netweek - Cyber Protection Insurance: Ασφάλεια<sup>2</sup>

Τρίτη, 25 Απριλίου 2017

ΔΙΑΦΗΜΙΣΗ

Professional Services

Cyber Protection Insurance: Ασφάλεια2

7 Δεκεμβρίου 2015 | 10:24 Γράφει ο Γιάννης  Μουρατίδης Topics: Special Reports

Αν η εταιρεία σας δεν έχει ακόμα δεχτεί επίθεση από κυβερνοεγκληματίες, είναι θέμα χρόνου να βιώσετε αυτήν τη δυσάρεστη εμπειρία. Ορισμένες ασφαλιστικές εταιρείες έχουν δημιουργήσει προϊόντα που στόχο έχουν να κάνουν το σοκ του χτυπήματος πιο ήπιο και περισσότερο υποφερτό.

Σύμφωνα με μελέτη της Lloyd’s, η οποία έγινε σε συνεργασία με το Κέντρο Μελετών Κινδύνων του Πανεπιστημίου του Κέιμπριτζ, το κόστος των κυβερνοεπιθέσεων που θα δεχθούν ελληνικές επιχειρήσεις και οργανισμοί την επόμενη δεκαετία (2015-2025) ανέρχεται στα 1,06 δισ. δολάρια, ένα ποσό που υπολείπεται ελάχιστα από τα 1,07 δισ. δολάρια που αντιστοιχεί στο κόστος κινδύνου λόγω σεισμού. Μια δεύτερη μελέτη του Ponemon Institute, διαπιστώνει ότι οι παραβιάσεις των συστημάτων και η διαρροή εμπιστευτικών πληροφοριών συγκροτούν ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν τη φήμη της εταιρείας και, σε συνδυασμό με την κακή εξυπηρέτηση πελατών και την πολιτική προστασίας που ακολουθεί, οδηγούν σε απώλεια πελατών. Ωστόσο, οι ελληνικές επιχειρήσεις φαίνεται ότι με ένα μαγικό τρόπο διαφεύγουν μέχρι τώρα τον κίνδυνο, καθώς σε έρευνα που πραγματοποίησε το 2013 η PWC, το 60% αυτών δήλωσαν ότι δεν έχουν υποστεί καμία κυβερνοεπίθεση.

Υπάρχει βέβαια μια μικρή λεπτομέρεια που ενδεχομένως διαφοροποιεί τις δηλώσεις από την πραγματική εικόνα. Μέχρι και την περασμένη χρονιά, οι ελληνικές επιχειρήσεις δεν ήταν υποχρεωμένες να δηλώνουν αυτά τα περιστατικά. Το προνόμιο της επιλεκτικής σιωπής αναμένεται να καταργηθεί τα ερχόμενα χρόνια, καθώς η νέα ευρωπαϊκή νομοθεσία επεκτείνει την υποχρέωση που είχαν οι πάροχοι τηλεπικοινωνιακών υπηρεσιών και Internet να ενημερώνουν τις αρμόδιες αρχές για περιστατικά κυβερνοεπιθέσεων και σε άλλους κρίσιμους τομείς της οικονομίας. Αυτό σημαίνει ότι τράπεζες, ασφαλιστικές και χρηματιστηριακές εταιρείες, εταιρείες ΔΕΚΟ, μεταφορικές εταιρείες και εταιρείες παροχής υπηρεσιών υγείας, είναι υποχρεωμένες να εκτίθενται σε δημόσια κριτική σε περίπτωση που δεχτούν κυβερνοεπίθεση. Οι εταιρείες που θα επιλέξουν να σιωπήσουν κινδυνεύουν με πρόστιμο που μπορεί να φτάνει μέχρι και το 2% του τζίρου τους, με μέγιστο τα 100 εκατομμύρια ευρώ.

Με 36% ετήσια ανάπτυξη οι αγορές ασφαλιστηρίων συμβολαίων
Στις αρχές του 2000 τοποθετούνται οι πρώτες προσπάθειες των ασφαλιστικών εταιρειών να διαμορφώσουν προϊόντα που θα περιόριζαν την οικονομική ζημιά μιας εταιρείας σε περίπτωση κυβερνοεπίθεσης. Η αγορά ξεκίνησε να ανθεί στις ΗΠΑ από το 2005, ενώ η Ευρώπη ακολούθησε περίπου επτά χρόνια αργότερα. Όπως είναι αναμενόμενο, η ωριμότητα των δύο αγορών παρουσιάζει σήμερα σημαντικές διαφορές. Η αγορά στις ΗΠΑ αναμένεται να έχει αξία 10 δισεκατομμυρίων δολαρίων μέχρι το 2020 (ABI Research), παρουσιάζοντας 36% ετήσιο ρυθμό ανάπτυξης. To 2014, τα συμβόλαια στις ΗΠΑ είχαν αξία περίπου 2 δισεκατομμυρίων δολαρίων, ενώ στην Ευρώπη ήταν κοντά στα 120 εκατομμύρια ευρώ. Σύμφωνα με την Advisen, η ευρωπαϊκή αγορά θα έχει αξία περίπου 420 εκατομμυρίων ευρώ μέχρι το 2016. Ο κλάδος της βιομηχανίας που μέχρι τώρα έχει δεχτεί τις περισσότερες επιθέσεις και επομένως αναμένεται να αναζητήσει λύσεις πιο άμεσα είναι αυτός του retail. Ακολουθούν οι χρηματοπιστωτικοί οργανισμοί, ενώ κυβερνητικά δεδομένα και υγεία είναι οι τομείς που φαίνεται να έχουν δεχτεί τις λιγότερες επιθέσεις βάσει στοιχείων του 2014. Ωστόσο, για τον κλάδο της υγείας, η νέα εικόνα είναι αρκετά διαφορετική, καθώς το 2015 ο κλάδος χτυπήθηκε αρκετά από κυβερνοεπιθέσεις.

Tailor made τα περισσότερα συμβόλαια
Γενικά, οι ασφαλιστικές εταιρείες που παρέχουν προϊόντα cyber insurance διαθέτουν ένα μενού παροχών από το οποίο ο ενδιαφερόμενος μπορεί να συνθέσει το συμβόλαιο που ταιριάζει καλύτερα στις ανάγκες και στον προϋπολογισμό του. Επίσης σε γενικές γραμμές, θα μπορούσαμε να χωρίσουμε το μενού σε τέσσερις κατηγορίες:

1. Ευθύνη προς τρίτους λόγω Παραβίασης της Ιδιωτικότητας (Απώλεια Εμπιστευτικών Πληροφοριών/ Προσωπικών Δεδομένων)
2. Έξοδα Διαχείρισης Περιστατικού Παραβίασης Εταιρικών Συστημάτων & Απώλειας Εμπιστευτικών Πληροφοριών (Forensics, Νομικά Έξοδα, Έξοδα Δημοσίων Σχέσεων και πλάνου επικοινωνίας, Εξοδα Ενημέρωσης Πελατών των οποίων χάθηκαν τα δεδομένα, Έξοδα Customer Care αν χρειασθεί κ.λπ.)
3. Απώλεια Κερδών λόγω διακοπής εργασιών από περιστατικό ’ρνησης Παροχής Υπηρεσίας (DDoS)
4. Cyber Extortion. Εκβιασμός Αποκάλυψης Εμπιστευτικών Πληροφοριών / Προσωπικών Δεδομένων

Όπως συμβαίνει και με άλλους τύπους ασφαλιστηρίων συμβολαίων, το κόστος ενός συμβολαίου Cyber Insurance μειώνεται ανάλογα με τις προφυλάξεις που έχει πάρει η εταιρεία. Σημαντική για τις ασφαλιστικές εταιρείες θεωρείται η ύπαρξη Information Security Officer. Σύμφωνα με μελέτες, εκτός από το μειωμένο κόστος συμβολαίων, οι εταιρείες που απασχολούν Information Security Officer μειώνουν το κόστος παραβίασης συστημάτων και διαρροής δεδομένων ανά record από τα 194 στα 114 δολάρια. ’λλοι σημαντικοί παράγοντες που επηρεάζουν την ασφάλιση είναι η κερδοφορία και ο τζίρος της εταιρείας, ο τομέας δραστηριότητας, η παρουσία θυγατρικών σε διαφορετικές χώρες, το end to end security policy, ο όγκος και ο τύπος δεδομένων, αν υπάρχουν συναλλαγές μέσω πιστωτικών καρτών, η φυσική ασφάλεια και η εκπαίδευση του ανθρώπινου δυναμικού.

Ποιο είναι το κόστος ενός συμβολαίου
Είναι αναμενόμενο ότι όταν αναφερόμαστε σε tailor made προϊόντα, το κόστος μπορεί να διαφέρει σημαντικά για κάθε εταιρεία. Για αυτό πριν η εταιρεία συναντηθεί με ασφαλιστικούς συμβούλους, θα πρέπει να έχει κάνει μια εκτίμηση ρίσκου. Επειδή το συγκεκριμένο προϊόν είναι αρκετά εξειδικευμένο, η συνεργασία με έναν ασφαλιστικό σύμβουλο θα μπορούσε να είναι πολύτιμη ακόμα και στη φάση της εκτίμησης κινδύνου, καθώς, αν είναι γνώστης, έχει τη δυνατότητα να δώσει χρήσιμες συμβουλές. Για παράδειγμα μια έρευνα του Ponemon Institute, η οποία δημοσιεύτηκε το 2014 χρησιμοποιώντας ως δείγμα 1.690 επαγγελματίες από τους τομείς information technology, information security και compliance, ορίζει το μέσο κόστος ανά record στα 201 δολάρια, ενώ το 2013 ήταν 188 δολάρια.

Ωστόσο, η μελέτη NetDiligence 2014 Cyber Claims Study, η οποία έχει βασιστεί σε interviews με επιχειρήσεις, διαπιστώνει ότι υπάρχει μια μεγάλη διακύμανση του κόστους ανά record, η οποία φτάνει μέχρι και την ακραία τιμή των 33.000 δολαρίων, ενώ ο μέσος όρος βρίσκεται στα 950 δολάρια. Αν λάβουμε υπόψη και ότι τα μεγέθη αυτά αφορούν άλλες αγορές, μόνο ως ενδεικτικά μπορούν να ληφθούν. Με αυτήν την παραδοχή, μπορούμε να έχουμε μια εικόνα του κόστους ενός συμβολαίου, βασιζόμενοι σε μια μελέτη που πραγματοποίησε η Deloitte. Για εταιρείες με τζίρο λιγότερα από 100 εκατομμύρια δολάρια, το κεφάλαιο κάλυψης κυμαίνεται από 1 έως 5 εκατομμύρια δολάρια και το κόστος υπολογίζεται από 7.000 έως 15.000 δολάρια ανά εκατομμύριο δολάρια κεφαλαίου κάλυψης.

Για εταιρείες μέχρι 1 δισεκατομμύριο δολάρια σε τζίρο, το κεφάλαιο κάλυψης κυμαίνεται από 5 έως 20 εκατομμύρια δολάρια και το κόστος από 10.000 έως 30.000 δολάρια ανά εκατομμύριο δολάρια κεφαλαίου κάλυψης. Και, τέλος, για τζίρο από 1 δισεκατομμύριο δολάρια και άνω το κεφάλαιο κάλυψης κυμαίνεται από 15 έως 25 εκατομμύρια δολάρια και το κόστος από 20.000 έως 50.000 δολάρια ανά εκατομμύριο δολάρια κεφαλαίου κάλυψης. Εκτός από τα παραπάνω έξοδα, η επιχείρηση θα πρέπει να υπολογίσει και μια αρχική δαπάνη για αγορά προϊόντων και υπηρεσιών ασφάλειας δεδομένων, τα οποία αφενός θα τη θωρακίσουν πιο αποτελεσματικά και αφετέρου θα μειώσουν το κόστος ασφάλισης.

Η γνωστή παροιμία περί μισών ρούχων
Αν είστε σίγουροι ότι η εταιρεία σας θα μείνει στο απυρόβλητο των κυβερνοεγκληματιών, δεν υπάρχει λόγος για να προχωρήσετε σε ασφαλιστική κάλυψη, δεδομένου ότι δεν είναι υποχρεωτική από τη νομοθεσία. Αν όμως πιστεύετε τον Robert Mueller, Director του FBI - ο οποίος το 2012 δήλωσε ότι “Υπάρχουν δύο κατηγορίες εταιρειών. Αυτές που έχουν δεχτεί κυβερνοεπίθεση και αυτές που θα δεχτούν” - τότε, ένα ασφαλιστήριο συμβόλαιο ακούγεται ως καλή επιλογή.

The Target case
Λίγο πριν τα Χριστούγεννα του 2013, η διοίκηση της Target, μιας αλυσίδας λιανεμπορίου στις ΗΠΑ, παραδέχτηκε δημόσια ότι είχαν κλαπεί από τα συστήματα της κρίσιμες πληροφορίες πελατών, μεταξύ των οποίων και στοιχεία πιστωτικών καρτών. Ενώ αρχικά η εταιρεία είχε ανακοινώσει ότι ο αριθμός των λογαριασμών που είχαν παραβιαστεί ήταν περίπου 40 εκατομμύρια, τελικά το νούμερο έφτασε τα 100 εκατομμύρια πελάτες. Σύμφωνα με τα πιο πρόσφατα στοιχεία, η κυβερνοεπίθεση θα κοστίσει στην Target συνολικά 280 εκατομμύρια δολάρια, εκ των οποίων ένα σημαντικό ποσοστό αφορά πρόστιμα που επέβαλαν οι VISA και Mastercard για παραβίαση συμβάσεων.

Ωστόσο, η Target θα χρειαστεί να εκταμιεύσει 180 εκατομμύρια δολάρια, καθώς έχει συμβόλαια Cyber Insurance με 6 ασφαλιστικές εταιρείες, τα οποία καλύπτουν συνολικές αποζημιώσεις 100 εκατομμυρίων δολαρίων. Σύμφωνα με αναλυτές, ένας από τους βασικούς λόγους που η Target βρέθηκε τόσο εκτεθειμένη, ήταν ότι τα συστήματά POS δεν αποδέχονταν κάρτες με chip, κάτι που ισχύει σε μεγάλο ποσοστό για επιχειρήσεις στις ΗΠΑ, ενώ δεν ισχύει στην Ευρώπη, όπου οι περισσότερες κάρτες είναι πλέον chip & pin. Μετά την επίθεση, η Target άλλαξε το σύνολο των POS για να δέχονται κάρτες αυτού του τύπου.

netweek (T. 379)
Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Netweek Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Banking / Finance

International

Τηλεπικοινωνίες

Πολιτισμός / Ψυχαγωγία

e-government

Μουσική Βιομηχανία

Retail

Ευρωπαική Ένωση

Services

Ενέργεια / Περιβάλλον

©2017 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778