Του Νίκου Γεωργόπουλου*

Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε ασφαλιστικής εταιρίας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από αρκετές πρόσφατες παραβιάσεις συστημάτων, το πώς ένας οργανισμός χειρίζεται μια κρίση παίζει σημαντικό ρόλο στο κατά πόσο ο Διευθύνων Σύμβουλος και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους.

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις ασφαλιστικές εταιρίες γιατί προσφέρει δυνατότητα αποτελεσματικής επικοινωνίας με τον ασφαλιστικό διαμεσολαβητή, τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει την δυνατότητα πρόσβασης σε νέα τμήματα της αγοράς με προϊόντα και υπηρεσίες χαμηλότερου κόστους.

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι ασφαλιστικές εταιρίες όπως: οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, Βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά (π.χ, συμβάσεις συνεργασίας με παρόχους υπηρεσιών υγείας), σχέδια μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με ασφαλιστικούς διαμεσολαβητές, δεδομένα υγείας των ασφαλισμένων, δεδομένα συνταξιοδοτικών προγραμμάτων, αριθμούς των πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά στοιχεία πελάτη, προσωπικά οικονομικά στοιχεία πελατών.

Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία της ασφαλιστικής εταιρίας μέσω κυβερνοεπιθέσεων που οδηγούν σε άρνηση παροχής υπηρεσίας (DDos) των συστημάτων εξυπηρέτησης πελατών και διαμεσολαβητών και αλλοίωση της ποιότητας των δεδομένων της ασφαλιστικής εταιρίας.

Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στις ασφαλιστικές εταιρίες ο οποίος θα μπορούσε να εκφραστεί ώς ποσοστό επί των ακαθάριστων εγγεγραμμένων ασφαλίστρων. Οι κίνδυνοι που συνδέονται με την χρήση του κυβερνοχώρου (Cyber Risks) πρέπει να αντιμετωπιστούν όπως όλοι οι κίνδυνοι και μετα την ανάλυσή τους να αποφασιστεί τι ποσοστό μπορεί να αναλάβει η ασφαλιστική εταιρία και τι ποσοστό θα μεταφερθεί σε εξειδικευμένους ασφαλιστές ή αντασφαλιστές

Οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζαμε μέχρι σήμερα μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία ενός εργαζόμενου που μπήκε σε μια μολυσμένη ιστοσελίδα ή απάντησε σε ένα e-mail phishing.

Τα αποτελέσματα μιας μελέτης που διεξήχθη το 2014 από την εταιρία Corporate Board Member & FTI Consulting, Inc και έλαβαν μέρος, σχεδόν 500 διευθυντές εταιριών και μέλη διοικητικού συμβουλίου έδειξαν ότι οι κίνδυνοι του κυβερνοχώρου και η διαχείρισή τους αποτελεί μια από τις κορυφαίες ανησυχίες.

Τα μέλη του διοικητικού συμβουλίου και τα ανώτερα στελέχη πρέπει να δίνουν ύψιστη προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και στην προστασία των δεδομένων της επιχείρησης.

Ο λόγος για αυτή την ανησυχία είναι ότι υπάρχουν πολλές επιχειρηματικές άμεσες και έμμεσες ζημιές που σχετίζονται με το έγκλημα στον κυβερνοχώρο και την απώλεια δεδομένων.

Άμεσες ζημιές οι οποίες περιλαμβάνουν επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:

• αμοιβές εξειδικευμένου δικηγόρου
• υπηρεσίες ειδικών ψηφιακής εγκληματολογίας (forensics)
• υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
• υπηρεσίες τηλεφωνικού κέντρου
• υπηρεσίες ελεγκτών
• Credit Monitoring – Υπηρεσία Παρακολούθησης χρήσης δεδομένων που έχουν κλαπέι για την πραγματοποίηση παράνομων χρηματοοικονομικών συναλλαγών
• έξοδα αντικατάστασης στοιχείων ενεργητικού 
  • αντικατάσταση της πιστωτικής κάρτας του πελάτη
  • αντικατάσταση υλικού hardware ή software κ.λπ.
• έκτακτα έξοδα οπως:
  • αναγκαία έξοδα ταξιδίου και διαμονής για ομάδες ειδικών διαχείρισης περιστατικών, 
  • τα έξοδα αποστολής, ενημερωτικών επιστολών σε πελάτες, κ.λπ., 
• Πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
• έξοδα για την επίτευξη επιχειρησιακής συνέχειας
• έξοδα εγκατάστασης νέων συστημάτων ασφάλειας

Οι Έμμεσες απώλειες μπορεί να είναι ακόμα πιο σημαντικές, συμπεριλαμβανομένων:

• μείωσης της φήμης της εταιρίας
• πτώσης των εσόδων
• χαμένων επιχειρηματικών ευκαιριών
• απώλεια πελατών
• απώλεια συνεργατών
• καθυστερήσεις έργων και λανσαρίσματος νέων προϊόντων
• αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
• κόστη εκπαίδευσης και ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας 
• επαναλαμβανόμενα έξοδα για τακτικούς ελέγχους ασφάλειας.

Δυστυχώς, πολλές από αυτές τις άμεσες και έμμεσες δαπάνες είναι απρογραμμάτιστες και δεν υπάρχουν προβλέψεις στον προϋπολογισμό. Τα περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών μπορεί να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές της ασφαλιστικής εταιρίας.

Το Ponemon Institute στο Report ”2014 – Cost of Data Breach Study Global” αναφέρει ότι το μέσο κόστος της παραβίασης συστημάτων και απώλειας δεδομένων στην Αμερική ήταν $5,85 εκατ.

^{US: Ηνωμένες Πολιτείες, DΕ: Γερμανία, FR: Γαλλία, UK: Ηνωμένο Βασίλειο,
ΑΒ: Αραβικά Εμιράτα, IT: Ιταλία, AU: Αυστραλία, JP: Ιαπωνία, BZ: Βραζιλία, ID: Ινδία.}

Το κόστος απώλειας δεδομένων ανά record και ανά κατηγορία επιχειρηματικής δραστηριότητας σύμφωνα με τα στοιχεία της έρευνας του Ponemon institute στην Αμερική φαίνονται στο διάγραμμα που ακολουθεί.

Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση Cyber Insurance, δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών.

Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, όπως αυτή της Sony που συνέβη πρόσφατα, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

Πρέπει να τονιστεί ότι αύξηση των χρηματοοικονομικών επιπτώσεων θα έχουμε με την εφαρμογή της προτεινόμενης ευρωπαικής νομοθεσίας για την προστασία των προσωπικών δεδομένων. Η νομοθεσία αυτή που παρουσιάστηκε τον Ιανουάριο του 2013 από την Επίτροπο Δικαιοσύνης της ΕΕ, κα Viviane Reding, προβλέπει την αναθεώρηση των νόμων περί προστασίας δεδομένων της ΕΕ και αναμένεται να ενσωματωθεί στο ευρωπαικό δίκαιο. Πριν μερικές ημέρες οριστικοποιήθηκε και αναμένεται η τελική έγκρισή της εντός του 2015.

Σύμφωνα με τη νέα νομοθεσία, οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν μέχρι €100εκ ή έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας, όποιο από τα δύο είναι μεγαλύτερο.

Ένα ακόμη μεγάλο πρόβλημα που έχει να αντιμετωπίσει ένας Διευθύνων Σύμβουλος είναι η βλάβη που μπορεί να υποστεί η φήμη της εταιρίας του.

Όπως περίφημα είπε ο Warren Buffett:
"Χρειάζονται 20 χρόνια για να χτιστεί η φήμη μιας εταιρίας και μόνο πέντε λεπτά για να καταστραφεί."

Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Παράγοντες που επηρεάζουν την εταιρική φήμη

^{Πηγή: The Aftermath of a data breach Consumer Sentiment. Ponemon Institute Report}

Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.

Το μεγαλύτερο λάθος που κάνουν οι εταιρίες στην αντιμετώπιση αυτών των περιστατικών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους. Θεωρούν δεδομένο ότι μπορούν να αντιμετωπίσουν μια κρίση που μπορεί να προέλθει από περιστατικά παραβίασης συστημάτων γιατί έχουν την καλύτερη ομάδα ΙΤ. Ακόμα χειρότερα γιατί θεωρούν οτι μπορούν να χειριστούν την κρίση την στιγμή που συμβαίνει χωρίς προηγούμενη προετοιμασία.

Οι ασφαλιστικές εταιρίες θα πρέπει να είναι προετοιμασμένες για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο. Ο σχεδιασμός της αντιμετώπισης της κρίσης μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων.

Αυτό που παρατηρείται επίσης είναι ότι οι εταιρείες είτε ανταποκρίνονται πολύ γρήγορα σε μια κρίση, ή πολύ αργά. Ο συγχρονισμός είναι ζωτικής σημασίας για την αντιμετώπιση της κρίσης.

Αν για το περιστατικό παραβίασης βγεί κάποια ανακοίνωση πολύ γρήγορα, ίσως να μην γνωρίζουμε την πλήρη έκταση της ζημίας, κατι που σε δεύτερο χρόνο θα μας αναγκάσει πιθανόν να την αναθεωρήσουμε. Αν αυτό γίνει πάρα πολύ αργά θα φαίνεται ότι προσπαθούμε να αποφύγουμε την ευθύνη και λόγω αυτής της καθυστέρησης και οι πελάτες της εταιρίας μπορούν να επηρεάστουν περισσότερο από το περιστατικό.

Οι Δημόσιες σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.

Για το λόγο αυτό θα πρέπει σε κάθε εταιρία να έχει δημιουργηθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη της εταιρίας από τα τμήματα:

• Information Security
• IT
• Νομικής υπηρεσία
• Κανονιστικής Συμμόρφωσης
• Δημοσίων Σχέσεων & Επικοινωνίας
• Εξυπηρέτησης Πελατών
• Οικονομικής Διεύθυνση
• Business Continuity
• Risk Management
• HR
• Marketing

και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους, επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.

Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.

Η ομάδα αυτή πρέπει να συντονίζεται από τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνοντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης ακόμα. Σε πολλές περιπτώσεις οι αποφάσεις αυτές πρέπει να παρθούν χωρίς τα στελέχη της εταιρίας να έχουν στην διαθεσή τους όλη την σχετική πληροφόρηση.

Περιστατικά παραβίασης συστημάτων και απώλειας δεδομένων καταγράφονται καθημερινά σε Ασφαλιστικές Εταιρίες όπως η Anthem από την οποία χάθηκαν 80 εκ records και οι μεχρι σήμερα εκτιμήσεις ορίζουν το κόστος αντιμετώπισης του περιστατικού αυτού σε $100 εκ. H εταιρία είχε ασφαλιστήριο συμβόλαιο και ένα τμήμα του κόστους θα αντιμετωπιστεί το υπόλοιπο θα επιβαρύνει τον ισολογισμό της εταιρίας

Ασφαλιστικές εταιρίες που εχουν υποστεί data breach

Η ασφάλιση Cyber Insurance, δίνει εκτός από τις χρηματικές αποζημιώσεις, πρόσβαση σε ομάδες ειδικών (δικηγόροι, επικοινωνιολόγοι, forensics investigators κλπ) οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους και να προστατεύσουν την εταιρική φήμη. Η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματικό εργαλείο αντιστάθμισης κινδύνου.

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος για την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό. Είναι αναγκαίο ο Διευθύνων Σύμβουλος να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του.

Νίκος Γεωργόπουλος, ΜΒΑ, CyRM.
Cyber Risk Advisor
CROMAR Coverholder at LLOYD΄S
Email: [email protected]

Ο Νίκος Γεωργόπουλος είναι κάτοχος Master in Business Administration (ALBA) και πτυχίου Φυσικής του Πανεπιστημίου Πάτρας. Είναι μέλος του International Association of Privacy Professionals και εξειδικευμένος σύμβουλος στην παροχή ασφαλιστικών λύσεων Cyber /Privacy Liability & Data Breach Management και Πιστοποιημένος Cyber Insurance Risk Manager. Είναι δημιουργός του “Cyber Risks Advisors” Linkedin Group, του www.privacyrisksadvisors.com και του www.cyberinsurancegreece.com