H εκρηκτική αύξηση των επιθέσεων ransomware – οι οποίες δεν περιορίζονται από γεωγραφικά όρια – σε συνδυασμό με τη χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης που εξελίσσει τις απειλές παγκοσμίως, καθιστούν οποιαδήποτε εταιρία δυνητικό θύμα τους και αυξάνουν τον αριθμό των ζημιών των ασφαλιστικών εταιριών δραματικά.
Η επανεκτίμηση συνοδεύτηκε με μεγαλύτε- ρο έλεγχο των τεχνικών και οργανωτικών μέτρων κάθε εταιρίας για την αντιμετώπιση περιστατικών παραβίασης, με χρήση ειδικού λογισμικού εξέτασης των συστημάτων της, με αλλαγές των παρεχόμενων καλύψεων, με μείωση ορίων ασφαλιστικής κάλυψης , εισαγωγή συνασφάλισης , αύξηση απαλλαγών και μεγάλες αυξήσεις ασφαλίστρων.
Η νέα πολιτική ανάληψης κινδύνου ζητά από τον ασφαλισμέ- νο ή την υπό ασφάλιση εταιρία να αποδείξει ότι έχει εφαρμό- σει ενισχυμένα επίπεδα ελέγχου ασφάλειας για την πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά εξελιγμένα περιστατικά παραβίασης ασφάλειας.
Η έλλειψη των παρακάτω υποδομών καθιστά τις εταιρίες μη ασφαλίσιμες
- ‘Eλεγχος πρόσβασης χρήστη μέσω ελέγχου ταυτό- τητας πολλαπλών παραγόντων (MFA) και η χρήση Ει- κονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση. Η επιβολή χρήσης ισχυρής πολιτικής κωδικών πρόσβασης, η απαίτηση της χρήσης ελέγχου ταυτότητας πολ- λαπλών παραγόντων, η εκπαίδευση των εργαζομένων σχετι- κά με επιθέσεις phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων σύνδεσης και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση στα εταιρικά συστήματα είναι όλα κρίσιμα στοιχεία της στρατηγικής ασφά- λειας στον κυβερνοχώρο ενός οργανισμού. Μη ύπαρξη MFA σημαίνει μη ασφαλίσιμη εταιρία.
- Εκπαίδευση ευαισθητοποίησης του Ανθρώπινου Δυ- ναμικού στον κυβερνοχώρο. Ο πιο δημοφιλείς τρόπος δι- άδοσης κακόβουλου λογισμικού ransomware είναι τα μηνύ- ματα ηλεκτρονικού ψαρέματος (phishing). ‘Όταν ο χρήστης κάνοντας κλικ σε έναν σύνδεσμο ή να ανοίξει ένα συνημμέ- νο κακόβουλο λογισμικό, οι εγκληματίες του κυβερνοχώ- ρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του χρήστη και στο εταιρικό δίκτυο. Η έλλειψη εκπαίδευ- σης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο είναι ζωτικής σημασίας για την προστασία του οργανισμού από το ransomware. Το μεγαλύτερο ποσοστό περιστατικών παραβίασης ασφάλειας οφείλεται σε ανθρώπινο λάθος και τουλάχιστον ένας στους τρείς ανεκπαίδευτους χρήστες πέ- φτουν θύματα περιστατικών ransomware.
- Υπαρξη αντίγραφου ασφαλείας δεδομένων και ελεγμένες διαδικασίες ανάκτησής τους.Ο στόχος του ransomware είναι να αναγκάσει την εταιρία θύμα να πλη- ρώσει λύτρα προκειμένου να αποκτήσει ξανά πρόσβαση στα κρυπτογραφημένα δεδομένα του. Η βιομηχανία του ransomware πλέον δεν αρκείται μόνο στο κλείδωμα των αρχείων αλλά και στην απειλή δημοσίευσης των δεδομέ- νων που έχουν έρθει στην κατοχή τους πριν την εκδήλωση του εκβιασμού. Για να καταβάλλει μία εταιρία θύμα θα πρέ- πει να μην έχει δυνατότητα πρόσβασης σε αυτά. Μια σωστή διαδικασία δημιουργίας αντιγράφων ασφαλείας δεδομένων με ελεγμένη διαδικασία ανάκτησής της είναι ένας αποτελε- σματικός τρόπος για να μετριαστεί ο κίνδυνος μιας επίθεσης ransomware.
- Εγκατάσταση ενημερώσεων διορθώσεων προγραμ- μάτων. Η εγκατάσταση ενημερώσεων διορθώσεων προ- γραμμάτων ειδικά εκείνων που χαρακτηρίζονται ως κρίσιμες μπορεί να συμβάλει στον περιορισμό των ευπαθειών ενός οργανισμού σε επιθέσεις ransomware.
Ανταγωνιστικό πλεονέκτημα η ασφάλιση
H ασφάλιση πλέον θα πρέπει να αντιμετωπίζεται σαν εταιρική υποδομή η οποία προσφέρει ανταγωνιστικό πλεονέκτημα στις εταιρίες που την έχουν υιοθετήσει.
Η περίοδος της πανδημίας αύξησε τους κινδύνους που αντι- μετωπίζει κάθε εταιρία. Ο ψηφιακός μετασχηματισμός που έλαβε χώρα κατά την διάρκεια της πανδημίας εξέθεσε τις εταιρίες σε νέους κινδύνους για τη διαχείριση των οποίων χρειάζεται και ασφάλιση cyber insurance. Χωρίς την υιοθέ- τηση νέων υπηρεσιών εξυπηρέτησης οι περισσότερες εται- ρίες θα βρίσκονταν στο φάσμα της χρεωκοπίας.
Το νέο περιβάλλον απαιτεί ενεργή διαχείριση των κινδύνων που απειλούν τις καθημερινές λειτουργίες της κάθε εταιρί- ας όπως οι κυβερνοεπιθέσεις, το phishing, τα περιστατικά ransomware κα, κίνδυνοι οι οποίοι μπορούν να οδηγήσουν σε διακοπή εργασιών, πρόστιμα και ευθύνες για μη πρόληψη και σωστή διαχείριση περιστατικών παραβίασης ασφάλειας. Λαμβάνοντας υπόψη ότι ο κίνδυνος δεν είναι 100% δι- αχειρίσιμος όποιες ενέργειες και να κάνει μία εταιρία, η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματι- κό εργαλείο διαχείρισης του υπολειπόμενου κινδύνου (residual risk) και οι υπηρεσίες διαχείρισης περιστατικών παραβίασης ασφάλειας που παρέχει μπορούν να καταστή- σουν λειτουργικό το Πλάνο Αντιμετώπισης Περιστατικών που διαθέτει η κάθε εταιρία. Επίσης είναι ένα εργαλείο αντι- μετώπισης των οικονομικών συνεπειών περιστατικών πα- ραβίασης ασφάλειας και βοηθά στην ομαλή συνέχιση των δραστηριοτήτων της επιχείρησης.
Η ασφάλιση cyber insurance είναι ένα ασφαλιστικό προϊόν του οποίου η κάλυψη είναι παγκόσμια. Το Internet δεν έχει τόπο και ο κίνδυνος δεν κάνει διάκριση. Η Ελλάδα ανέβηκε στην 5η θέση παγκοσμίως στην κατάταξη των χωρών που δέχονται κυβερνοεπιθέσεις.
Αυτό που βλέπουμε είναι ότι η ύπαρξη ασφάλισης έχει κα- ταστεί υποχρεωτική για την συμμετοχή σε έργα ασφάλειας πληροφοριακών συστημάτων, σε περιπτώσεις συγχωνεύσε- ων και εξαγορών και σε εταιρικές συνεργασίες.
Οι εταιρίες που δεν έχουν φροντίσει να έχουν τις κατάλληλες υποδομές και δεν έχουν δώσει έμφαση την εκπαίδευση του ανθρώπινου δυναμικού τους δεν έχουν πλέον δυνατό- τητα να ασφαλιστούν ή να διατηρήσουν το ασφαλιστικό πρό- γραμμα και τις παροχές που έχουν. Για να έχετε μια πλήρη εικόνα των τεχνικών και οργανωτικών μέτρων που ζητάνε οι ασφαλιστές από τις εταιρίες που ασφαλίζουν μπορείτε να κατεβάσετε τις προτάσεις ασφάλισης που βρίσκονται στην ενότητα Προσφορά Ασφάλισης στην ιστοσελίδα www.cyberinsurancequote.gr/get-a-quote.
Επίσης, είναι σύνηθες να περιορίζεται συμβατικά η ευθύ- νη των cloud providers και cloud integrators έως του ύψους του ποσού της σύμβασης που αναλαμβάνουν. Δεδο- μένου ότι οι ζημίες δεν περιορίζονται μόνο στο άμεσο κό- στος περιορισμού της ζημίας κλπ. αλλά και σε άλλες πτυχές της παραβίασης π.χ. κόστος της απόκρισης σε ρυθμιστικές αρχές ή η αντιμετώπιση αγωγών πελατών κλπ. τέτοιας φύ- σης συμβατικοί περιορισμοί ουσιαστικά ́ ́επιστρέφουν ‘’ την ευθύνη στον αρχικό πελάτη. Είναι όμως σύνηθες στις διαπραγματεύσεις συνεργασίας να απαιτείται από τον πελάτη ανάληψη υψηλότερου ποσοστού ευθύνης δηλαδή η ασφαλισμένη εταιρία ακόμη και εάν δια- τηρεί σε ισχύ ασφαλιστήριο συμβόλαιο να ζητά από τον πά- ροχο cloud ή και τον could integrator να διατηρεί επίσης σε ισχύ ασφαλιστήριο συμβόλαιο με ψηλά όρια ευθύνης ώστε να είναι σε θέση να συνεισφέρει σε περίπτωση κάλυψης μίας ζημίας. Μία υψηλή απαλλαγή η ανεπαρκή όρια ευθύνης στο συμβόλαιο του πελάτη, θα μπορούσαν να καλυφθούν από το ασφαλιστήριο συμβόλαιο του παρόχου cloud ή του cloud integrator, με σχετική πρόβλεψη/απαίτηση. Είναι επίσης πι- θανό να ζητείται από τον πελάτη πρόβλεψη κάλυψης και για την πιθανή απώλεια κερδών λόγω επίθεσης στον κυβερνο- χώρο και επακόλουθη ζημία. Τα τελευταία χρόνια οι ασφαλιστές στον κυβερνοχώρο επε- κτείνουν σταθερά την κάλυψη διακοπών λειτουργίας από τις επιχειρήσεις στον κυβερνοχώρο για να συμπεριλάβουν τις πιθανές διακοπές λειτουργίας των προμηθευτών cloud, αλλά η συγκεκριμένη κάλυψη έχει αρχίσει να παρέχεται πε- ριορισμένα και με αυστηρότερα κριτήρια και προϋποθέσεις. Μία από τις σημαντικές παρανοήσεις είναι ότι ένα ασφα- λιστήριο συμβόλαιο διαδικτυακών κινδύνων είναι επαρκές για έναν cloud integrator. Η πεποίθηση αυτή είναι λανθασμένη και δυστυχώς αυτό απο- δεικνύεται σε ενδεχόμενη ζημία και επακόλουθη απαίτη- ση από τον πελάτη. Μια αξίωση παραβίασης δεδομένων για έναν cloud integrator είναι πιθανότερο να σχετίζεται με την επαγγελματική ευθύνη του τελευταίου για αμέλεια κατά την εκτέλεση των συμφωνημένων υπηρεσιών όχι μόνο στην πε- ρίπτωση επικαλούμενου σφάλματος (από αμέλεια) στον σχε- διασμό αλλά και σε αυτή διαδικτυακής επίθεσης και απώλειας δεδομένων (πχ αδυναμία να διατηρήσει τα δεδομένα ασφαλή). Για τον παραπάνω λόγο το ορθό πλαίσιο ασφαλιστικής κάλυψης για τον cloud integrator είναι η συνδυαστική κάλυψη Επαγγελματικής Ευθύνης και διαδικτυακών κινδύνων και δη με κοινό ασφαλιστήριο συμβόλαιο ώστε να αποφευχθεί οποιοδήποτε ‘’ κενό ‘’ ασφαλιστικής κάλυψης λόγω ύπαρξης δύο διαφορετικών συμβολαίων τα οποία συ- μπληρώνουν το ένα το άλλο.
Μία επίσης σημαντική επισήμανση αφορά την μελέτη των εκατέρωθεν συμβατικών υποχρεώσεων μίας συμφωνίας συνεργασίας ώστε να διασφαλισθεί η ικανοποίηση των απαιτήσεων που αφορούν τις ασφαλιστικές καλύψεις του κάθε συμβαλλόμενου μέρους. Η μελέτη από εξειδι- κευμένο ασφαλιστικό σύμβουλο θα πρέπει να συμπληρώ- νει την αντίστοιχη που πραγματοποιείται από τους νομικούς συμβούλους των εταιριών γιατί πρόκειται για δύο διαφορε- τικά πεδία γνώσης. Η ερμηνεία που δίδεται από τον νομικό σύμβουλο δεν μπορεί και δεν πρέπει να αφορά και να υποκαθιστά την υλοποίηση των ασφαλιστικών υποχρεώσεων με τα κατάλληλα ασφαλι- στήρια συμβόλαια, πρακτική την οποία γνωρίζει μόνο ένας έμπειρος ασφαλιστικός σύμβουλος. Η Cromar διατηρεί πρωταγωνιστικό ρόλο στις ασφαλί- σεις διαδικτυακών κινδύνων και διαθέτει μία πολύχρονη εμπειρία τόσο στην ερμηνεία και υλοποίηση των εκατέρω- θεν ασφαλιστικών υποχρεώσεων, όσο και στην ασφάλιση των παραπάνω δραστηριοτήτων. Έχει τιμηθεί το βραβείο Lloyd’s Μarket Innovation Award για την δημιουργία εκπαι- δευτικής μηχανής σε διαγωνισμό καινοτομίας που διοργά- νωσε η αγορά των Lloyd’s για θέματα εκπαίδευσης, ιδιωτι- κότητας, διαχείρισης περιστατικών παραβίασης ασφαλείας και ασφάλισης Cyber Insurance. Τα ασφαλιστικά προϊόντα τα οποία διαθέτουμε είναι μελετη- μένα ώστε να παρέχουν το απαιτούμενο πλαίσιο κάλυψης για την συγκεκριμένη δραστηριότητα, με σαφείς όρους και ανταγωνιστικό κόστος κάλυψης. Πιο συγκεκριμένα, διαθέ- τουμε το προϊόν Mediatech, το οποίο υποστηρίζεται από το συνδικάτο Beazley των Lloyd’s καθώς και το προϊόν Tech and Media Technology το οποίο υποστηρίζεται από την ελεύθερη αγορά του Λονδίνου, με τα δύο προϊόντα να συν- δυάζουν την κάλυψη Επαγγελματικής ευθύνης με κάλυψη διαδικτυακών κινδύνων. Επιπλέον το πρόγραμμα Tech and Media Technology παρέχει και τις καλύψεις Γενικής Αστικής Ευθύνης, Πυρός και Διακο- πής Εργασιών ώστε να παρέχεται ένα ολοκληρωμένο πακέτο ασφαλιστικών καλύψεων για την εταιρία από ένα και μόνο ασφαλιστήριο συμβόλαιο. Kαι οι δύο ασφαλιστικές προτάσεις προσαρμόζονται ώστε να συνάδουν με τις εκάστοτε συμβα- τικές απαιτήσεις παρέχοντας ταυτόχρονα ένα ευρύ πλαίσιο ασφαλιστικών καλύψεων.