Skip to content

Η “ασύμμετρη” απειλή (ή ευκαιρία;) του Cyber Risk για την ασφαλιστική αγορά 

Γράφει ο Κοσμάς Ζακυνθινός
kosmas@underwriter.gr

Καινοτομία, ψηφιακή επανάσταση, ηλεκτρονικό έγκλημα και διαδικτυακοί κίνδυνοι δημιουργούν ένα σύνθετο μείγμα νέων προκλήσεων για το παγκόσμιο επιχειρείν, ενεργοποιώντας την ασφαλιστική αγορά προκειμένου να δημιουργήσει «αναχώματα» στις αναδυόμενες απειλές.

Η έλευση της ψηφιακής εποχής, αυξάνει τους κινδύνους του Cyber Risk διεθνώς, αποτελώντας μια διαρκώς αυξανόμενη απειλή για επιχειρήσεις και πολίτες, όπως τόνισε η Μαργαρίτα Αντωνάκη, Γενική Διευθύντρια της ΕΑΕΕ χαιρετίζοντας την ειδική ημερίδα «Ασφάλιση Κινδύνων Κυβερνοχώρου» (Cyber Risk Insurance), που διοργάνωσε η Ένωση.

Η ασφάλεια των συστημάτων δικτύων και των πληροφοριών παίζει σημαντικό ρόλο για την κοινωνία. Αυτό πηγάζει από την πολυπλοκότητα των πληροφοριακών συστημάτων, τα ατυχήματα, τα λάθη και τις επιθέσεις στις φυσικές υποδομές που παρέχουν κρίσιμες υπηρεσίες στους πολίτες της Ευρωπαϊκής Ένωσης.

To World Economic Forum στην έκθεση του 2018 για τους Global Risks συνηγορεί ότι η κυβερνοασφάλεια αποτελεί έναν από τους πέντε μεγαλύτερους κινδύνους που αντιμετωπίζουν σήμερα οι κυβερνήσεις, οργανισμοί και οι κοινωνίες των πολιτών σε όλο τον κόσμο.

Στην πράξη η αύξηση των κυβερνοεπιθέσεων έχει διττή σημασία, καθώς εκτός από αρνητική έχει και θετική πλευρά. Ολοένα και περισσότεροι οργανισμοί ενημερώνονται για τους κινδύνους μέσω κυβερνοχώρου που αντιμετωπίζουν καθημερινά και κατανοούν όλο και περισσότερο την ανάγκη να τους διαχειριστούν αποτελεσματικά.

«Αντιμέτωπη με τέτοιες προκλήσεις, η κοινωνία μας πρέπει να συσπειρωθεί σε κάθε επίπεδο – ατομικά, επαγγελματικά, εταιρικά. Αυτό ισχύει ιδιαίτερα για τις μικρές επιχειρήσεις που δεν είχαν το χρόνο, την εμπειρία ή τα μέσα για να δημιουργήσουν τη δική τους αμυντική πολιτική. Εκείνοι που διαβεβαίωσαν τον εαυτό τους ότι οι hackers θα κυνηγούσαν μόνο τα “μεγάλα ψάρια” είναι σίγουρα εκτεθειμένοι. Όλα τα στοιχεία δείχνουν πως αρχίζοντας από την Αμερική, όπου παράγεται σήμερα το 90% των ασφαλίστρων της παγκόσμιας αγοράς, που θεωρείται ακόμη εμβρυακή, συνεχώς περισσότεροι συνειδητοποιούν τον κίνδυνο και ασφαλίζονται», σύμφωνα με την κα Αντωνάκη.

Όμως, πώς αντιμετωπίζει η δική μας κοινωνία αυτόν το νέο κίνδυνο; Πώς βλέπουν το θέμα οι ασφαλιστές; Το θέμα του Cyber Risk είναι τελικά πρόκληση ή ευκαιρία; Ή και τα δύο μαζί;

Στα ερωτήματα αυτά κλήθηκαν να απαντήσουν διακεκριμένοι ομιλητές από την Ελλάδα και το εξωτερικό, παρουσιάζοντας τη δική τους εμπειρία και τεχνογνωσία…

Nicolas Jeanmart: Σε 3 άξονες η προστασία της Ε.Ε.

Το Cyber Risk απασχολεί έντονα τους κόλπους της Ευρωπαϊκής Ένωσης, όπως τόνισε από πλευράς του ο Nicolas Jeanmart της Insurance Europe, υπερθεματίζοντας των δράσεων που έχουν καθοριστική πλέον επίδραση στις συνήθειες χιλιάδων επιχειρήσεων και πολιτών. Με κύριους άξονες το GDPR, το NIS Directive και τον ENISA η Ευρωπαϊκή Ένωση θωρακίζεται ενάντια στις απειλές, όπως τόνισε ο επικεφαλής προσωπικών ασφαλίσεων, του τομέα ασφαλειών γενικού κλάδου και μακροοικονομίας της Insurance Europe.

Ο νέος κανονισμός της Ε.Ε. για την προστασία προσωπικών δεδομένων GDPR που τέθηκε σε ισχύ τον Μάιο του 2018, η Οδηγία για την ασφάλεια των δικτύων και των συστημάτων πληροφοριών (NIS Directive) που τέθηκε σε ισχύ τον φετινό Αύγουστο και η φιλοδοξία του ENISA να γίνει ο νέος «οργανισμός στον τομέα ασφάλειας κυβερνοχώρου στην Ε.Ε.» πριν από το τέλος του 2018, συνθέτουν το τρίπτυχο προτεραιοτήτων σε επίπεδο ευρωζώνης.

Ο ENISA (Οργανισμός της Ευρωπαϊκής Ένωσης για την Ασφάλεια Δικτύων και Πληροφοριών) ιδρύθηκε το 2004 με σκοπό να βοηθά τα κράτη μέλη της Ε.Ε. να εξοπλίζονται και να προετοιμάζονται καλύτερα ώστε να προλαμβάνουν και να αντιμετωπίζουν προβλήματα που αφορούν την ασφάλεια των πληροφοριών. Πλέον, δεδομένης της τεράστιας διάστασης που λαμβάνει το θέμα του Ciber Risk, ο ENISA αναλαμβάνει επιτελικό ρόλο σε θέματα ασφαλείας που αφορούν την ευρωζώνη.

Παραθέτοντας μια σειρά από πρωτοσέλιδα στον διεθνή Τύπου που απασχόλησαν την παγκόσμια σκηνή το τελευταίο διάστημα, με κυβερνοεπιθέσεις από Ρωσία, Κίνα κ.α. στον τομέα της Υγείας, Τεχνολογίας και άλλων Υπηρεσιών, ο Nicolas Jeanmart επεσήμανε την αύξηση των αποζημιώσεων στα ασφάλιστρα από επιθέσεις στον κυβερνοχώρο στη μεγαλύτερη αγορά παγκοσμίως, των ΗΠΑ.

Σύμφωνα με τα στοιχεία της Insurance Europe, το κόστος των κυβερνοεπιθέσεων στις ΗΠΑ το 2017 ανήλθε σε 1,8 δισ. δολ. από 1,35 δισ. δολ. το 2016. Αντίστοιχη αύξηση παρουσιάζει και ο αριθμός των «επιθέσεων» καθώς την περυσινή χρονιά καταγράφηκαν 2.584 κρούσματα, από 2.087 την αντίστοιχη προηγούμενη (2016).

Scott Sayce: Πολυπλοκότητα στα προϊόντα κάλυψης

Την πολυπλοκότητα ασφαλιστικής κάλυψης εξαιτίας των εκατοντάδων παραλλαγών που έχουν οι κυβερνοεπιθέσεις, υπογράμμισε ο Scott Sayce, Global Chief Underwriting Office of Cyber της AXA, επισημαίνοντας χαρακτηριστικά πως «Η σύγκριση είναι εξαιρετικά δύσκολη. Οι ασφαλιστές βρίσκονται αντιμέτωποι με πλήθος διαφορετικών πληροφοριών ως προς την κάλυψη των προκλήσεων και των κινδύνων που ανακύπτουν για τον πελάτη. Πλέον, οι πελάτες αναζητούν έναν ασφαλιστικό συνεργάτη που έχει την τεχνογνωσία για να τους βοηθήσει».

Η έλλειψη δεδομένων, έμπειρων ασφαλιστών σε cyber θέματα και η απουσία πριμοδότησης για επιχορηγήσεις καταφατικής κάλυψης, αποτελούν τις μεγαλύτερες προκλήσεις για τη «διόρθωση» της ασφαλιστικής αγοράς, όπως τόνισε ο Scott Sayce, επισημαίνοντας την ανάγκη εξεύρεσης λύσεων απέναντι στις αυξημένες κανονιστικές απαιτήσεις της συγκεκριμένης αγοράς.

Μάλιστα, όπως σημείωσε, χωρίς την επαρκή και βιώσιμη κερδοφορία τίθεται κίνδυνος για την ύπαρξη καινοτομίας στην κατηγορία. Είναι γεγονός πως η ζήτηση ολοένα και αυξάνεται για προϊόντα ασφαλιστικής κάλυψης έναντι των επιθέσεων του κυβερνοχώρου, είτε σε αυτόνομο επίπεδο, είτε ως πρόσθετη κάλυψη. Ωστόσο, υπάρχουν ποικίλες μορφές απειλών που πρέπει να προσδιοριστούν.

Ελίνα Παπασπυροπούλου: Τα 12 σημεία βασικών κινδύνων

Ο κίνδυνος που απορρέει από τη χρήση ηλεκτρονικών πληροφοριών και τη μεταφορά τους, συμπεριλαμβανομένων όλων των τεχνολογικών μέσων, όπως για παράδειγμα το Internet, αποτελεί τον ορισμό του Cyber Risk, όπως τονίζει η Ελίνα Παπασπυροπούλου, Τεχνική Διευθύντρια της HDI Greece.

Η αξία της αγοράς cyber insurance παγκοσμίως υπολογίζεται στα 3,5 με 4 δισ. δολ. το 2017, με καλύψεις έναντι πολλαπλών κινδύνων για τις επιχειρήσεις. Η λίστα με τους καταγεγραμμένους κινδύνους είναι αχανής, ενώ σύμφωνα με την κ. Παπασπυροπούλου στα 12 βασικά σημεία απειλών, είτε από εξωτερικές επιθέσεις (χάκερ), είτε από κακόβουλες πράξεις, περιλαμβάνονται: Υλικές ζημίες, Σωματικές βλάβες, Απώλεια κερδών / αυξημένα έξοδα, Συνέπειες στην εφοδιαστική αλυσίδα τρίτων, Αδυναμία πρόσβασης στα συστήματα, Διαγραφή λογισμικού, Διακοπή παρουσίας στο διαδίκτυο, Απρόβλεπτα κόστη για επισκευή / ανάκτηση δεδομένων, Κλοπή δεδομένων, Μη εξουσιοδοτημένες οικονομικές συναλλαγές, Κρίση εταιρικής φήμης, Πτώση της αξίας της μετοχής.

Σήμερα, η αγορά έχοντας αναπτύξει συγκεκριμένο χαρτοφυλάκιο για την ασφαλιστική κάλυψη έναντι επιθέσεων κυβερνοχώρου, παρέχει ασφαλιστικές καλύψεις για ίδιες ζημιές, απαιτήσεις προς τρίτους και υπηρεσίες συμβούλων. Τα «κενά» στην κάλυψη αφορούν υλικές ζημίες, σωματικές βλάβες και περιβαλλοντικές ζημίες.

Όπως επισημαίνει η κ. Ελίνα Παπασπυροπούλου, οι ασφαλιστικές καλύψεις για ίδιες ζημιές αφορούν 10 κατηγορίες, εκ των οποίων: Διακοπή λειτουργίας συστημάτων δικτύου, Διακοπή παραγωγής / Απώλεια κερδών, Αυξημένα έξοδα, Καταστροφή, κλοπή, διαρροή δεδομένων και ανάκτηση δεδομένων, Επικοινωνιακή διαχείριση κρίσεων και σχετικές ανακοινώσεις, Νομική προστασία και νομικά έξοδα, Πρόστιμα, Ανάκτηση δεδομένων και λογισμικού, Εσφαλμένη λειτουργία συστημάτων και Αλλοίωση ή διακοπή παρουσίας στο διαδίκτυο.

Mark Camillo: Το Cyber Risk… καλπάζει

Οι Cyber απειλές αναπτύσσονται διαρκώς, μεταστρέφοντας τον κυβερνοχώρο σε απειλή για επιχειρήσεις και καταναλωτές, όπως εξήγησε ο Mark Camillo, Head of Cyber, EMEA, AIG, σημειώνοντας πως πάνω από 300 υποθέσεις αναφέρθηκαν στον EMEA το 2017. Ενδεικτικό των διαστάσεων που λαμβάνουν οι ψηφιακές απειλές είναι το γεγονός πως τα συμβάντα της προηγούμενης χρονιάς έφτασαν αριθμητικά σε εκείνα της τετραετίας 2013 – 2016.

Οι μεγαλύτερες, ποσοστιαία, συγκεντρώσεις απειλών ανά επαγγελματική κατηγορία αφορούν το χώρο των υπηρεσιών και οικονομικών συναλλαγών, με 18% αντίστοιχα και στις δύο περιπτώσεις.

Προκειμένου να καταστεί περισσότερο σαφής η σημασία και η διάσταση μιας ψηφιακής απειλής, ο Mark Camillo παρέθεσε μια σειρά από πραγματικά παραδείγματα επίθεσης, αλλά και του τρόπου «αντίδρασης» της AIG. Χαρακτηριστική είναι η περίπτωση όπου: Ασφαλισμένος πελάτης, κατασκευαστής γερανών, εκσκαφέων και ανυψωτικών μηχανημάτων μετά από επίθεση με ransomware αναγκάστηκε να σταματήσει τη γραμμή παραγωγής του. Τα 300 μέλη που απαρτίζουν το εργατικό δυναμικό, ήταν αναγκασμένα να σταματήσουν τις εργασίες τους.

Καλώντας την τηλεφωνική γραμμή CyberEdge της AIG ο ασφαλισμένος έλαβε όλες τις απαραίτητες υπηρεσίες για την αντιμετώπιση αυτών των περιστατικών από εξειδικευμένη εταιρεία πληροφορικής. Οι υπηρεσίες κατάφεραν να αποκαταστήσουν τα δεδομένα από τα αντίγραφα ασφαλείας – καλύπτοντας παράλληλα το κόστος αμοιβής του προσωπικού προκειμένου να επιτευχθεί η αδιάλειπτη συνέχεια εργασιών και η έγκαιρη ολοκλήρωση του έργου.

Το πεδίο ασφαλιστικής κάλυψης του κυβερνοχώρου θα συνεχίσει να επεκτείνεται, όπως και οι περιπτώσεις επιθέσεων, σύμφωνα με τον Mark Camillo. Οι εταιρικές συνεργασίες μεταξύ ασφαλιστικών και τεχνολογικών εταιρειών θα αυξάνονται, προκειμένου να παρέχονται υπηρεσίες πρόληψης και διαχείρισης κινδύνου σε ένα ολοκληρωμένο φάσμα.

Κώστας Βούλγαρης: Η Ελληνική πραγματικότητα

Οι διαδικτυακές απειλές δεν είναι πια προνόμιο των μεγάλων επιχειρήσεων καθώς ολοένα και αυξανόμενο ποσοστό μικρομεσαίων επιχειρήσεων αντιλαμβάνεται ότι οι διαδικτυακοί κίνδυνοι αποτελούν μια σοβαρή απειλή για τις ίδιες.

Σκιαγραφώντας την ελληνική αγορά, ο Κώστας Βούλγαρης, Financial Lines and Casualty Manager, AIG, επεσήμανε ότι οι Μικρο-Μεσαίες Επιχειρήσεις είναι πιο εκτεθειμένες σχετικά με τη χρήση φορητών ηλεκτρονικών συσκευών από τους υπαλλήλους τους, έχουν χαμηλότερο budget στη διάθεση τους για συστήματα ΙΤ και είναι πιο ευάλωτες οικονομικά.

Στις «ελληνικές» ζημιές περιλαμβάνονται ο ψυχολογικός εκβιασμός, η διακοπή εργασιών, malware, ransomware και παράγοντας ανθρώπινο λάθος.

Επεξηγώντας την «ανατομία» ενός Cyber Claim και τις 4 Φάσεις του συμβάντος, ο κ. Βούλγαρης επισημαίνει πως στο στάδιο της 1ης Φάσης, που διαρκεί ένα 24ωρο γίνονται τα εξής 7 βήματα: Ενεργοποίηση της τηλεφωνικής υποστήριξης / αναγγελίας, Οι Σύμβουλοι Ασφαλείας Πληροφορικής και οι δικηγόροι αντιδρούν με αυστηρά SLAs, Εκτίμηση γεγονότος και πρώτες συμβουλές, Διατήρηση εμπιστευτικότητας, Διαχείριση κρίσης, Ανάλυση της διαρροής και προσπάθεια κατανόησης του σκοπού της και Εντοπισμός των στοιχείων που έχουν διαρρεύσει.

Στη Φάση 2 (μεταξύ 24 και 48 ωρών) γίνεται η εκτίμηση του προβλήματος και δημιουργία σχεδίου αντίδρασης. Παρέχονται συμβουλές σχετικά με την ενημέρωση των ανθρώπων που χάθηκαν τα δεδομένα τους, σχετικά με την επικοινωνία με ρυθμιστικές αρχές, συνεχίζοντας την ανάλυση του περιστατικού. Η επιλογή συμβούλου επικοινωνίας και διαχείρισης του γεγονότος, όπως και η διαχείριση περιστατικών εκβιασμού, περιλαμβάνονται στο σχέδιο δράσης της δεύτερης ημέρας.

Στη Φάση 3 (48 προς 72 ώρες), καταστρώνεται το αναλυτικό σχέδιο για την ενημέρωση των παθόντων, γίνεται ενημέρωση Αρχών και «διαπραγμάτευση» μαζί τους, ενώ συνεχίζονται οι ενέργειες από τις ομάδες των Συμβούλων (PR /IT forensic/ διαχείρισης εκβιασμού) σύμφωνα με τις ανάγκες. Συμβουλές για την παρακολούθηση των συστημάτων και την ενίσχυση της ασφάλειας τους, περιλαμβάνονται στην «ατζέντα» της Φάσης 3.

Οι δράσεις της Φάσης 4 (από 72 ώρες και μετά) αφορούν την εκτίμηση του κόστους και των ζημιών, τη συνέχιση των ενημερώσεων των παθόντων και των επαφών με τις Αρχές, διαχείριση σχέσεων με τρίτους που επηρεάστηκαν, συνεργασία με αστυνομικές αρχές, αναγνώριση πιο μακροπρόθεσμων ζητημάτων που πρέπει να αντιμετωπιστούν, ενέργειες για αποζημιώσεις και περιορισμού της ζημιάς και ποσοτικοποίηση της απαίτησης για διακοπή εργασιών.

1 Comment

  1. Avatar

    Εξαίρετη, διαφωτιστική και πολύ ενδιαφέρουσα εκδήλωση της ΕΑΕΕ, όντως. Και λίγο “τρομακτική” για τους επαγγελματίες “αγοραστές του κινδύνου” των πελατών μας, για εμάς τους Ασφαλιστές δηλαδή. Αναρωτιέται κανείς κατά πόσον οι Ελληνικές (και ξένης ιδιοκτησίας) Ασφαλιστικές εταιρίες – της μικρής/ρηχής αγοράς μας, που έχουν να υποστηρίξουν τα ίδια απασχολούμενα κεφάλαιά τους και εν τέλει τα Αποτελέσματα Χρήσεως και τον δείκτη φερεγγυότητας του τοπικού ισολογισμού τους – αξίζει να δραστηριοποιηθούν ενεργά με την άσκηση του κλάδου Ασφάλισης Κυβερνοκινδύνων! Ακόμα η τοπική ζήτηση, παρ’ ότι με τάσεις αύξησης, παραμένει ισχυρή και (πολύ περισσότερο) ο ρυθμός πωλήσεων αντίστοιχων συμβολαίων αναιμικός. Μήπως προς το παρόν (μέχρι να δημιουργηθεί ευρεία ασφαλιστική ύλη (πελατεία) οι Ελληνικές Ασφαλιστικές εταιρίες (ελληνόκτητες ή μη) θα ‘πρεπε να περιοριστούν σε ρόλο “χονδρεμπόρου-διανομέως” με 100% ή το πολύ 90%/10% αναλογική αντασφαλιστική υποστήριξη κάποιας ξένης μητρικής ή κάποιου/ων Αντασφαλιστή/ών? Για τα εν Ελλάδι δραστηριοποιούμενα υποκαταστήματα ξένων/ευρωπαϊκών εταιριών, ίσως τα πράγματα είναι διαφορετικά: όποιο συμβόλαιο αναλαμβάνουν τοπικά, προστίθεται στον ενιαίο ισολογισμό της κεντρικής (μεγάλης) εταιρίας του εξωτερικού. Ο κίνδυνος διασπείρεται και γεωγραφικά. Σημασία όμως έχει τελικά, να ασχοληθούμε ως αγορά με τον νεοφυή τούτο κίνδυνο του κυβερνοχώρου, που προέρχεται από και συνδέεται με την ολοένα μεγαλύτερη (δια)δικτύωση και ψηφιοποίηση της ζωής και της οικονομίας, προσεγγίζοντάς τον. Έτσι και στις ανάγκες των καταναλωτών και των επιχειρήσεων θα ανταποκριθεί η αγορά μας και δε θα διακυβεύσει την σταθερότητά και την κεφαλαιακή ευρωστία και φερεγγυότητά της. Τουλάχιστον μέχρι να ξεκαθαρίσει κάπως το τοπίο, να διαμορφωθεί ενιαία πρακτική και να δημιουργηθεί πλατιά μάζα πελατείας – άρα ευρύτερη μάζα/αγορά. Τότε θα μπορέσει να δημιουργηθεί βάση ετήσιων ασφαλίστρων που θα χρηματοδοτήσει με σχετική ασφάλεια τις ζημίες με εύλογα (άρα βιώσιμα) loss ratios. Πρότασή μου είναι να δημιουργηθεί στην ΕΑΕΕ ειδική Τεχνική Επιτροπή που να μαζεύει από τώρα εκτενή στατιστικά στοιχεία από την αγορά, ώστε να ενημερώνεται η αγορά (και το κοινό) τακτικά. και μια προτροπή: Σύνεση! Ας μη μας παρασύρει για ακόμη μια φορά ο αδυσώπητος ανταγωνισμός (ειδικά όχι στα πρώιμα βήματά μας)… Ας μην ασθενήσει ο νέος “κλάδος” από τώρα…


Add a Comment

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *