Γράφει ο Νίκος Γεωργόπουλος, Cyber Risks Insurance Advisor και συνιδρυτής της DPO Academy

Στόχος είναι η περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.

Η αύξηση των κυβερνοεπιθέσεων και μάλιστα σε κρίσιμους τομείς δραστηριότητας των ευρωπαϊκών κοινωνιών φέρνει στο επίκεντρο την εφαρμογή της νέας κοινοτικής οδηγίας με την ονομασία NIS2 για την ασφάλεια των συστημάτων δικτύου και πληροφοριών.

Στόχος είναι η περαιτέρω βελτίωση της ανθεκτικότητας και των ικανοτήτων αντιμετώπισης περιστατικών τόσο του δημόσιου και του ιδιωτικού τομέα όσο και της ΕΕ στο σύνολό της.

Ο κ. Γεωργόπουλος επισημαίνει ότι οι ασφαλιστικές εταιρείες θα πρέπει να προσφέρουν πέρα από κάλυψη για τέτοια περιστατικά και υπηρεσίες διαχείρισής τους, ώστε να περιορίζεται η πιθανότητα να πληρωθούν τελικά λύτρα. Ενώ συμπληρώνει ότι τα συμβόλαια θα πρέπει να γράφονται με όσο το δυνατόν πιο απλό τρόπο ώστε να γίνονται κατανοητά από τους ασφαλισμένους.

Βλέπουμε ότι αυξάνονται διαρκώς οι κυβερνοεπιθέσεις με στόχους πολύ κρίσιμους πλέον όπως οι υποδομές μιας χώρας, είδαμε την επίθεση στον ΔΕΣΦΑ για παράδειγμα. Τι σημαίνει αυτό για το φαινόμενο και τι πρέπει να γνωρίζει μια εταιρία για να προστατευθεί; 

Οι κρίσιμες υποδομές σε όλο τον κόσμο γίνονται καθημερινά στόχος κυβερνοεπιθέσεων και τα ποσά των λύτρων που ζητούνται είναι αρκετά μεγάλα. Πιο πρόσφατα σημειώθηκε μια από τις σημαντικότερες κυβερνοεπιθέσεις εναντίον κρίσιμων υποδομών στην ιστορία, η οποία έκοψε τη ροή καυσίμου σε αγωγούς της εταιρείας Colonial Pipeline. Η συγκεκριμένη εταιρεία μεταφέρει ημερησίως περίπου το ήμισυ των προμηθειών καυσίμου της Ανατολικής Ακτής των ΗΠΑ. Εδώ στην Ελλάδα πρόσφατα είχαμε περιστατικά στην ΔΕΣΦΑ στα ΕΛΤΑ.

Στην προστασία των κρίσιμων υποδομών αναφέρεται και η οδηγία NIS 2 ή οποία έρχεται να συμπληρώσει την υφιστάμενη NIS 1 και καθορίζει τα μέτρα διαχείρισης των κυβερνοκινδύνων και των υποχρεώσεων αναφοράς περιστατικών σε κρίσιμους τομείς όπως η ενέργεια, οι μεταφορές, η υγεία και οι ψηφιακές υποδομές.

Η αναθεωρημένη οδηγία θέτει κανόνες για ένα κανονιστικό πλαίσιο και θεσπίζει μηχανισμούς για την αποτελεσματική συνεργασία μεταξύ των αρμόδιων αρχών σε κάθε κράτος μέλος. Επικαιροποιεί τον κατάλογο τομέων και δραστηριοτήτων που υπόκεινται σε υποχρεώσεις στον τομέα της κυβερνοασφάλειας και προβλέπει διορθωτικά μέτρα και κυρώσεις για να διασφαλίζεται η τήρηση των υποχρεώσεων.

Με τη νέα οδηγία NIS 2 εισάγεται κανόνας ορίου μεγέθους. Αυτό σημαίνει ότι όλες οι μεσαίες και μεγάλες οντότητες που δραστηριοποιούνται σε τομείς ή παρέχουν υπηρεσίες που καλύπτονται από την οδηγία, θα εμπίπτουν στο πεδίο εφαρμογής της.

Κάθε εταιρία που ανήκει στις κρίσιμες υποδομές και όχι μόνο θα πρέπει έχει δημιουργήσει τις κατάλληλες υποδομές, διαδικασίες και πολιτικές διαχείρισης των κυβερνοκινδύνων. Η σωστή διαχείριση του κινδύνου μπορεί να προστατεύσει τις εταιρείες από τις συνέπειες ενός περιστατικού παραβίασης ασφάλειας.

Επειδή 100% ασφάλεια δεν υπάρχει, αυτό που μπορεί να κάνει μια εταιρία για να έχει καλύτερη διαχείριση του κινδύνου είναι να ασφαλιστεί ώστε να μπορεί να διαχειριστεί καλύτερα τις συνέπειες ενός περιστατικού παραβίασης ασφάλειας.

Μπορούμε να γνωρίζουμε σε τι ποσοστό αυτές οι κυβερνοεπιθέσεις έχουν ως αποτέλεσμα το ransomware και σε τι ποσοστό καταλήγει αυτό το ransomware να δίνεται τελικά;

Ακριβές ποσοστό δεν μπορούμε να έχουμε γιατί δεν υπάρχει μια βάση που θα καταγράφονται όλα τα περιστατικά ransomware και πόσες εταιρείες πλήρωσαν λύτρα. Επίσης πολλά περιστατικά δεν ανακοινώνονται. Μελέτες εμφανίζουν το ποσοστό αυτό αρκετά υψηλό και αυτό οφείλεται στο γεγονός ότι οι περισσότερες εταιρείες δεν είναι κατάλληλα προετοιμασμένες για την αντιμετώπιση αυτού του είδους των περιστατικών. Η μη σωστή προετοιμασία που περιλαμβάνει εκπαίδευση του ανθρώπινου δυναμικού, ενεργοποίηση πλάνου αντιμετώπισης περιστατικών, συνεργασία με εξειδικευμένους παρόχους και ασφαλιστικές εταιρίες που προσφέρουν μαζί με τα ασφαλιστήρια συμβόλαια υπηρεσίες διαχείρισης περιστατικών είναι και ο λόγος που αναγκάζονται να πληρώσουν λύτρα.

Η οδηγία που δίνουν στις εταιρίες οι ειδικοί και οι αρχές είναι να μην πληρώνουν λύτρα για να μην υποστηρίζουν το κυβερνοέγκλημα. Αυτό που έχει παρατηρηθεί είναι ότι οι εταιρείες θύματα περιστατικών ransomware που πλήρωσαν λύτρα συνήθως πέφτουν ξανά θύματα και τότε ζητούνται να πληρώσουν μεγαλύτερα ποσά.

Σύμφωνα με στοιχεία του ιστότοπου Homeland Security, ο μέσος όρος των λύτρων που καταβλήθηκε σε χάκερ το 2020 κυμάνθηκε στα 312.493 δολάρια, σημειώνοντας αύξηση 171%. Το υψηλότερο ποσό που έχει καταβληθεί και που έχει καταγραφεί, είναι 10 εκατ. δολάρια.

Που μπορεί να φτάσει η άνοδος της τιμής των ασφαλίστρων για μια τέτοια κάλυψη στο επόμενο διάστημα και πως μπορεί να σταθεροποιηθεί ή αγορά; 

Τα ασφάλιστρα παρουσιάζουν συνεχείς αυξήσεις την τελευταία διετία. Ο λόγος ήταν οι ζημιές των ασφαλιστικών εταιριών κυρίως από περιστατικά Ransomware. Τα περιστατικά Ransomware έχουν μεταβληθεί και δεν έχουν μόνο συνέπεια το κλείδωμα των συστημάτων και την πληρωμή λύτρων.

Οι κυβερνοεγκληματίες μπαίνουν στα εταιρικά συστήματα και αφαιρούν εταιρικά δεδομένα πριν ζητήσουν λύτρα για την παροχή των κλειδιών αποκρυπτογράφησης εκβιάζοντας την εταιρία θύμα ότι αν δεν καταβληθούν τα λύτρα θα δημοσιοποιήσουν τα δεδομένα ή θα επικοινωνήσουν με πελάτες τους για να τους ενημερώσουν για αυτό το περιστατικό. Οι αλλαγές στο χώρο του κυβερνοεγκλήματος και η μεταβολή του κινδύνου ανάγκασαν τις ασφαλιστικές να αναπροσαρμόσουν τις παροχές τους, τα όρια κάλυψης και τον τρόπο ανάληψης του κινδύνου.

Για να σταθεροποιηθεί το κόστος ασφάλισης θα πρέπει οι εταιρείες υποψήφιοι ασφαλισμένοι να βελτιώσουν τις υποδομές τους και τον τρόπο διαχείρισης του κινδύνου δημιουργώντας τα κατάλληλα τεχνικά και οργανωτικά μέτρα. Στόχος των ασφαλιστικών εταιριών και των αρχών είναι να μην πληρώνονται τα ποσά των λύτρων, αυτο μπορεί να γίνει αν οι εταιρίες θύματα έχουν κατάλληλες πολιτικές και διαδικασίες.

Τι πρέπει να κάνει μια εταιρεία ώστε να καταλάβει καλύτερα τους κινδύνους; Και τι πρέπει να κάνουν οι ασφαλιστικές για να μειώσουν την πολυπλοκότητα; 

Η ασφάλιση cyber insurance πρέπει να αντιμετωπίζεται από τις εταιρίες σαν μια απαραίτητη υποδομή, η οποία αυξάνει την δυνατότητα τους να διαχειριστούν πιο αποτελεσματικά τους κινδύνους από περιστατικά παραβίασης ασφάλειας. Επίσης βοηθάει στη ομαλή συνέχιση των εργασιών μιας εταιρείας.

Η πολυπλοκότητα προέρχεται από την φύση του συγκεκριμένου κινδύνου αυτό που πρέπει να γίνει είναι να υπάρχει κοινή γλώσσα από τους ασφαλιστές και όσο το δυνατόν πιο απλά γραμμένα ασφαλιστήρια συμβόλαια και να κατανοήσουν οι ασφαλισμένοι και τα στελέχη των εταιριών την φύση του κινδύνου.

Σε εισηγμένες εταιρείες στην Αμερική γίνονται ειδικές εκπαιδεύσεις στα υψηλόβαθμα στελέχη γιατί η μη σωστή διαχείριση του κινδύνου μπορεί να επηρεάσει την χρηματιστηριακή αξία της μετοχής και να δεχθούν αγωγές από τους μετόχους τους. Τα περιστατικά παραβίασης ασφάλειας δεν αποτελούν πλέον θέμα του Τμήματος Πληροφορικής μόνο.

Η αύξηση των περιστατικών και η δημοσιοποίησή τους μπορεί να κινητοποιήσει περισσότερο τις εταιρείες για να προστατεύσουν τις υποδομές τους; 

Η δημοσιοποίηση των περιστατικών είναι σημαντικός λόγος επένδυσης στην κυβερνοασφάλεια και στην ασφάλιση cyber insurance. Η δημοσιοποίηση έχει αρνητικό αντίκτυπο και μπορεί να οδηγήσει σε απώλεια πελατών και συνεργατών. Μετά από ένα περιστατικό πρέπει να ξαναφτιαχτεί η εμπιστοσύνη στην εταιρία και αυτό κοστίζει χρόνο και χρήμα.

ΠΗΓΗ: Χρήστος Γαβαλάς από το άρθρο της Underwriter.gr “Ν. Γεωργόπουλος: Με νέα οδηγία μπαίνει στο επίκεντρο η σωστή εταιρική διαχείριση των κυβερνο-κινδύνων”

Μοιράσου το στο

Χτίζουμε σχέσεις ζωής και εμπιστοσύνης με τους πελάτες μας!