφάλιστα.  Άυλα περιουσιακά στοιχεία είναι π.χ είναι τα δεδομένα των πελατών της, οι πατέντες που διατηρεί.
H ασφάλιση πλέον θα πρέπει να αντιμετωπίζεται σαν εταιρική υποδομή η οποία προσφέρει ανταγωνιστικό πλεονέκτημα στις εταιρείες που την έχουν υιοθετήσει.  Αυτό που βλέπουμε είναι οτι η ύπαρξη ασφάλισης έχει καταστεί υποχρεωτική για την συμμετοχή σε έργα ασφάλειας πληροφοριακών συστημάτων, σε περιπτώσεις συγχωνεύσεων και εξαγορών και σε εταιρικές συνεργασίες.

* Ο Νίκος Γεωργόπουλος είναι Cyber Privacy Risks Insurance Advisor της Cromar Insurance Brokers SA., Co-Founder DPO Academy

www.bankingnews.gr

Χορηγοί
Αφιερώματος

Ρoή Ειδήσεων

Σχόλια αναγνωστών

Δείτε επίσης