Ο Γιάννης Τζίτζικας, Διευθυντής Επιχειρηματικών Ασφαλίσεων της AIG μίλησε στο netweek για τους ψηφιακούς κινδύνους, τη ζημία που αυτοί δημιουργούν τόσο οικονομικά όσο και στη φήμη της επιχείρησης, αλλά και τις πρωτοποριακές λύσεις που προτείνει για την ασφαλιστική και νομική προστασία της επιχείρησης.

Ποιοι είναι οι κυριότεροι ψηφιακοί κίνδυνοι που αντιμετωπίζουν οι σύγχρονες εταιρείες και τι μέτρα προστασίας παίρνουν συνήθως;
Γιάννης Τζίτζικας:
Οι ψηφιακοί κίνδυνοι περιλαμβάνουν μια ιδιαίτερα ευρεία κατηγορία απειλών που ενδέχεται να έχουν σοβαρό αντίκτυπο στη λειτουργία μιας εταιρείας. Κάθε επιχείρηση που διαχειρίζεται ηλεκτρονικά δεδομένα, ανεξάρτητα από το μέγεθός της ή την κατηγορία της αγοράς που δραστηριοποιείται, ενδέχεται να βρεθεί εκτεθειμένη σε αντίστοιχα περιστατικά.Με κριτήριο την προέλευσή τους, οι ψηφιακοί κίνδυνοι μπορεί να είναι τόσο εξωτερικοί όσο και εσωτερικοί. Από τη μια πλευρά hackers, ανταγωνιστές, ομάδες ακτιβιστών, προσπαθούν να διεισδύσουν στα συστήματα μιας εταιρίας και από την άλλη πλευρά έχουμε εσωτερικές «επιθέσεις» ή αμέλεια στη χρήση των δεδομένων από τους ίδιους τους υπαλλήλους.

Χαρακτηριστικό παράδειγμα εδώ είναι τα μη κρυπτογραφημένα USB Flash Drives που πολλοί εργαζόμενοι χρησιμοποιούν για να μεταφέρουν σημαντικά εταιρικά αρχεία καθώς επίσης και η χρήση mobile συσκευών. Ενώ οι συγκεκριμένες συσκευές διευρύνουν σημαντικά τις δυνατότητες, τη διαθεσιμότητα και την προσβασιμότητα των χρηστών, δεν πληρούν απαραίτητα όλες τις προδιαγραφές ασφαλείας μιας εταιρείας, ανεβάζοντας εκθετικά τις πιθανότητες «διαρροών» ή απωλειών δεδομένων. Οι επιθέσεις μπορεί να γίνουν σε μεμονωμένους υπολογιστές, data warehouses, routers, private ή common servers, ή ακόμη και clouds.

Μια άλλη μορφή εμφάνισης των συγκεκριμένων απειλών είναι η αλλοίωση, η διακοπή της παρουσίας της εταιρείας στο διαδίκτυο, ή προβλήματα εξυπηρέτησης των πελατών της σε περίπτωση διακοπής λειτουργίας του server της.Μέχρι πρότινος, η αντιμετώπιση των εν λόγω απειλών περιοριζόταν στην απαραίτητη συντήρηση του server και την αναβάθμιση των λογισμικών ασφαλείας, ενώ σε μερικές περιπτώσεις, επεκτεινόταν στην ασφάλιση του hardware για «φυσικούς κινδύνους». Ωστόσο, τα παραπάνω μέτρα δεν προφυλάσσουν σε καμία περίπτωση το βασικό απειλούμενο στοιχείο που είναι τα δεδομένα που διαχειρίζεται μια εταιρεία, είτε αμιγώς εταιρικά, είτε προσωπικά ή ευαίσθητα προσωπικά. Αντιθέτως, όσο η τεχνολογία εξελίσσεται, τόσο εξελίσσονται και οι συγκεκριμένοι κίνδυνοι και μεγαλώνει η ανάγκη για περισσότερο εξειδικευμένες λύσεις ασφάλειας.

Ποια είναι η επιχειρηματική ζημιά που μπορεί να πάθει μια εταιρεία από μια επίθεση στην IT υποδομή της;
Γιάννης Τζίτζικας:
Η εμπειρία που έχουμε αποκομίσει από τα περιστατικά ζημιών που έχουμε διαχειριστεί στην AIG, αλλά και οι πληροφορίες που λαμβάνουμε καθημερινά από τους εξειδικευμένους συμβούλους με τους οποίους συνεργαζόμαστε, μας υποδεικνύουν ότι μια ενδεχόμενη ζημιά αφορά όχι μόνο στα ΙΤ συστήματα αλλά έχει σημαντικότατη επίπτωση στον ισολογισμό μιας εταιρείας και τις περισσότερες φορές και στην εταιρική φήμη. Μια διαρροή προσωπικών ή ευαίσθητων προσωπικών δεδομένων, πέρα από τις ευθύνες έναντι τρίτων που συνεπάγεται, προκαλεί κατά πρώτον σοβαρά προβλήματα στην ΙΤ υποδομή που καλείται να τα αντιμετωπίσει, ενώ παράλληλα διαχειρίζεται και τα συνήθη ζητήματα της επιχείρησης.

Η δεύτερη συνέπεια αφορά στη φήμη και τη δημόσια εικόνα της εταιρείας. Διανύουμε μια περίοδο όπου η φωνή των καταναλωτών είναι περισσότερο δυνατή από ποτέ και το ζήτημα της προστασίας των προσωπικών δεδομένων είναι υψηλά στην agenda εποπτικών οργάνων και κοινωνικών οργανώσεων. Παράλληλα, μέσω των social media, τα αρνητικά σχόλια για μια εταιρεία μεταφέρονται πολύ πιο γρήγορα σε μεγαλύτερες ομάδες ιδιωτών.Η κρίση εταιρικής φήμης αυτόματα κλονίζει την εμπιστοσύνη των καταναλωτών σε μια εταιρεία, κάτι που μεταφράζεται σε πτώση των πωλήσεων και μείωση του μεριδίου της στην αγορά. Φυσικά, είναι περιττό να πούμε ότι όλα τα παραπάνω συνδυαστικά προκαλούν μια επιπλέον κρίση στο πρόσωπο της διοίκησης της επιχείρησης.Συνεπώς η ζημία μεταφράζεται σε αλλεπάλληλα προβλήματα νομικής, οικονομικής, επικοινωνιακής και τεχνικής φύσης, σε πολύ σύντομο χρονικό διάστημα.

Είναι γεγονός ότι σε καταστάσεις κρίσης, αυξάνεται η εγκληματικότητα. Έχετε παρατηρήσει μια αύξηση στις ψηφιακές επιθέσεις σε επιχειρήσεις ένεκα της κρίσης;
Γιάννης Τζίτζικας:
Πράγματι, η οικονομική κρίση οδηγεί συνήθως σε αύξηση της εγκληματικότητας. Το πιο σημαντικό είναι ότι ο «μέσος χρήσης» έχει σήμερα στη διάθεσή του πολύ περισσότερη και πολύ μεγαλύτερη υπολογιστική ισχύ απ’ ότι στο παρελθόν και βέβαια πολύ περισσότερη γνώση. Ένας νέος άνθρωπος με ένα μέσο laptop κάποιες βασικές γνώσεις, επιμονή και υπομονή μπορεί να αποκτήσει πρόσβαση σε πολύ περισσότερα δεδομένα από αυτά που μπορούμε να φανταστούμε, εκμεταλλευόμενος κενά ασφαλείας, σχεδιασμού, εργαλεία ανοικτού κώδικα, πρωτόκολλα επικοινωνίας ή απλή αμέλεια.

Το αν θα επιλέξει να κινηθεί «καλοπροαίρετα ή κακοπροαίρετα» συνδέεται με την κρίση του, σε κάθε περίπτωση όμως το πλήγμα για την εταιρία που θα δεχθεί μια τέτοια απώλεια θα είναι μεγάλο. Το πόσο σοβαρό είναι το θέμα της ασφάλειας το δείχνει ένα πρόσφατο κρούσμα στη χώρα μας, κατά το οποίο ένας 35χρονος κατάφερε να υποκλέψει προσωπικά δεδομένον 9.000.000 Ελλήνων πολιτών από το TaxisNet, τα οποία και επιχείρησε να πουλήσει. Ποιες είναι οι τάσεις όσον αφορά στο hacking σήμερα; Πιστεύετε ότι τέτοιας εμβέλειας επιθέσεις θα ενταθούν στο μέλλον;

Εδώ αξίζει να σημειωθεί ότι η φετινή έρευνα της Verizon  «2012 Data Breach Investigation Report» έβαλε την Ελλάδα στον παγκόσμιο χάρτη των χωρών στις οποίες παρουσιάστηκαν κρούσματα επιθέσεων. Ενώ ο αριθμός των χωρών ήταν 22 στην αντίστοιχη έρευνα του 2010, το 2012 αυξήθηκε στις 36. Πέρα από αυτό το παράδειγμα, όλα τα σχετικά στοιχεία δείχνουν αύξηση των περιστατικών hacking και αυτό περιμένουμε και στο μέλλον.Ωστόσο, οι επιθέσεις δεν έχουν πάντα ως πρώτο στόχο το άμεσο ή έμμεσο οικονομικό όφελος του εισβολέα.
Οι hackers δρουν και συνδιαλέγονται μέσα σε συγκεκριμένες κοινότητες, έχοντας σχεδόν πάντα την προσωπική τους agenda ή ενίοτε κίνητρα αυτοπροβολής. Επιπλέον βλέπουμε μια αύξηση στα κρούσματα ακτιβιστικών οργανώσεων hackers, ένα φαινόμενο γνωστό και ως hacktivism, π.χ. τους Anonymous, που έχουν βάλει στο στόχαστρό τους από το Υπουργείο Δικαιοσύνης των ΗΠΑ μέχρι και το Υπουργείο Δικαιοσύνης της Ελλάδας.Λαμβάνοντας υπόψη τα παραπάνω και δεδομένης της εξέλιξης της τεχνολογίας, αναμένουμε πως στο μέλλον η προστασία των δεδομένων θα εξελιχθεί σ’ έναν αγώνα δρόμου ανάμεσα στις εταιρείες και τους δυνητικούς εισβολείς.

Η AIG είναι γνωστή για την παροχή μιας πληθώρας ασφαλιστικών λύσεων για επιχειρήσεις. Γιατί αποφασίσατε να δραστηριοποιηθείτε και στο χώρο του IT;
Γιάννης Τζίτζικας:
Στόχος μας ανέκαθεν ήταν να παρέχουμε ασφαλιστικά προϊόντα και υπηρεσίες που να ανταποκρίνονται στις σύγχρονες ανάγκες των ασφαλισμένων μας. Η AIG έχει ένα μακρύ ιστορικό δημιουργίας καινοτόμων προϊόντων τόσο σε παγκόσμιο επίπεδο, όσο και στην ελληνική αγορά. Θα αναφέρω ενδεικτικά την ασφάλιση αστικών ευθυνών στελεχών διοίκησης (D&O), αστικής ευθύνης προϊόντος και ανάκλησης μολυσμένων προϊόντων αλλά και περιβαλλοντικής αστικής ευθύνης (EnviroPro).

Σε όλους αυτούς τους τομείς η AIG πρωτοπόρησε, δημιουργώντας ολοκληρωμένα προγράμματα που υποστηρίζουν στο μέγιστο τις ανάγκες μιας επιχείρησης, αφού μπορούν να προσαρμοστούν για να παρέχουν:
• Υψηλά όρια ασφάλισης
• Δραστηριότητα και δωσιδικία στην Ευρώπη ή και παγκόσμια
• Υποχρέωση υπεράσπισης του ασφαλισμένου και κάλυψη των σχετικών εξόδων (Duty to defend)
• Κάλυψη εξόδων εξειδικευμένων συμβούλων
• Διοικητικά/ κανονιστικά πρόστιμα (Punitive damages)

Η δραστηριοποίησή μας στον χώρο του ΙΤ σχετίζεται με τις εξής συγκυρίες: Αφενός παρατηρούμε εδώ και καιρό πως η λειτουργία των σύγχρονων επιχειρήσεων είναι κατά κύριο λόγο ηλεκτρονική: Τα αρχεία μιας εταιρίας είναι πλέον ψηφιακά, η εξυπηρέτηση των πελατών γίνεται με ηλεκτρονικές πλατφόρμες, ενώ το μεγαλύτερο μέρος της εργάσιμης ημέρας το περνάμε είτε διαβάζοντας είτε απαντώντας σε emails από τον υπολογιστή, το smartphone ή το tablet. Επιπλέον, υιοθετούμε ολοένα και περισσότερο τις ψηφιακές πωλήσεις και επενδύουμε μεγαλύτερα κονδύλια στο digital & social media marketing.Αφετέρου η κείμενη Ελληνική και Ευρωπαϊκή Νομοθεσία και η δράση ελέγχου και εποπτείας της Αρχής Προστασίας Προσωπικών Δεδομένων έχουν κάνει σαφείς τις ευθύνες τόσο των εταιρειών αλλά και των υπευθύνων ασφαλείας και επεξεργασίας, καθήκοντα που συνήθως αναλαμβάνουν οι IT Managers των εταιρειών.

Παράλληλα, τα περιστατικά παραβίασης δεδομένων είναι ολοένα και πιο συχνά, λαμβάνουν όλο και σοβαρότερες διαστάσεις, ενώ οι επιπτώσεις τους γίνονται συνεχώς μεγαλύτερες. Εδώ λοιπόν υπήρχε ένα κενό στην ασφαλιστική αγορά, την ασφάλιση της υποδομής και των δεδομένων μιας επιχείρησης. Σε αυτό το πλαίσιο προχωρήσαμε δημιουργώντας το CyberEdge, με στόχο την προστασία των επιχειρήσεων από τις συνέπειες των ψηφιακών κινδύνων.


Το CyberEdge αποτελεί το πρώτο ασφαλιστικό προϊόν στην ελληνική αγορά για την προστασία των υποδομών IT μιας επιχείρησης. Σε ποιες εταιρείες απευθύνεται αυτό το προϊόν σας;
Γιάννης Τζίτζικας:
Υπάρχουν δύο κύριες λανθασμένες αντιλήψεις πάνω στις κατηγορίες εταιρειών που ενδέχεται να βρεθούν εκτεθειμένες σε ψηφιακούς κινδύνους. Σύμφωνα με την πρώτη, μόνο εταιρείες με μεγάλο κύκλο εργασιών κινδυνεύουν, καθώς αυτές είναι που θα μπουν στο στόχαστρο των hackers.Η αλήθεια όμως είναι πως κάθε εταιρεία που διαχειρίζεται ηλεκτρονικά δεδομένα, είτε σε server, είτε σε cloud computing, ή διατηρεί μία ιστοσελίδα, ενδέχεται να πέσει θύμα των συγκεκριμένων κινδύνων, ανεξάρτητα από τον κύκλο εργασιών της. Δεδομένης μάλιστα της συνεχούς αύξησης των mobile υπηρεσιών και της χρήσης των social media, οι συγκεκριμένοι κίνδυνοι αυξάνονται.Η δεύτερη λανθασμένη άποψη αφορά στο είδος των εταιρειών που ενδέχεται να επηρεαστούν.

Σίγουρα ο χρηματοοικονομικός τομέας βρίσκεται πολύ ψηλά στη λίστα επικινδυνότητας, λαμβάνοντας υπόψη το είδος, τον όγκο και τη σοβαρότητα των δεδομένων των οποίων χειρίζεται. Ιστορικά μάλιστα πρόκειται για τον τομέα με τα περισσότερα κρούσματα παραβίασης δεδομένων. Ωστόσο, οι κατηγορίες των «ευάλωτων» επιχειρήσεων είναι πολύ περισσότερες. Υψηλά σε αυτή τη λίστα βρίσκονται οι εταιρείες παροχής υπηρεσιών τηλεπικοινωνίας, υγείας, τουρισμού, e-shops, καθώς επίσης και βιομηχανίες, εμπορικές επιχειρήσεις, κατασκευές και μεταφορές. Το ίδιο «ευάλωτοι» είναι και οι εκπαιδευτικοί οργανισμοί – εδώ έχουμε το παράδειγμα προσωπικών δεδομένων παιδιών και των οικογενειών τους που χειρίζεται ένα σχολείο: από το ονοματεπώνυμο και τα στοιχεία επικοινωνίας, μέχρι το ιστορικό υγείας του παιδιού, το ύψος των διδάκτρων και τα στοιχεία των τραπεζικών λογαριασμών μέσω των οποίων γίνεται η πληρωμή τους κλπ.

Γιατί μια επιχείρηση να επενδύσει στο CyberEdge, όταν έχει κάνει ήδη επενδύσεις για την ασφάλεια των IT υποδομών της; Τι το διαφορετικό προσφέρει το προϊόν σας;
Γιάννης Τζίτζικας: Το μήνυμα που λαμβάνουμε από τους επιχειρηματικούς μας πελάτες είναι ότι οι ασφαλιστικές λύσεις που παρέχουν προστασία στις απαιτήσεις των κανονιστικών αρχών, στον ισολογισμό και στην εταιρική φήμη, είναι πολύ ψηλά στα άμεσα ενδιαφέροντα τους. Σε αυτό το πλαίσιο, η παραδοσιακή κάλυψη αστικής ευθύνης δεν αρκεί. Σας ανέφερα πριν πως πέρα από την ευθύνη έναντι τρίτων δημιουργούνται ανάγκες για διαχείριση της εσωτερικής και εξωτερικής επικοινωνίας, τεχνική υποστήριξη και πραγματογνωμοσύνη, αλλά και εξειδικευμένες νομικές συμβουλές. Αυτές ακριβώς τις ανάγκες καλύπτει το CyberEdge.

Τι κάλυψη και τι επιπλέον παροχές προσφέρει το CyberEdge; Tι είναι εκείνο που το κάνει αποτελεσματικό και πόσο εύκολα μπορεί να προσαρμοστεί στις διαφορετικές ανάγκες προστασίας που έχει η εκάστοτε επιχείρηση;
Γιάννης Τζίτζικας: Ξεκινώντας με το αμιγώς ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων κατά του ασφαλισμένου που ενδέχεται να προκληθούν από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης, ή απώλεια δεδομένων από φορητές συσκευές (smartphones, laptops, USB drives κλπ).Καλύπτονται επίσης οι χρηματικές απώλειες από διακοπή λειτουργίας των συστημάτων μίας επιχείρησης, καθώς και οι απώλειες από εκβιασμό μετά από διαρροή δεδομένων.

Το CyberEdge ολοκληρώνεται με μία σειρά υπηρεσιών από εξειδικευμένους συνεργάτες και συγκεκριμένα τις εξής κατηγορίες:
• νομικούς συμβούλους που θα αναλάβουν τη διαχείριση της υπόθεσης
• συμβούλους δημοσίων σχέσεων που θα χαράξουν και θα εκτελέσουν ένα στρατηγικό πλάνο εσωτερικής και εξωτερικής επικοινωνίας προς όλους τους stakeholders
• εξειδικευμένους τεχνικούς που θα αναλάβουν το ονομαζόμενο IT Forensics, με στόχο να εκτιμηθεί το μέγεθος της διαρροής, τα αίτια και οι συνθήκες παραβίασης, η δυνατότητα επαναφοράς ή ανάκτησης των δεδομένων και η επαναφορά των συστημάτων της εταιρείας

Πόσο σύμφωνο είναι το CyberEdge με την αυστηροποιημένη ευρωπαϊκή νομοθεσία για την προστασία των εταιρικών δεδομένων;
Γιάννης Τζίτζικας:
Το CyberEdge έχει σχεδιαστεί ώστε να μπορεί να παρέχει ασφαλιστική προστασία σύμφωνα με τις επιταγές της κείμενης Ευρωπαϊκής νομοθεσίας αλλά και τις τάσεις αυστηροποίησης του κανονιστικού περιβάλλοντος που είναι πλέον σαφείς στο σύνολο των χωρών όχι μόνο της Ευρωπαϊκής Ένωσης αλλά και της παγκόσμιας αγοράς. Σκεφτείτε ότι μεγάλος αριθμός από τις εταιρείες που ήδη καλύπτουμε παρέχουν προϊόντα και υπηρεσίες στην παγκόσμια κοινότητα σε όλες τις ηπείρους. Η δυνατότητά μας να παρέχουμε υψηλά όρια ασφάλισης, διευρυμένη δωσιδικία και όλες τις επιπλέον καλύψεις που περιγράψαμε ανωτέρω, υποστηριζόμενες από τους αρμόδιο για την διαχείριση αποζημιώσεων προσωπικό μας σε 130 χώρες, αποτελούν τα κυριότερα εχέγγυα.

Σκοπεύετε να τροποποιήσετε το Cyber Edge αν αλλάξουν οι ανάγκες προστασίας των επιχειρήσεων; Ποια είναι τα σχέδια σας για το μέλλον όσον αφορά στην παροχή ασφαλιστικών προϊόντων για το IT;
Γιάννης Τζίτζικας:
Το CyberEdge ήδη παρέχει μια πληθώρα επιλογών στην ενδιαφερόμενη επιχείρηση ώστε να προσαρμόζεται στις πραγματικές της ανάγκες. Κύριο μέλημά μας είναι το σύνολο των προϊόντων μας να απαντά στις σύγχρονες ανάγκες των ασφαλισμένων μας, γι’ αυτό άλλωστε επενδύουμε συνεχώς σε νέα προϊόντα και υπηρεσίες.

Το CyberEdge το γνωρίσαμε όταν το όνομα της εταιρείας ήταν Chartis, ωστόσο πλέον έχετε μετονομαστεί σε AIG. Τι οδήγησε σε αυτή την απόφαση;
Γιάννης Τζίτζικας: Η Chartis ήταν ο βραχίονας των γενικών ασφαλίσεων του Ομίλου American International Group, γνωστού και ως AIG. Ωστόσο, σε παγκόσμιο επίπεδο αποφασίστηκε η μετονομασία της Chartis σε AIG, με μια διαδικασία η οποία ολοκληρώθηκε αρχές Δεκεμβρίου. Η απόφαση αυτή σχετίζεται με την εξαιρετική πορεία που κατέγραψε ο Όμιλος της AIG και σηματοδοτεί την πλήρη ανάκαμψή του. Η AIG είναι ένα εξαιρετικό success story στον παγκόσμιο χώρο των επιχειρήσεων. Πρόκειται για έναν αυστηρά εποπτευόμενο και οικονομικά εύρωστο ασφαλιστικό οργανισμό και η απόφαση να επιστρέψουμε στο όνομα της θα μας βοηθήσει να έχουμε ακόμη πιο ισχυρή παρουσία στις 130 χώρες και δικαιοδοσίες στις οποίες λειτουργούμε.

AIG
Λ. Κηφισίας 119, Μαρούσι
210 8127600
www.aig.com.gr