Η ασφάλιση κυβερνοκινδύνων και ο ρόλος του Συμβούλου Ασφαλίσεων

Συνέντευξη του κ. Stephen Wares, Cyber Risk Practice Leader – EMEA της Marsh

Οι επενδύσεις των εταιρειών στον τομέα της ασφάλειας των συστημάτων πληροφορικής δεν είναι αρκετές από μόνες τους για να εξαλείψουν τους κινδύνους του κυβερνοχώρου, υποστηρίζει ο κ. Stephen Wares, Cyber Risk Practice Leader, στην περιοχή EMEA της Marsh, και εξηγεί πού χρειάζεται πρωτίστως να εστιάσουν τα Δ.Σ. των εταιρειών για να προστατεύσουν επαρκώς τις επιχειρήσεις τους από αυτού του είδους τους κινδύνους. Μεταξύ άλλων, ο κ. Wares τονίζει ότι «οι εταιρείες θα πρέπει να επανεξετάσουν την αποτελεσματικότητα των προγραμμάτων ασφάλισής τους, με τη βοήθεια του Συμβούλου τους» και εξηγεί τι προσφέρει η ασφάλιση κατά των κινδύνων του κυβερνοχώρου και ποια περιουσιακά στοιχεία προστατεύονται.

Συνέντευξη στην Αμαλία Ρουχωτά

Κύριε Wares, πώς οι εταιρείες αντιλαμβάνονται τους κινδύνους του κυβερνοχώρου; Πιστεύετε ότι οι πιθανές επιπτώσεις τους στις επιχειρηματικές δραστηριότητες έχουν επαρκώς υπολογιστεί;  Ποιος είναι ο βαθμός κατανόησης σε επίπεδο Διοικητικού Συμβουλίου;
St.W.:  Από την εμπειρία μας, γνωρίζουμε ότι γίνονται σημαντικές προσπάθειες και επενδύσεις από τις εταιρείες στον τομέα της ασφάλειας των συστημάτων πληροφορικής, αλλά η διαχείριση του κινδύνου και η παροχή επαρκών στοιχείων, για να εξετασθεί το ζήτημα των κινδύνων του κυβερνοχώρου σε επίπεδο Δ.Σ., υστερεί αρκετά. Αν και η ασφάλιση του δικτύου ενός οργανισμού αποτελεί προτεραιότητα, οι επενδύσεις στα συστήματα πληροφορικής από μόνες τους δεν πρόκειται να εξαλείψουν τον κίνδυνο: είναι απαραίτητο να εξετάσουμε τη φύση της απειλής κατά της εταιρείας, να εντοπίσουμε  τα πιθανά γεγονότα  που θα μπορούσαν να έχουν σημαντικό οικονομικό αντίκτυπο στην εταιρεία και να προσπαθήσουμε να προσδιορίσουμε ποσοτικά τα γεγονότα αυτά.
Τα στοιχεία των διαφόρων ερευνών δείχνουν ότι τα διοικητικά συμβούλια των εταιρειών συχνά αισθάνονται ότι δεν εξυπηρετούνται σωστά σε ό,τι αφορά στους κινδύνους του κυβερνοχώρου. Καθώς, λοιπόν, θα αυξάνεται το ενδιαφέρον τους, το χάσμα στην επικοινωνία θα αποτελέσει σημείο όπου θα πρέπει άμεσα να εστιάσουμε.

Όσον αφορά τα ασφαλιστικά προγράμματα, πιστεύετε ότι αυτή τη στιγμή παρέχεται ανεπαρκής ή λανθασμένη κάλυψη στις εταιρείες; Αν ναι, πού έγκειται το πρόβλημα και πώς μπορεί να επιλυθεί;
St.W.: Τα παραδοσιακά ασφαλιστικά προγράμματα αντιμετωπίζουν τους παραδοσιακούς κινδύνους, που υπήρχαν πριν από την εποχή του Διαδικτύου. Καθώς όμως πλέον οι ζωές μας και οι επιχειρήσεις μας εξαρτώνται σε μεγάλο βαθμό από τα ηλεκτρονικά συστήματα, είναι αναγκαίο να προσαρμοσθούμε στους νέους κινδύνους και  η ασφαλιστική αγορά εξελίσσεται, για να ανταποκριθεί σε αυτή την πρόκληση. Οι εταιρείες θα πρέπει να επανεξετάσουν την αποτελεσματικότητα των προγραμμάτων ασφάλισής τους, με τη βοήθεια του Συμβούλου τους, για να διαπιστώσουν αν εξακολουθούν να προστατεύουν την επιχείρηση από την έκθεση στους κινδύνους αυτούς, που θα προκαλέσουν τις πιο κρίσιμες και καταστροφικές συνέπειες.
Η ασφάλιση από τους κινδύνους του κυβερνοχώρου παρέχει κάλυψη σε τομείς που προηγουμένως ήταν ανασφάλιστοι και αυτή η κάλυψη συνεχίζει να εξελίσσεται, για να συμπεριλάβει ολοένα και περισσότερους κινδύνους που απειλούν πλέον τις εταιρείες, π.χ. την καταστροφή περιουσιακών στοιχείων ως αποτέλεσμα «χάκινγκ» βιομηχανικών συστημάτων ελέγχου. Η σημασία αυτών των νέων ασφαλιστικών προϊόντων πρέπει πλέον να εξεταστεί από κάθε επιχείρηση.

Ποια θα μπορούσαν να είναι τα κίνητρα μιας επίθεσης στον κυβερνοχώρο; Ποιες ομάδες ανθρώπων θα μπορούσαν να επιτεθούν σε μια επιχείρηση μέσω του κυβερνοχώρου;
St.W.: Τα άτομα ή οι ομάδες που είναι υπεύθυνα για τις επιθέσεις στον κυβερνοχώρο μπορούν να ταξινομηθούν σε εγκληματίες, ακτιβιστές, τρομοκράτες,  εθνικά κράτη,  εργαζομένους και κακόβουλους τρίτους. Ενώ όλες οι εταιρείες υπόκεινται σε μια πιθανή απειλή από τους υπαλλήλους τους και τις τυχαίες κακόβουλες πράξεις τρίτων, θα πρέπει να εξετάσουν την απειλή από τις άλλες τέσσερις ομάδες και ποια ομάδα είναι πιο πιθανό να τους στοχοποιήσει.  Αυτό οδηγεί στο κίνητρο και το επιθυμητό αποτέλεσμα που κάθε ομάδα προσπαθεί να επιτύχει.
Οι εγκληματίες θέλουν αντικείμενα αξίας, όπως δεδομένα πιστωτικών καρτών ή στοιχεία τραπεζικών λογαριασμών. Οι ακτιβιστές θέλουν να επιτεθούν σε εκείνους που θα προκαλέσουν τη μεγαλύτερη δημοσιότητα για τον σκοπό τους ή αντιπροσωπεύουν εκείνο το οποίο οι ακτιβιστές αντιμάχονται. Οι τρομοκράτες θέλουν να δημιουργήσουν τα αποτελέσματα που παραδοσιακά έχουν επιτευχθεί με τη χρήση βίας, δηλαδή τον θάνατο ή τον φόβο του θανάτου, υλικές ζημιές και οικονομική αναστάτωση. Τα κράτη επιθυμούν οι επιθετικές τους πράξεις να διαταράξουν τις υποδομές άλλων, να κατασκοπεύσουν και να κλέψουν πνευματική ιδιοκτησία προς όφελος των βασικών βιομηχανιών τους. Κάθε εταιρεία θα πρέπει να εξετάσει την κύρια δραστηριότητά της, τη θέση που κατέχει στον κλάδο της και ποια ψηφιακά περιουσιακά στοιχεία μπορεί να είναι ελκυστικά για τους άλλους.

Ποιες βιομηχανίες είναι οι πλέον ευάλωτες;
St.W.: Η Μarsh δεν συλλέγει στοιχεία σχετικά με την ευπάθεια των διαφόρων βιομηχανιών, αλλά θα μπορούσα να συστήσω την έκθεση παραβίασης δεδομένων της Verizon, καθώς και την παγκόσμια  Έκθεση παραβίασης δεδομένων τoυ Ινστιτούτου Ponemon, οι οποίες περιλαμβάνουν πολλά τέτοια περιστατικά ανά βιομηχανία.

Θα μπορούσατε να μας δώσετε μια εκτίμηση για το κόστος μιας επίθεσης στον κυβερνοχώρο που προκαλεί απώλεια προσωπικών δεδομένων;
St.W.: Παρά το γεγονός ότι δεν υπάρχουν στοιχεία για το κόστος της παραβίασης δεδομένων στην Ελλάδα, το Ινστιτούτο Ponemon, έχοντας εξετάσει το κόστος σε πολλές άλλες ευρωπαϊκές χώρες, το υπολογίζει κατά μέσο όρο για κάθε φάκελο παραβίασης μεταξύ $141 – $195, ενώ το μέσο συνολικό κόστος για κάθε οργανισμό που θα παραβιαστούν τα δεδομένα του ανέρχεται σε 3.825.000 δολάρια ΗΠΑ.

Πώς συμβουλεύει η Marsh τους πελάτες της για τη διαχείριση αυτών των κινδύνων; Πώς οι εταιρείες μπορούν να επωφεληθούν από τον τρόπο με τον οποίο αναλαμβάνει τις αξιολογήσεις ασφάλειας στον κυβερνοχώρο;
St.W.: Στη Μarsh πιστεύουμε ότι οι πελάτες μας μπορούν να εξυπηρετηθούν καλύτερα με την ανάπτυξη των βασικών πληροφοριών διαχείρισης, που θα οδηγήσουν σε βελτίωση της ροής των δεδομένων έκθεσης στον κίνδυνο, μέσω ξεκάθαρης επικοινωνίας. Αυτό με τη σειρά του θα επιφέρει βελτιώσεις στο σύστημα ασφαλείας των πληροφοριακών συστημάτων, θα βοηθήσει να αναπτυχθούν σχετικές πολιτικές και να υπάρχει ετοιμότητα αντίδρασης σε συγκεκριμένα περιστατικά, ενώ θα εξασφαλίσει ότι τα ασφαλιστήρια συμβόλαια αντιμετωπίζουν επιτυχώς τους κινδύνους στον κυβερνοχώρο. Η Marsh βοηθά τους πελάτες της να αναγνωρίσουν τα πλέον ουσιώδη σενάρια κινδύνων στον κυβερνοχώρο, τα οποία θα μπορούσαν να απειλήσουν την επιχείρηση. Επιπλέον, τους βοηθά να δημιουργήσουν ένα μοναδικό προφίλ κινδύνου στον κυβερνοχώρο, που θα μπορεί να ενημερώνει εσωτερικά τα ενδιαφερόμενα μέρη και να εντοπίζει τυχόν κενά σε σχέση με τα ήδη υπάρχοντα ασφαλιστήρια συμβόλαια.

Τι προσφέρει σε μια εταιρεία η ασφάλιση κατά των κινδύνων του κυβερνοχώρου; Ποια περιουσιακά στοιχεία προστατεύονται;
St.W.: Η  ασφάλιση αυτή έχει σχεδιαστεί για να παρέχει κάλυψη σε τομείς που δεν  αντιμετωπίζονται παραδοσιακά από άλλους κλάδους ασφάλισης. Αυτοί οι τομείς κάλυψης περιλαμβάνουν την ευθύνη και το κόστος αντιμετώπισης περιστατικού που συνδέεται με τη μη εξουσιοδοτημένη αποκάλυψη προσωπικών δεδομένων, απώλειες εσόδων από διακοπή επιχειρηματικής δραστηριότητας που προκύπτουν ως αποτέλεσμα απρογραμμάτιστης πτώσης του συστήματος ή/και αντικατάστασης του λογισμικού και των δεδομένων που έχουν καταστραφεί.  Η συγκεκριμένη ασφάλιση καλύπτει, επίσης, από περιπτώσεις εκβιασμού στον κυβερνοχώρο μέχρι αξιώσεις από δυσφήμιση που προκύπτει από ηλεκτρονικό περιεχόμενο. Πρόκειται για ένα καινοτόμο και ευέλικτο πεδίο δραστηριότητας και οι πελάτες θα πρέπει να διερευνήσουν τις δυνατότητες για μεταφορά των βασικών κινδύνων που εντοπίζουν στις επιχειρήσεις τους και να αξιοποιήσουν την εμπειρία του Συμβούλου ασφαλίσεών τους.


Ο κ. Stephen Wares έχει μεγάλη εμπειρία στην παροχή ασφάλισης, τόσο στον κλάδο της τεχνολογίας όσο και σε οργανισμούς που εξαρτώνται από αυτήν. Έχει προϋπηρεσία 25 χρόνων στην ασφαλιστική αγορά.. Ξεκίνησε την καριέρα του το 1989 στον χρηματοοικονομικό κλάδο της Marsh. Απέκτησε εμπειρία σε μία σειρά διαφορετικών επαγγελματικών κλάδων και παράλληλα οργάνωσε την ασφάλιση E & O (Errors And Omissions Insurance), αλλά μετά από 8 χρόνια ως μεσίτης ανέλαβε ρόλο underwriter στη Hiscox. Γρήγορα εξειδικεύτηκε στην Ασφάλιση Ε&Ο για τον κλάδο της πληροφορικής, καθώς και στο underwriting της ασφάλισης κυβερνοκινδύνων για μια σειρά διαφορετικούς κλάδους. Κατά τη διάρκεια των 15 χρόνων του στη Hiscox, κατείχε διάφορες θέσεις, συμπεριλαμβανομένης αυτής του επικεφαλής του Global Technology, όπου ήταν υπεύθυνος για τον καθορισμό των παραμέτρων underwriting, της αξιολόγησης των ασφαλίστρων και της αναπτυξιακής πολιτικής. Εντάχθηκε εκ νέου στη Marsh το 2012, ως επικεφαλής του Cyber Risk Practice στο ΕΜΕΑ και είναι τώρα υπεύθυνος για την ανάπτυξη στον πελάτη της πρότασης της Marsh όσον αφορά αυτόν τον ολοένα και πιο σημαντικό τομέα κινδύνου.

*H συνέντευξη με τον κ. Wares έγινε με αφορμή την ημερίδα που διοργάνωσαν η AIG και η Marsh σχετικά με τους Cyber Risks (περισσότερα εδώ).