Άρθρα

Κυβερνοκίνδυνοι και Ασφάλιση

Πώς καλύπτονται ασφαλιστικά οι καταστροφικές επιθέσεις από το διαδίκτυο

Θεαματικές περιπτώσεις κυβερνοεγκλημάτων αυξάνουν την ευαισθητοποίηση των risk managers γύρω από τους κινδύνους της πληροφορικής και τις αυξανόμενες απαιτήσεις για σχετικά ασφαλιστικά προϊόντα. Το κείμενο που ακολουθεί αποτελεί επισκόπηση των κυρίαρχων μορφών κάλυψης.

Του Andreas Schlayer, Underwriter της Munich Re – Υπεύθυνου για τις καλύψεις περιουσίας στη Βόρεια Αμερική. (Πηγή: Munich Re Topics Magazine).

Το 2011 πέρασε στην ιστορία ως ένα από τα πιο ζοφερά χρόνια για μια γνωστή ιαπωνική εταιρεία: στην αρχή, αναγκάστηκε να σταματήσει την παραγωγή σε αρκετά από τα εργοστάσιά της, όταν στα μέσα Μαρτίου η Ιαπωνία χτυπήθηκε από το τσουνάμι, και λίγο αργότερα, στα τέλη Απριλίου, δέχθηκε κύματα επιθέσεων από χάκερ. Αρχικά, έμοιαζε με κάποιο πρόβλημα στα δεδομένα: η εταιρεία διέκοψε την πρόσβαση στο online δίκτυό της και στην υπηρεσία παροχής μουσικής και video, χωρίς να εκδώσει καμία σχετική ανακοίνωση. Χρειάστηκε να περάσει μία εβδομάδα, για να δημοσιοποιήσει η εταιρεία το γεγονός ότι χάκερ είχαν διεισδύσει στη βάση δεδομένων πελατών, από τις 17 έως τις 19 Απριλίου, και υπέκλεψαν διευθύνσεις, κωδικούς πρόσβασης και στοιχεία πιστωτικών καρτών 77 εκατομμυρίων χρηστών. Στις αρχές Ιουνίου του 2011, η εταιρεία ανέφερε ακόμα μία περίπτωση παραβίασης δεδομένων: αυτή τη φορά αφορούσε τα στοιχεία ενός εκατομμυρίων πελατών. Δείγματα που πήρε το αμερικανικό blog “This Is My Next” αποκάλυψαν ότι τα δεδομένα ήταν αυθεντικά. Σύμφωνα με το blog, υποκλάπηκαν 39.000 συνδυασμοί e-mail/κωδικών πρόσβασης, καθώς και 12.500 συνδυασμοί, που επιπλέον περιλαμβάνουν διευθύνσεις κατοικίας και ημερομηνίες γέννησης. Η ομάδα χάκερ Lulz Security εξέδωσε μια ανακοίνωση, λέγοντας ότι τα δεδομένα δεν ήταν κρυπτογραφημένα –ήταν απλά θέμα του “να τα σηκώσουμε”.

Ανταποκρινόμενη, η εταιρεία ενίσχυσε την ασφάλειά της: το Σεπτέμβριο του 2011 προσέλαβε ένα πρώην υψηλόβαθμο στέλεχος του Υπουργείου Εσωτερικής Ασφάλειας των ΗΠΑ (Homeland Security), ως υπεύθυνο ασφάλειας πληροφορικής, ο οποίος εκσυγχρόνισε πλήρως την αρχιτεκτονική ασφάλειας. Αλλά ακόμα και αυτό ήταν ανώφελο. Μεταξύ 7 και 10 Οκτωβρίου, η εταιρεία έπεσε θύμα μίας ακόμα κυβερνοεπίθεσης, με στόχο πάλι το δίκτυο πελατών. Αυτή τη φορά υποκλάπηκαν στοιχεία 93.000 λογαριασμών, χωρίς όμως να διακινδυνεύσουν στοιχεία πιστωτικών καρτών. Εκτιμάται ότι οι χάκερ χρησιμοποίησαν τους κωδικούς πρόσβασης που είχαν υποκλέψει κατά τις προηγούμενες επιθέσεις. Πολλοί άνθρωποι χρησιμοποιούν τους ίδιους κωδικούς πρόσβασης για διάφορες Online υπηρεσίες. Αυτό, όμως, είναι επικίνδυνο: αν παραβιαστεί ο server μιας online υπηρεσίας, κινδυνεύουν επίσης οι λογαριασμοί χρήστη σε άλλες εταιρείες και οι εταιρείες δεν μπορούν να κάνουν πολλά για να το επηρεάσουν αυτό. 

Τα παραδείγματα αυτά δείχνουν ότι μικρές, καλά οργανωμένες ομάδες χάκερ, μπορούν να κλονίσουν ακόμα και γιγαντιαίες εταιρείες -ξανά και ξανά. Αυτά δεν είναι καλά νέα για τους risk managers άλλων εταιρειών, καθώς δεν υπάρχει τρόπος να γνωρίζουν πότε και αν θα στοχοποιηθούν οι δικές τους εταιρείες. Η πιθανότητα μιας επίθεσης αυξάνεται καθημερινά.
Οι κυβερνοεπιθέσεις σε αυτή την εταιρεία ήταν από τις πλέον δαπανηρές στον κυβερνοχώρο.

Το συνολικό κόστος της πρώτης επίθεσης τον Απρίλιο ανήλθε σε €1,4 δις. Οι επιθέσεις είχαν όμως και μακροχρόνιες επιπτώσεις: επλήγη η φήμη της εταιρείας, προκαλώντας ζημιά που είναι δύσκολο να μετρηθεί, καθώς η εμπιστοσύνη των χρηστών στην εταιρεία κατέρρευσε μετά τα συμβάντα. Αυτό φαίνεται από τις πωλήσεις ενός από τα κορυφαία προϊόντα της εταιρείας κατά το τρίτο τρίμηνο του 2011, που σημείωσαν σημαντική πτώση, πολύ κάτω από το αντίστοιχο ανταγωνιστικό προϊόν. Αυτό προκάλεσε και μία μακρά αντίδραση στην αλυσίδα προστιθέμενης αξίας, καθώς η μείωση του αριθμού των πωληθέντων προϊόντων δεν έπληξε μόνο τον ισολογισμό της εταιρείας, αλλά επηρέασε και πολλές άλλες εταιρείες που παράγουν συγγενή προϊόντα και αξεσουάρ.

Η καθυστερημένη ειδοποίηση προκαλεί υψηλές απώλειες
Οι κυβερνοεγκληματίες έπιασαν την εταιρεία απροετοίμαστη, υπονομεύοντας τις δυνατότητες διαχείρισης της κρίσης. Αυτό θα μπορούσε να συμβεί και σε άλλες εταιρείες. Ωστόσο, θα πρέπει να ασκηθεί κριτική στην εταιρεία για την καθυστερημένη και νεφελώδη αντίδρασή της, καθώς αρχικά προσπάθησε να μην αντιδράσει στην κρίση –μια μοιραία απόφαση από οικονομικής άποψης. Καθώς είναι ιαπωνική εταιρεία, προσπάθησε πρώτα να αντιμετωπίσει την επίθεση και τη ζημιά εσωτερικά, υποτιμώντας την έκθεση και κρίνοντας εσφαλμένα τη νομική έκθεση σε άλλες δικαιοδοσίες, όπως των ΗΠΑ, όπου η εταιρεία θα έπρεπε να είχε αναφέρει αμέσως την παραβίαση δεδομένων. Η μη άμεση έναρξη της διαδικασίας ειδοποίησης ανοίγει το δρόμο για δαπανηρές συλλογικές αγωγές, προκαλώντας μία μη μετρήσιμη έκθεση ευθύνης.

Στη Γερμανία, επίσης, όταν μία εταιρεία πέσει θύμα κλοπής δεδομένων, είναι υποχρεωμένη να ενημερώσει αμέσως τους πελάτες της. Το κόστος της αποστολής και μόνο εκατομμυρίων επιστολών, για να γίνει αυτό, είναι τεράστιο. Εκτός από τις ζημιές της ασφάλισης πρώτου μέρους, υπάρχουν και νομικά έξοδα και απαιτήσεις ευθύνης –σε αντίθεση με τον online κόσμο.

Το παράδειγμα αυτό μας δείχνει ότι παγκόσμια δικτυωμένες εταιρείες αντιμετωπίζουν νέους αστάθμητους κινδύνους, που επηρεάζουν την αλυσίδα προστιθέμενης αξίας διαφορετικά σε διαφορετικές δικαιοδοσίες. Οι αυτοκινητοβιομηχανίες, για παράδειγμα, ήταν παλαιότερα σε θέση να μετριάσουν πιθανές απαιτήσεις ευθύνης από διάφορες περιφερειακές αγορές μέσω ελέγχων ασφαλείας. Στον κυβερνοχώρο, ωστόσο, οι κίνδυνοι δεν μπορούν πλέον να σκιαγραφηθούν με σαφήνεια και είναι σχεδόν αδύνατον να αξιολογηθούν. Οι βασικοί νομικοί όροι στις ΗΠΑ και την Ευρώπη, ιδιαίτερα, μπορεί να διαφέρουν τόσο πολύ, που οι εταιρείες δεν έχουν επιλογή από το να αποφασίσουν ποιες νομικές απαιτήσεις θα παραβιάσουν.

Για παράδειγμα, υπό το ισχύον Δίκαιο της ΕΕ, οικονομικά δεδομένα που αποθηκεύονται, για παράδειγμα, από έναν πάροχο υπηρεσιών σύννεφου (cloud) δεν μπορούν να φύγουν από την Ευρωπαϊκή Ένωση. Πώς, όμως, μπορεί κάποιος να το παρακολουθήσει και να το εγγυηθεί αυτό; Και τι γίνεται αν στη βάση δεδομένων περιληφθούν Αμερικανοί χρήστες; Ποιο εθνικό δίκαιο ισχύει και πού; Απαιτήσεις θα μπορούσαν να κατατεθούν σε οποιαδήποτε δικαιοδοσία στον κόσμο. Οι εταιρείες αντιλαμβάνονται πλήρως αυτή την απειλή μόνο όταν τη βιώσουν και όταν συμβεί αυτό, υπάρχει πολύ λίγος χρόνος για μια ψύχραιμη και συγκροτημένη αντίδραση.

Στο δικτυωμένο κόσμο μας, οι διαδικασίες γίνονται ολοένα και πιο πολύπλοκες, οι απαιτούμενοι χρόνοι αντίδρασης είναι ολοένα και μικρότεροι και οι απαιτήσεις συμμόρφωσης ολοένα και πιο αυστηρές. Και δεν είναι μόνο οι κυβερνοεπιθέσεις. ακόμα και μία σύντομη πτώση του συστήματος πληροφορικής από ανθρώπινο λάθος μπορεί να έχει κόστος εκατομμυρίων.

Δεν υφίσταται 100% ασφάλεια
Οι κυβερνοκίνδυνοι είναι εταιρικοί κίνδυνοι. Θεαματικές περιπτώσεις, όπως αυτή που περιγράφεται εδώ, ευαισθητοποιούν και ταυτόχρονα δημιουργούν μία ζήτηση ασφαλιστικών λύσεων, ειδικά προσαρμοσμένων στις νέες απαιτήσεις και επιπτώσεις.

Στην Ευρώπη, μόλις το 5% των επιχειρήσεων έχουν κάλυψη κυβερνοκινδύνων, καθώς πολλές εκτιμούν ότι θα είναι σε θέση να αντιμετωπίσουν τις πιθανές απώλειες μόνες τους. Όμως, όσο περισσότερες κυβερνοεπιθέσεις φτάνουν στα πρωτοσέλιδα, τόσο μεγαλώνει η επιθυμία των εταιρειών να βρουν την κατάλληλη ασφαλιστική λύση. Σύμφωνα με τη βρετανική εταιρεία ερευνών αγοράς Chartis, το 30% όλων των μεγάλων αμερικανικών εταιρειών έχουν πλέον κάλυψη κατά κυβερνοκινδύνων, ενώ στην Ευρώπη μόλις το 5% των εταιρειών έχουν τέτοια κάλυψη.

Η ευαισθητοποίηση των risk managers των εταιρειών έχει πλέον φτάσει σε τέτοιο σημείο, που οι επιχειρήσεις επενδύουν πλέον μεγάλα ποσά, για να εξασφαλίσουν τα πληροφοριακά τους περιβάλλοντα. Και ενώ πολλοί κίνδυνοι μπορούν να μετριαστούν μέσα από τα κατάλληλα μέτρα και αλλαγές συμπεριφοράς των υπαλλήλων, εξακολουθούν να υπάρχουν πολυάριθμοι ακόμα κίνδυνοι, τους οποίους οι εταιρείες δεν μπορούν να επηρεάσουν ή που δεν βρίσκονται καν στο εύρος κάλυψης της διαχείρισης κινδύνου πληροφορικής. Σε αυτό ακριβώς το πλαίσιο είναι σημαντικό να κατανοηθούν οι διάφοροι συσχετισμοί μεταξύ κινδύνων. Η ζημιά προκλήθηκε σκόπιμα από κάποιο χάκερ ή, ακούσια, από ελαττωματική ενημέρωση λογισμικού; Ήταν επίθεση ή σφάλμα λειτουργίας; Και αν ήταν επίθεση, ήταν στοχευμένη ή τυχαία;

Αντιμετωπίζοντας τα θέματα αυτά, οι εταιρείες οφείλουν να αναζητούν συμβουλές από την ασφαλιστική εταιρεία, για να είναι σίγουρες ότι αγοράζουν το κατάλληλο προϊόν. Εξάλλου, δεν υφίσταται η απόλυτη ασφάλεια. Θα υπάρχει πάντα υπολειπόμενος κίνδυνος. Αυτό ισχύει ιδιαίτερα αναφορικά με κινδύνους χαμηλής συχνότητας και υψηλού αντίκτυπου.

Η ανάγκη κάλυψης κατά αυτών των κινδύνων θα συνεχίσει να μεγαλώνει, καθώς οι κίνδυνοι γίνονται ολοένα και πιο πολύπλοκοι. Οι υπηρεσίες σύννεφου είναι ένα εξαιρετικό παράδειγμα. Η έλευση των υπηρεσιών σύννεφου και οι τεράστιες οικονομικές τους συνέπειες θα συνεχίσουν να μεταβάλλουν θεμελιωδώς τα προφίλ των κινδύνων. Πάνω απ’ όλα, οι συστημικοί κίνδυνοι –δηλαδή παγκόσμιοι κίνδυνοι που επηρεάζουν πολλούς ασφαλισμένους ταυτόχρονα και έτσι με ένα συμβάν ενεργοποιούνται πολλαπλά ασφαλιστήρια συμβόλαια– προκαλούν τεράστιες συγκεντρώσεις ζημιών περιουσίας και ευθύνης, επηρεάζοντας τόσο τους άμεσα ασφαλισμένους όσο και τρίτους. Είναι ακριβώς αυτοί οι σχετικά ασαφείς συσχετισμοί που είναι δύσκολο να ποσοτικοποιηθούν και να μπουν σε ένα μοντέλο. Αποτελούν μερικές από τις βασικότερες προκλήσεις της ασφαλιστικής βιομηχανίας. Όπως ακριβώς οι υπεύθυνοι προμηθειών οφείλουν να επαληθεύουν τη σταθερότητα των προμηθευτικών αλυσίδων, έτσι και οι ασφαλιστικές εταιρείες πρέπει να περιορίζουν την έκθεση –ένας ρόλος τον οποίο ήδη διαδραματίζουν με την αξιολόγηση των ιών των υπολογιστών.

Η σωστή αξιολόγηση είναι κρίσιμης σημασίας
Ο σχεδιασμός προϊόντων που θα καλύπτουν πολύπλοκους κυβερνοκινδύνους απαιτεί εκτεταμένη εμπειρία και ικανότητα στη μοντελοποίηση. Εξάλλου, είναι πολύ σημαντικό να διαπιστωθεί ακριβώς ποιοι κίνδυνοι αφορούν σε ποιους πελάτες και ποιες θα ήταν οι συνέπειες. Ασφάλεια, συμμόρφωση, ζημιά στη φήμη και απαιτήσεις λόγω παραβιάσεων πνευματικών δικαιωμάτων, μη διαθεσιμότητα προϊόντων και υπηρεσιών ή παραβιάσεις ιδιωτικότητας πελατών, όλα αυτά πρέπει να προσδιοριστούν με βάση την έκθεση των διαφόρων ομάδων πελατών. Σε ιδιαίτερο κίνδυνο από κυβερνοεπιθέσεις βρίσκονται εταιρείες υψηλής αξίας και συνεπώς με υψηλό δημόσιο προφίλ, καθώς και εταιρείες που εμπλέκονται σε πολλές online συναλλαγές, όπως πάροχοι υπηρεσιών, χρηματοπιστωτικοί οργανισμοί και εταιρείες επεξεργασίας πιστωτικών καρτών.
Αυτές οι εταιρείες “υψηλού προφίλ” διαθέτουν συνήθως πολύ καλή προστασία, κάτι όμως που οι χάκερ βλέπουν ως ένα κίνητρο παραπάνω.

Το κόστος των κυβερνοκινδύνων
Μια κυβερνοεπίθεση μπορεί να επιβαρύνει εταιρείες με σημαντικά κόστη:

  •  Διακοπή εργασιών: όσο τα συστήματα δεν είναι διαθέσιμα εσωτερικά ή εξωτερικά, προκαλούνται κόστη από την απώλεια εργασιών. Τα σχετικά ποσά εξαρτώνται από το χρόνο που θα απαιτηθεί για να αποκατασταθεί η λειτουργία των συστημάτων ή να διεξαχθεί η σχετική ποινική έρευνα. 
  • Απώλειες τρίτων: αυτή είναι μία πτυχή σημαντική, ιδιαίτερα στο πλαίσιο της δικαστικής πρακτικής των ΗΠΑ. Ενόψει της υψηλής έκθεσής τους σε ευθύνη, οι εταιρείες θα πρέπει να είναι εξαιρετικά προσεκτικές στη συμμόρφωσή τους με τις νομικές απαιτήσεις –αν μη τι άλλο, για να αποφύγουν νομικές ενέργειες από πελάτες και συλλογικές αγωγές με πιθανά τεράστιες απαιτήσεις αποζημίωσης. 
  • Νομικά έξοδα: δεν πρέπει να υποτιμηθεί το κόστος της νομικής υποστήριξης. Το κόστος υπεράσπισης και η αποζημίωση μπορούν να φτάσουν σε δυσθεώρητα ποσά. Εδώ περιλαμβάνονται τα έξοδα δικηγόρων, όχι μόνο για την υπεράσπιση των υποθέσεων στο δικαστήριο, αλλά και για να φροντίζουν ώστε οι υποθέσεις να μην φτάνουν ποτέ στα δικαστήρια, όπως επίσης και τα έξοδα για διενέργεια νομικών αναλύσεων της κάθε κατάστασης και την παροχή συστάσεων για τα επόμενα βήματα. 
  • Λοιπά κόστη: για παράδειγμα, όλα όσα σχετίζονται με την ενημέρωση των πελατών, την αποκατάσταση συστημάτων και δεδομένων ή την επανόρθωση της ζημιάς στη φήμη.

Επιλογές σχεδίασης προϊόντων
Γενικά, τα “παραδοσιακά” συμβόλαια ασφάλισης περιουσίας και ευθύνης δεν καλύπτουν κυβερνοκινδύνους. Ακολουθεί μία επιλογή των διαφόρων επιλογών κάλυψης που διατίθενται στην αγορά:

Ευθύνη
Οι ακόλουθοι κίνδυνοι μπορεί να προκαλέσουν απαιτήσεις κατά μιας ασφαλισμένης επιχείρησης, η οποία θα είναι διά νόμου υποχρεωμένη να πληρώσει. Η ασφαλιστική εταιρεία αναλαμβάνει επακόλουθες ζημίες (δικαστικές αποφάσεις, εφάπαξ διακανονισμούς, έξοδα υπεράσπισης).

  • Παραβιάσεις προστασίας: η αδυναμία ενός προσώπου ή μιας εταιρείας (ή υπαλλήλου αυτής) να προστατεύσει σωστά πληροφορίες, δηλ. να επιτρέψει είτε κατά λάθος είτε από αμέλεια τη μη εξουσιοδοτημένη μεταφορά ή διάδοση εμπιστευτικών προσωπικών ή επιχειρηματικών πληροφοριών σε οποιαδήποτε μορφή. Αυτό ισχύει, επίσης, και για εξωτερικούς παρόχους υπηρεσιών, για τους οποίους η επιχείρηση είναι υπεύθυνη. 
  • Αποτυχίες πρόσβασης: μη διαθεσιμότητα συστημάτων λόγω άρνησης ή περιορισμού παροχής πρόσβασης στα δεδομένα σε τρίτους (πελάτες), ως αποτέλεσμα ενός σφάλματος ασφαλείας στο δικτυακό σύστημα. 
  • Παραβιάσεις ασφαλείας: ζημιά που προκαλείται από μη εξουσιοδοτημένη πρόσβαση στο δίκτυο, τη μη εξουσιοδοτημένη χρήση δικτυακών πόρων, την εισαγωγή ή μετάδοση βλαβερού κώδικα (μη εξουσιοδοτημένου λογισμικού), την παρουσία ενός ή περισσότερων ιών στο λογισμικό ή στα δεδομένα ενός εταιρικού συστήματος ή δικτύου υπολογιστών λόγω σφάλματος ασφαλείας, περιλαμβανομένης επίθεσης άρνησης υπηρεσιών. Στις πιθανές ζημιές περιλαμβάνεται η μεταβολή, παραποίηση, πρόκληση ζημιάς, καταστροφή ή διαγραφή δεδομένων.
  • Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας: όλες οι παραβιάσεις δικαιωμάτων πνευματικής ιδιοκτησίας περιεχομένου ή δεδομένων ως αποτέλεσμα βλάβης ή σφάλματος που δεν επιτρέπει την προστασία τους. Οι παραβιάσεις αυτές περιλαμβάνουν παραβιάσεις copyright, τίτλων, λέξεων-κλειδιών, εμπορικών σημάτων, εμπορικών ονομάτων, μαρκών, υπηρεσιών ή ονομάτων τομέα (domain name).
  • Διαδικτυακά μέσα: βλάβη στη φήμη τρίτου μέσω συκοφαντίας ή/και δυσφήμισης, παραβίασης ιδιωτικότητας, δυσμενούς σχολιασμού προσώπων, προϊόντων ή υπηρεσιών, κάθε είδους ηλεκτρονικού ή ψηφιακού περιεχομένου, μέσω ψευδών ηλεκτρονικών δημοσιεύσεων ή διαδόσεων. Η κάλυψη μπορεί να επεκταθεί και στις απομιμήσεις, την πειρατεία ή την υπεξαίρεση ή την κλοπή ιδεών και πληροφοριών.

Ασφαλιστικές λύσεις πρώτου μέρους

  • Κόστος ειδοποίησης: το κόστος για την ειδοποίηση των πελατών μετά από παραβίαση προστασίας δεδομένων. Αυτό το κόστος καταβάλλεται από την ασφαλιστική εταιρεία (αφορά ιδίως στις ΗΠΑ).
  • Κόστος αποκατάστασης της ταυτότητας του κατόχου συμβολαίου.
  • Κόστος εγκληματολογικής ανάλυσης για τον εντοπισμό των κλεμμένων και κατεστραμμένων δεδομένων. 
  • Κόστος υποστήριξης: κόστος αυξημένων εξόδων υποστήριξης.
  • Κόστος για την ανοικοδόμηση του συστήματος και των δεδομένων.
  • Απώλεια εσόδων.
  • Κλοπή πνευματικής ιδιοκτησίας: ασφαλιστήρια συμβόλαια για την προστασία της πνευματικής ιδιοκτησίας είναι διαθέσιμα στην αγορά. Ωστόσο, το ποσό της αποζημίωσης είναι πολύ δύσκολα προσδιορίσιμο. για παράδειγμα, κατά την απόπειρα προσδιορισμού της αξίας μιας κλεμμένης εφεύρεσης. 
  • Αποκατάσταση φήμης: οι ασφαλιστικές εταιρείες που προσφέρουν αυτή τη λύση θα πρέπει να είναι πάρα πολύ προσεκτικές, να μην υποτιμήσουν την πολυπλοκότητα των αλληλεπιδρούντων παραγόντων, ώστε να παρέχουν μία εξατομικευμένη λύση. 
  • Εκβιασμός: καλύψεις παρεμφερείς με αυτές της απαγωγής και λύτρων διατίθενται για άλλους κλάδους.

Η σωστή στρατηγική για την ανεύρεση της σωστής λύσης
Καθώς οι κυβερνοκίνδυνοι είναι ακόμα κάτι το πολύ καινούργιο και ραγδαία μεταβαλλόμενο, δεν εμπίπτουν στις συνήθεις μεθόδους ανάλυσης και αναζήτησης τάσεων, και έτσι είναι απαραίτητη η χρήση μοντέλων πιθανοτήτων. Καθώς υπάρχει περιορισμένη δυνατότητα ανάληψης, οι κυβερνοκίνδυνοι θα πρέπει να ασφαλίζονται μέσα από ειδικά σχεδιασμένες και σαφώς οριοθετημένες συνιστώσες κάλυψης, παρά να ενσωματώνονται μέσα στα συνήθη συμβόλαια ασφάλισης περιουσίας και ευθύνης. Αυτός είναι ο μόνος τρόπος να προσδιοριστούν επιμέρους συνιστώσες για την αντιμετώπιση των επιμέρους κινδύνων. Πολλές κυβερνοκαλύψεις περιλαμβάνουν συνιστώσες κάλυψης περιουσίας και ευθύνης, αποκτώντας έτσι έναν πολυ-κλαδικό χαρακτήρα. Αυτό είναι συχνά απαραίτητο, καθώς στις περισσότερες περιπτώσεις οι επιμέρους συνιστώσες δεν επηρεάζουν άμεσα την εταιρεία (για παράδειγμα με τη μορφή διακοπής εργασιών). Οι απαιτήσεις για καταβολή αποζημιώσεων μπορεί να είναι ένας ακόμα παράγοντας κόστους.

Πώς ωφελούνται οι ασφαλισμένοι από την καλή διαχείριση απαιτήσεων

Υπάρχουν διάφορες μέθοδοι ποσοτικοποίησης του ποσού μιας ασφαλισμένης απώλειας, προκύπτουσας από απώλεια και κακομεταχείριση δεδομένων. Συγκρίνοντας τη συχνά μνημονευόμενη μελέτη του Ινστιτούτου Ponemon (σύμφωνα με την οποία το μέσο κόστος των παραβιάσεων ασφάλειας δεδομένων στις ΗΠΑ ανέρχεται σε $5,5 εκατ. και το μέσο κόστος ανά εγγραφή στα $194) με στοιχεία που παρέχει η υπηρεσία διαχείρισης κυβερνοκινδύνων NetDiligence®, διαπιστώνουμε ότι τα κόστη που αναφέρονται από την τελευταία είναι σημαντικά χαμηλότερα, καθώς η συγκεκριμένη μελέτη εστιάζει κυρίως στο ασφαλισμένο κόστος ανά συμβάν και λιγότερο στο κόστος ανά εγγραφή (στοιχείο που είναι σπάνια διαθέσιμο σε κάθε περίπτωση). Η πλέον πρόσφατη μελέτη (που εκδόθηκε τον Οκτώβριο του 2012), αναφέρει ότι οι ασφαλισμένες απώλειες στις ΗΠΑ από απώλεια και κακομεταχείριση δεδομένων ανέρχονται κατά μέσο όρο σε $3,7 εκατ. ανά συμβάν και $3,94 ανά εγγραφή.

Σύμφωνα με μια συγκριτική ανάλυση των μελετών Ponemon και NetDiligence® που διεξήχθη από τη Munich Re, οι διαφορές που παρατηρούνται στα αποτελέσματά τους μπορεί να αποδίδονται, από τη μία, στο γεγονός ότι το κόστος ειδοποίησης (και νομικών συμβούλων) για τις ασφαλισμένες απαιτήσεις πέφτει, όταν οι ασφαλιστικές εταιρείες επενδύουν περισσότερο στην εγκληματολογική ανάλυση. Από την άλλη, η ασφάλιση –μαζί με επαγγελματική εξωτερική υποστήριξη– δίνει στους ασφαλισμένους τη δυνατότητα να επεξεργαστούν μία απαίτηση προκύπτουσα από απώλεια και κακομεταχείριση δεδομένων με πολύ μεγαλύτερη ακρίβεια και αποτελεσματικότητα (ενημερώνοντας, για παράδειγμα, μόνο όσους έχουν πληγεί), λαμβάνοντας έτσι οικονομικότερες δράσεις.

Εδώ και πολλά χρόνια, η Munich Re εργάζεται στην κατεύθυνση της λεπτομερούς μοντελοποίησης των κυβερνοκινδύνων και βελτίωσης των επιλογών κάλυψης. Βρίσκεται πλέον σε θέση να αντασφαλίζει σωρευτικούς κινδύνους, όπως απαιτήσεις από worms και ιούς. Σε αυτόν ακριβώς τον τομέα οι πελάτες επωφελούνται από την εξαιρετική επισκόπηση του ιστορικού απωλειών που έχει κάνει η Munich Re, καθώς και της προκύπτουσας ικανότητας ανάπτυξης σεναρίων ζημιογόνων συμβάντων.

 

Εγγραφείτε στο NewsLetter μας