Στην μαύρη αγορά του ίντερνετ ξεπουλούν τα δεδομένα που παραβιάζουν οι κυβερνογκληματίες, αναζητώντας οικονομικά οφέλη, οδηγώντας τις εταιρείες ακόμα και σε χρεοκοπία τονίζει σε συνέντευξη τους στο Sofokleousin.gr ο Νίκος ΓεωργόπουλοςCyber Risks Advisor Cromar Coverholder at Lloyd’s.
Ανάμεσα στα άλλα μιλά για τις καλύψεις cyber Insurance καθώς και για το τι προβλέπει Γενικός Κανονισμός για τα Προσωπικά δεδομένα (GDPR).
Συνέντευξη στην Ελενα Ερμείδου
- Cyber Risks. Μπήκαμε σε νέα εποχή. Τι μας επιφυλάσσει αυτή η νέα εποχή. Πως μεταβλήθηκαν οι κίνδυνοι σε σχέση με το παρελθόν;
Έχουμε φύγει από την οικονομία του πετρελαίου και έχουμε πάει στην οικονομία των δεδομένων. Οι εταιρίες αποκτούν μεγάλη αξία από την συλλογή την επεξεργασία των δεδομένων και την παροχή υπηρεσιών στους πελάτες τους. Πριν λίγες ημέρες έγινε εξαγορά του LinkedIn από την Microsoft με τίμημα $26δισ κάτι που αποδεικνύει την σημασία που έχουν αποκτήσει τα δεδομένα.
Στο παρελθόν οι κίνδυνοι συνδέονταν με τα υλικά περιουσιακά στοιχεία των εταιριών, οι νέοι κίνδυνοι συνδέονται πλέον με άϋλα περιουσιακά στοιχεία όμως τα δεδομένα τα οποία έχουν αποκτήσει πολλή μεγάλη αξία και μπορούν να οδηγήσουν στην χρεωκοπία εταιρίες οι οποίες δεν φρόντισαν να προστατεύσουν τον ισολογισμό τους από τις επιπτώσεις περιστατικών παραβίασης.
- Που χτυπάνε οι κυβερνογεκληματίες και τι ζητάνε;
Οι κυβερνοεγκληματίες πραγματοποιούν επιθέσεις σε όλες τις εταιρίες οι οποίες διαχειρίζονται δεδομένα και εμπιστευτικές πληροφορίες αξίας, και θεωρούν ότι η πώληση τους στην μαύρη αγορά του internet θα τους αποφέρει άμεσα οικονομικά οφέλη. Η εμπειρία έχει αποδείξει ότι στόχο δεν αποτελούν μόνο οι μεγάλες εταιρίες αλλά όλες οι κατηγορίες εταιριών. Ενδεικτικά επιθέσεις έχουν δεχτεί , ξενοδοχεία, αεροδρόμια, εταιρίες εκμετάλλευσης εθνικών οδών, δικηγορικές εταιρίες, εταιρίες παροχής υπηρεσιών λογιστικής, τηλεπικοινωνίες, e - shops, νοσοκομεία, κοινωνικά δίκτυα, αλυσίδες λιανικής κλπ.
Εκτός από την πώληση των δεδομένων άμεσο κέρδος μπορούν να έχουν και με την χρήση προγραμμάτων ransomware τα οποία κλειδώνουν συστήματα και δεδομένα και ο χρήστης τους δεν μπορεί να τα χρησιμοποιήσει αν δεν καταβάλει λύτρα.
- Ομηρεία συστημάτων αντί ομηρεία ανθρώπων, υφίστανται και πώς απεγκλωβίζονται τα συστήματα;
Η ομηρεία συστημάτων με την χρήση προγραμμάτων ransomware παρουσιάζει μεγάλη αύξηση τελευταία και παρατηρείται κυρίως σε νοσοκομειακά ιδρύματα και πανεπιστήμια στην Αμερική γιατί αυτές οι κατηγορίες στόχων έχουν περισσότερες ευπάθειες στα συστήματα και τις διαδικασίες τους.
Ο απεγκλωβισμός συνήθως επιτυγχάνεται είτε με την καταβολή των λύτρων που ζητούνται, κάτι που δεν εξασφαλίζει ότι η εταιρία στόχος δεν θα ξανακληθεί να καταβάλλει και σε άλλους κυβερνοεγληματίες που θα την βάλλουν στόχο είτε με την λήψη κατάλληλων μέτρων πρόληψης τέτοιων περιστατικών και με κατάλληλη εκπαίδευση του ανθρώπινου δυναμικού τους.
- Ποιες είναι οι κυριότερες και οι επί μέρους ζημιές που μπορεί να υποστούν οι εταιρείες και τι καλύπτει η ασφάλιση cyber insurance;
Η απώλεια δεδομένων είναι καθοριστικός παράγοντας που επηρεάζει την φήμη των εταιριών πλήττει την αξιοπιστία τους και δημιουργεί έκτακτα έξοδα που επηρεάζουν την χρηματοικοικονομική κατάσταση τους.
Τα έκτακτα έξοδα αφορούν έξοδα αντιμετώπισης των περιστατικών και αποζημιώσεις που θα πρέπει η εταιρία να πληρώσει σε τρόπους για την ζημιές που τους προκάλεσε.
Οι ασφαλιστικές καλύψεις της ασφάλισης Cyber Insurance που καλύπτουν τις ανάγκες μιας εταιρίας είναι:
Αστική Ευθύνη έναντι τρίτων οι οποίοι υπέστησαν ζημιά λόγω απώλειας των προσωπικών τους δεδομένων από την εταιρία στην οποία τα είχαν δώσει
Ανταπόκριση: Έξοδα και Υπηρεσίες διαχείρισης περιστατικών παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
Διακοπή Εργασιών - Κάλυψη για απώλεια εσόδων λόγω διακοπής της επιχειρηματικής δραστηριότητας από περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών
Κυβερνοεκβιασμό - Κάλυψη για διαχείριση περιστατικών εκβιασμού από απειλές που μπορεί να βλάψουν ένα δίκτυο ή να οδηγήσουν σε διαρροή εμπιστευτικών πληροφοριών
- Πως νιώθουν οι πελάτες των εταιρειών αυτών μετά από περιστατικά απώλειας προσωπικών δεδομένων. Μπορούν να εγείρουν αξιώσεις;
H κύρια συνέπεια της παραβίασης των δεδομένων ήταν το στρες που δημιουργήθηκε στους πελάτες (76 τοις εκατό των ερωτηθέντων), ακολουθούμενη από το χρόνο που έπρεπε να καταναλώσουν για την επίλυση των προβλημάτων που προκαλούνται από την παραβίαση των δεδομένων (39 τοις εκατό των ερωτηθέντων).
Πηγή: Experian “The Aftermath of a Mega Data Breach: Consumer Sentiment“
Οι πελάτες που υπέστησαν ζημιά λόγω της απώλειας δεδομένων τους μπορούν να προσφύγουν στα δικαστήρια και να διεκδικήσουν αποζημιώσεις.
- Τι προβλέπει ο νέος Γενικός Κανονισμός για τα Προσωπικά δεδομένα (GDPR) ;
Ο νέος Ευρωπαϊκός Γενικός Κανονισμός για την προστασία των δεδομένων (GDPR) ο οποίος θα ισχύσει τον Μαίο του 2018 υποχρεώνει τις εταιρίες:
• να έχουν κατάλληλες πολιτικές & διαδικασίες για την διαχείριση των και προστασία των δεδομένων
• να ορίσουν έναν υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer) ο οποίος διαθέτει σχετική πιστοποίηση
• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών για συμβάντα απώλειας προσωπικών δεδομένων και τα υποκείμενα των οποίων χάθηκαν τα δεδομένα
• στην καταβολή προστίμων τα οποία μπορύν να φθάσουν έως και 4% του τζίρου ή €20εκ όποιο είναι μεγαλύτερο σε περίπτωση απώλειας δεδομένων
• να έχουν δημιουργήσει ένα πλάνο αντιμετώπισης περιστατικών
- Πως μπορεί να λειτουργήσει η ασφάλιση και τι προϊόντα έναντι των κινδύνων αυτών υπάρχουν ;
Η ασφάλιση Cyber Insurance είναι ένα κρίσιμο κομμάτι της συνολικής στρατηγικής για τη διαχείριση των κινδύνων. Ενώ στον κυβερνοχώρο η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό ασφαλείας, μπορεί να βοηθήσει το πρόγραμμα ασφάλειας των πληροφοριών της εταιρείας με την παροχή βοήθειας μέσω εξειδικευμένων παρόχων που παρέχουν τις κατάλληλες υποδομές και το κατάλληλο ανθρώπινο δυναμικό, όταν εμφανίζεται συμβάν ασφάλειας μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες, τη φήμη της εταιρείας και το εμπορικό σήμα της.
Σχετικά με τα προϊόντα που προσφέρονται μπορούμε να τα χωρίσουμε σε δύο κατηγορίες σε αυτά που ονομάζονται bucket και πληρώνουν αποζημιώσεις χωρίς να προσφέρουν υπηρεσίες διαχείρισης περιστατικών στους πελάτες και σε αυτά που μαζί με την ασφάλιση ο πελάτης αποκτά πρόσβαση σε εξειδικευμένους παρόχους υπηρεσιών διαχείρισης περιστατικών παραβίασης.
