Cyber Risks: Μια νέα μεγάλη πρόκληση
Της Δρ. Αγλαΐας Πετσέτη, Client Director, Aon Benfield Facultative, UK
Από τις γραφομηχανές, το κλασικό κομπιουτεράκι και το φαξ, μέχρι τους ηλεκτρονικούς υπολογιστές, τα e-mails, τα smart phones και το cloud computing δεν έχουν μεσολαβήσει τόσα πολλά χρόνια, μοιάζει όμως σαν να έχουν περάσει τεχνολογικά κάποιοι αιώνες. Και μπορεί η ζωή των ανθρώπων του τότε να μην ήταν τόσο εύκολη, επειδή οι περισσότερες εργασίες γίνονταν με τη χρήση των χεριών και του μυαλού τους, η καθημερινότητά τους, όμως, δεν ήταν απαραίτητα χειρότερη και σίγουρα ήταν λιγότερο πολύπλοκη. Η δική μας όμως;
Η τεχνολογία κάνει άλματα και εμείς την κυνηγάμε, για να μη μείνουμε πίσω από τις εξελίξεις. Μαζί με τα προβλήματα που έχει λύσει, νέοι κίνδυνοι έχουν κάνει την εμφάνισή τους σε κάθε επιπεδο. Τόσο ραγδαία είναι η τεχνολογική εξάπλωση, που ακόμη και το οικονομικό έγκλημα έχει αποκτήσει έναν πιο “σοφιστικέ” χαρακτήρα.
Ενδιαφέρον παρουσιάζουν τα ευρήματα της τελευταίας έρευνας της PWC σχετικά με το οικονομικό έγκλημα στις επιχειρήσεις. Σχεδόν όλα τα χρόνια, στη λίστα των πιο συχνών κρουσμάτων φιγούραραν η λογιστική απάτη, η διαφθορά και η δωροδοκία. Μετά το 2011, οι κίνδυνοι στον κυβερνοχώρο (Cyber Risks) εντάσσονται σε αυτή τη λίστα, κατέχοντας μία από τις κορυφαίες θέσεις. Η Εικόνα 1, εν συντομία αλλά εύστοχα, δίνει τον ορισμό των ηλεκτρονικών κινδύνων.
{gallery}pinakes-grafimata/petseti-cyber-risks{/gallery}
Oι παραβιάσεις ηλεκτρονικών συστημάτων και η διαρροή εμπιστευτικών πληροφοριών κάνουν πρωτοσέλιδα ανά τον κόσμο, με θύματα χρηματοοικονομικές επιχειρήσεις, εταιρείες που δραστηριοποιούνται στον χώρο της υγείας ή του ηλεκτρονικού εμπορίου και γενικότερα οργανισμούς που αποθηκεύουν και διαχειρίζονται στοιχεία ταυτότητας, τραπεζικών λογαριασμών, πιστωτικών καρτών και άλλα ευαίσθητα δεδομένα χρηστών και πελατών.
Οι πληροφορίες αυτές, όταν φτάσουν στα λάθος χέρια, μπορούν να μετατραπούν σε χρήμα ή να αποτελέσουν προϊόν εκβιασμού. Σε κάθε περίπτωση, όμως, μια τέτοια διαρροή ενεργοποιεί ένα ντόμινο προβλημάτων για την επιχείρηση – στόχο της παραβίασης, προκαλεί τεράστιο πλήγμα στη φήμη και την εταιρική της ταυτότητα και την επιφορτίζει με σοβαρές ευθύνες έναντι εκείνων των οποίων τα στοιχεία διέρρευσαν, χρησιμοποιήθηκαν ή παραβιάστηκαν. Επίσης, έχει να αντιμετωπίσει τις συνέπειες της διακοπής των εργασιών λόγω της επίθεσης, δαπάνες για την αποκατάσταση των ζημιών στα δίκτυα και την επανάκτηση χαμένων δεδομένων, την υποχρέωση να ενημερώσει μαζικά τους χρήστες των οποίων οι πληροφορίες παραβιάστηκαν, υψηλά νομικά έξοδα, δαπάνες διερεύνησης σχετικά με το τι πήγε στραβά, αλλά και ποινές, πρόστιμα και σοβαρές κυρώσεις, που επιβάλλονται από τη νομοθεσία και τις αρμόδιες ρυθμιστικές αρχές.
Η επιτυχής διάπραξη ηλεκτρονικών επιθέσεων αποτελεί για τους δράστες – hackers μια επιβεβαίωση των τεχνολογικών ικανοτήτων τους, με τα κίνητρά τους να είναι πότε οικονομικά και πότε ιδεολογικά, καθώς μια επίθεση μπορεί να είναι αποτέλεσμα τρομοκρατικής ή ακτιβιστικής ενέργειας. Η έξαρση των ηλεκτρονικών επιθέσεων οφείλεται στη ραγδαία ανάπτυξη της τεχνολογίας αλλά και στο γεγονός ότι, σε σύγκριση με το συμβατικό οικονομικό έγκλημα, οι δράστες της ηλεκτρονικής – διαδικτυακής απάτης έχουν μεγαλύτερα οφέλη αλλά διατρέχουν λιγότερους κινδύνους, αφού η σύλληψή τους, λόγω της μη φυσικής παρουσίας στον τόπο του εγκλήματος, καθίσταται δύσκολη έως αδύνατη, ενώ μπορούν να διαπράττουν το ίδιο αδίκημα εναντίον του ίδιου στόχου πολλές φορές, από οποιοδήποτε σημείο του πλανήτη. Οι ηλεκτρονικοί κινδυνοι είναι σε μεγάλο βαθμό μια εξωτερική απειλή, όμως, δεν πρέπει να αγνοούμε το γεγονός ότι μπορεί να προέλθουν και από το εσωτερικό του οργανισμού ή της επιχείρησης, είτε ως αποτέλεσμα κακόβουλης ενέργειας κάποιων εργαζομένων είτε ώς αποτέλεσμα ενός λάθους ή μιας αμελούς πράξης ή απροσεξίας ενός υπαλλήλου (π.χ. απώλεια hardware, κλοπή κινητού τηλεφώνου, αμέλεια κατά την αποστολή δεδομένων, κ.λπ.).
Τελικά, όμως, το ηλεκτρονικό – διαδικτυακό έγκλημα ή όπως επικρατεί διεθνώς Cyber Crime δεν είναι ένα τεχνολογικό πρόβλημα, όσο και αν αποδίδεται στην τεχνολογική κορύφωση. Στην πραγματικότητα είναι ένα στρατηγικό πρόβλημα, ένα πρόβλημα διαδικασιών στις επιχειρήσεις, γιατί στο τέλος της ημέρας ο αυτουργός δεν είναι ο υπολογιστής ή το διαδίκτυο, αλλά ο ανθρώπινος παράγοντας, που προσπαθεί να ανακαλύψει και να εκμεταλλευτεί τα τεχνικά κενά και τα τρωτά σημεία στα συστήματα ασφαλείας των δικτύων.
Η έξαρση των ηλεκτρονικών επιθέσεων και οι δυσμενείς επιπτώσεις τους έχουν οδηγήσει σε αυστηρότερα νομοθετικά πλαίσια διεθνώς. Όμως, όσο αυστηρή και αν είναι η νομοθεσία κατά των δραστών, είναι δυσκολότερο να εφαρμοστεί, λόγω της ανωνυμίας τους, της αδυναμίας να εντοπιστούν και του γεγονότος ότι δρουν σε οποιοδήποτε μέρος του πλανήτη. Κατά συνέπεια, οι νόμοι και οι ποινές γίνονται αυστηρότερες κατά των θυμάτων, έχουν δηλαδή τελικούς αποδέκτες τις επιχειρήσεις που είναι στόχος των δραστών, σε μια προσπάθεια να δημιουργηθούν οι κατάλληλες συνθήκες και προϋποθέσεις περιορισμού των ηλεκτρονικών εισβολών.
Παρά όμως τους αυστηρούς νόμους και παρά τις προφυλάξεις που λαμβάνει ο κάθε οργανισμός για να προστατευτεί, απόλυτη λύση στο πρόβλημα δεν υπάρχει, γιατί ακόμη και τα πιο προηγμένα συστήματα μπορούν να παραβιαστούν, καθώς η απληστία των δραστών είναι τόσο απεριόριστη όσο είναι και η τεχνολογία. Το ύψος της ζημιάς που μπορεί να επέλθει, όμως, εξαρτάται από διάφορους παράγοντες. Όσο πιο γρήγορα ανακαλυφθεί η επίθεση, όσο πιο προετοιμασμένη είναι η επιχείρηση με ειδικά σχέδια αντιμετώπισης των συνεπειών τέτοιων επιθέσεων και όσο πιο άμεση και αποτελεσματική είναι η ανταπόκριση ειδικών συμβούλων, τόσο λιγότερες είναι οι απώλειες. Για αυτό και κρίνεται απαραίτητος ο σχεδιασμός προγράμματος δράσης με την ανάμειξη όλων των τμημάτων, σε κάθε επίπεδο, μέσα στον οργανισμό, φτάνοντας μέχρι το διοικητικό συμβούλιο και τα ανώτατα διοικητικά κλιμάκια. Ειδικά η ενεργή συμμετοχή των τελευταίων καθίσταται επιτακτική, καθώς οι άμεσες συνέπειες μιας ηλεκτρονικής επίθεσης μπορεί να έχουν αντίκτυπο στους ίδιους, αν ενεργοποιηθούν απαιτήσεις εναντίον τους περί παράλειψης και αδυναμίας να διαχειριστούν επαρκώς και αποτελεσματικά τους ηλεκτρονικούς κινδύνους.
Πριν από λίγα μόνο χρόνια κανείς δεν θα μπορούσε να προβλέψει ότι η έκθεση μιας επιχείρησης σε τεχνολογικούς κινδύνους θα ήταν ανάλογου μεγέθους και σημασίας με τους κινδύνους περιουσίας και ευθύνης. Τώρα πια, που το επιχειρείν είναι απόλυτα συνδεδεμένο με την τεχνολογία, οι ηλεκτρονικοί κίνδυνοι και η αντιμετώπισή τους είναι ένα θέμα που πρέπει να έχει θέση στο τραπέζι των Διοικητικών Συμβουλίων και όχι μόνο να αφήνεται στα χέρια και στην ευθύνη του τεχνικού τμήματος της επιχείρησης.
Κατά συνέπεια, και εδώ η ασφάλιση μπορεί να αποτελέσει ένα συστατικό στη διαχείριση τέτοιων κινδύνων. Πράγματι, κατά την τελευταία δεκαετία, ένας αριθμός διεθνών ασφαλιστικών ομίλων συμπορεύτηκε με την τεχνολογία, αναπτύσσοντας ειδικά προϊόντα, που απευθύνονται στην αντιμετώπιση των συνεπειών από ηλεκτρονικές επιθέσεις. Αυτά τα προϊόντα δεν ανήκουν στην κατηγορία των τυπικών και συνηθισμένων καλύψεων και αυτό γιατί δεν έχουν μονόπλευρο χαρακτήρα και δεν αναλαμβάνουν μόνο τις προφανείς συνέπειες των κινδύνων. Ανταποκρίνονται τόσο σε ζημιές “first party” όσο και “third party”. Ενδεικτικά, αναλαμβάνουν νομικά έξοδα και δαπάνες ερευνών, καλύπτουν τη διακοπή εργασιών εξαιτίας παραβίασης, καλύπτουν πληρωμή λύτρων σε περιπτώσεις εκβιασμών και απειλών κατά της ασφάλειας δικτύων και παρέχουν σημαντικές επαγγελματικές υπηρεσίες τεχνικού ή συμβουλευτικού τύπου. Το βασικότερο πλεονέκτημά τους είναι, δε, η συμβολή τους στην προστασία και την αποκατάσταση της φήμης της επιχείρησης – στόχου της επίθεσης, μέσω παροχής υπηρεσιών περιορισμού της ζημιάς, παρακολούθησης των διαρροών δεδομένων μακροπρόθεσμα, αποκατάστασης της σχέσης με τους καταναλωτές μέσω πληροφόρησης και δελτίων τύπου και ενημέρωσης των ρυθμιστικών αρχών.
Οι περισσότερες επιχειρήσεις και ειδικά εκείνες που αποθηκεύουν και διαχειρίζονται λόγω της φύσης τους πολλά δεδομένα και στοιχεία τρίτων, αναγνωρίζουν την ανάγκη προστασίας τους από τους ηλεκτρονικούς κινδύνους. Συνήθως, όμως, δεν αντιλαμβάνονται το κενό που υπάρχει στα υφιστάμενα ασφαλιστήριά τους. Έτσι, πολλοί είναι εκείνοι που εσφαλμένα θεωρούν ότι οι ηλεκτρονικοί κίνδυνοι καλύπτονται απόλυτα από τα ασφαλιστήρια ευθύνης και περιουσίας που διαθέτουν. Βέβαια, σε κάποιο βαθμό, υπάρχει μια αλληλοκάλυψη, που όμως δεν επαρκεί για την πλήρη αντιμετώπιση των ζημιών.
Για παράδειγμα, ένα ασφαλιστήριο γενικής αστικής ευθύνης καλύπτει υλικές και σωματικές βλάβες έναντι τρίτων, όχι όμως τις οικονομικές ζημίες. Τα ασφαλιστήρια επαγγελματικής ευθύνης καλύπτουν οικονομικές ζημίες, οι οποίες όμως προκύπτουν από την αποτυχία παροχής επαγγελματικών υπηρεσιών και συχνά περιέχουν εξαιρέσεις για την παραβίαση δεδομένων. Η ασφάλιση περιουσιας καλύπτει τα φυσικά περιουσιακά στοιχεία, τα οποία υπόκεινται σε φυσικούς κινδύνους. Τα δεδομένα, όμως, δεν ανήκουν σε αυτή την κατηγορία και η παραβίαση από ιούς, hackers, κ.λπ. δεν είναι ένας φυσικός κίνδυνος. Τα ασφαλιστήρια απώλειας χρημάτων καλύπτουν την υπεξαίρεση από υπαλλήλους, όχι όμως και την απώλεια δεδομένων τρίτων από άγνωστους δράστες. Μιλώντας, όμως, για αλληλοκάλυψη, καταρχάς θα πρέπει να είναι σε ισχύ όλα τα παραδοσιακά ασφαλιστήρια, κάτι που δεν συμβαίνει για όλες τις επιχειρήσεις. Ακόμη, όμως, και στην περίπτωση που μια επιχείρηση διαθέτει όλα τα τυπικά ασφαλιστήρια περιουσίας και ευθύνης, ακόμη και αν συμφωνήσει πρόσθετες επεκτάσεις επί αυτών των ασφαλιστηρίων, μια προσεκτική ανάλυση στους όρους θα αποκαλύψει τα κενά στην ασφαλιστική κάλυψη, όσον αφορά στην ανταπόκρισή τους σε ηλεκτρονικούς κινδύνους, διαρροές και παραβιάσεις δεδομένων. Οι παραδοσιακές καλύψεις δεν μπορούν να ανταποκριθούν σε τέτοιους κινδύνους, γιατί καταρχήν δεν σχεδιάστηκαν για αυτόν τον σκοπό. Όπως είδαμε προηγουμένως, οι επιπτώσεις από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους έχουν διάφορες προεκτάσεις και δεν μπορούν να ερμηνευτούν εντός των στενών ορίων των παραδοσιακών ασφαλιστηρίων.
Κατά συνέπεια, μόνο τα εξειδικευμένα ασφαλιστήρια μπορούν να αντιμετωπίσουν ολοκληρωτικά τις συνέπειες από τους κινδύνους για τους οποίους συζητάμε. Ο σωστός προγραμματισμός και σχεδιασμός ενός οργανισμού κατά των ηλεκτρονικών επιθέσεων είναι αναμφισβήτητα ουσιώδης και απαραίτητος. Όμως, ακόμα και μια πολύ καλά οργανωμένη επιχείρηση δεν μπορεί να αντιμετωπίσει εσωτερικά το σύνολο των επιπτώσεων αποτελεσματικά και στον χρόνο που απαιτείται, λόγω της έλλειψης εμπειρίας σε ανάλογες καταστάσεις. Με τη μεταφορά του κινδύνου, όμως, σε εξειδικευμένους ασφαλιστές, εκτός από τη δεδομένη πληρωμή εξόδων και αποζημιώσεων, εξασφαλίζονται υπηρεσίες από ειδικούς και έμπειρους επαγγελματίες, που ενεργοποιούνται τη στιγμή που πραγματικά υπάρχει ανάγκη, χωρίς να βαρύνεται η επιχείρηση από υπερβολικές δαπάνες προκειμένου να έχει πρόσβαση σε τέτοιες υπηρεσίες εκτάκτως, όταν επέρχεται το ζημιογόνο γεγονός.
Η ασφάλιση ηλεκτρονικών και διαδικτυακών κινδύνων έρχεται να προστεθεί στη λίστα των μη παραδοσιακών και εξειδικευμένων ασφαλιστικών προϊόντων και αναμένεται επίσης να μας απασχολήσει πολύ στο μέλλον.