Cyber Insurance: Απαραίτητο “όπλο” των επιχειρήσεων κατά των κυβερνοεπιθέσεων

Στα 4 εκ δολάρια υπολογίζεται το μέσο  κόστος της ζημίας που μπορεί να προκαλέσει ένα συμβάν κυβερνοεπίθεσης σε μία επιχείρηση.

Αυτό τόνισε μιλώντας στο συνέδριο7th Information Security Conference για το information security και την παγκόσμια ασφαλιστική αγορά ο Σπύρος Λαθούρης, IT & Cyber Risks Expert, Matrix Insurance & Reinsurance Broker At Lloyd’s.

Ο κ. Λαθούρης υπογράμμισε ότι η συμμετοχή του ασφαλιστικού κλάδου στη διαχείριση των κινδύνων που διατρέχει το σημαντικότερο asset των επιχειρήσεων, ήτοι τα δεδομένα (data) είναι πλέον απαραίτητη μέσω του Cyber Insurance, ειδικά μετά την παγκόσμια “έκρηξη” του Cybercrime.

Σύμφωνα με τα πλέον πρόσφατα στατιστικά στοιχεία (2018), το cyber crime είχε έσοδα περίπου 700 δισ. από την πώληση data και intellectual property, malware as a service και ransomware. Και αυτό παρότι οι επιχειρήσεις διεθνώς αυξάνουν το budget για security και συγχρόνως τα εργαλεία ασφάλειας γίνονται ολοένα και πιο “έξυπνα”.

«Aς μην ξεχνάμε», συμπληρώνει ο Σ. Λαθούρης, «ότι οι threat actors εξελίσσουν και αυτοί τα δικά τους εργαλεία και βρίσκουν νέα attack surfaces με αποτέλεσμα όχι μόνο να επιβεβαιώνεται η άποψη που υποστηρίζει πως υπάρχουν 2 κατηγορίες επιχειρήσεων “αυτές που έχουν πέσει θύμα cyber attack, και αυτές που θα πέσουν”, αλλά να επαυξάνεται με μία Τρίτη  σημείωσε και προσέθεσε ότι εμφανίζεται και μια τρίτη κατηγορία: οι επιχειρήσεις που έχουν ήδη πέσει θύματα cyber attack και θα ξαναπέσουν. Την ίδια στιγμή όμως το μέσο κόστος ζημιάς που μπορεί να προκληθεί από ένα συμβάν κυβερνοεπίθεσης βρίσκεται στα 4 εκ. δολάρια και συνεχώς αυξάνεται», καταλήγει ο κ. Λαθούρης.

Σήμερα, το Cyber Insurance αποτελεί το Plan B των επιχειρήσεων και λειτουργεί παράλληλα και επικουρικά με τα security measures, αφενός ως security layer στα οικονομικά αποτελέσματά τους, αφού παρέχει προστασία από τις οικονομικές επιπτώσεις ενός cyber attack και αφετέρου ως σημαντική βοήθεια, μέσω των υπηρεσιών Incident Response, για τους CISOs, IT managers και όλους όσους καθημερινά “αγωνίζονται” για την ασφάλεια των δεδομένων.

Συγκεκριμένα, αποτελεί μια ιδιαιτέρως επίκαιρη ασφαλιστική κάλυψη για το επιχειρείν, και όχι μόνον, με παροχές που περιστρέφονται γύρω από 3 βασικούς άξονες:

Α) Έξοδα ιδίων ζημιών. Στην κατηγορία αυτή συμπεριλαμβάνεται η απώλεια εσόδων από διακοπή εργασιών λόγω ενός Cyber Incident, δηλαδή, η απώλεια εσόδων από downtime ή τα πρόστιμα εφόσον αυτά είναι ασφαλίσιμα (στην Ελλάδα αυτή τη στιγμή είναι).

Β) Αστική ευθύνη της ασφαλισμένης επιχείρησης λόγω του Cyber Incident. Ένα παράδειγμα είναι οι αποζημιώσεις που μπορεί να ζητήσουν με αγωγές οι τρίτοι – συνεργάτες, πελάτες, προμηθευτές- του ασφαλισμένου λόγω μιας διαρροής δεδομένων.

Γ) Incident Response Services. Πρόκειται για ένα πλήθος ειδικών υπηρεσιών οι οποίες είναι διαθέσιμες στον ασφαλισμένο την κρίσιμη στιγμή που συμβαίνει το Cyber Attack. Το εύρος αυτών των υπηρεσιών περιλαμβάνει από IT forensics έως legal και marketing services, δηλαδή οτιδήποτε είναι απαραίτητο για την αντιμετώπιση του Cyber Incident σε όλα τα επίπεδα και μπορεί να συμβάλλει στον μετριασμό, όχι μόνο της οικονομικής ζημιάς, αλλά και της κάθε είδους επίπτωσης όπως π.χ. η δυσφήμηση της επιχείρησης.

Αναφερόμενος στην εμπειρία της MATRIX, ο κ. Σ. Λαθούρης παρέθεσε ένα χαρακτηριστικό παράδειγμα κυβερνοεπίθεσης, όπου η  η «ασφαλιστική συνείδηση» των διοικούντων αποδείχθηκε εξαιρετικά επωφελής για την λειτουργία της επιχείρησης:

«Χαρακτηριστικό παράδειγμα ζημιάς Cyber και μια από τις μεγαλύτερες στην Ελλάδα, την οποία διαχειριστήκαμε στη MATRIX, αφορά σε όμιλο επιχειρήσεων λιανικής που δέχθηκε επίθεση με ransomware. Τα δεδομένα στους μισούς από τους servers της υποδομής κρυπτογραφήθηκαν με αποτέλεσμα να μην είναι διαθέσιμο το σύστημα τιμολόγησης κάποιων εταιριών και καταστημάτων του ομίλου. Η απαίτηση των hackers ήταν 16 bitcoins. Ο ασφαλισμένος, με ένα τηλεφώνημα στον ειδικό αριθμό άμεσης βοήθειας, έλαβε άμεσα οδηγίες για την πρώτη αντίδραση. Μετά από λίγες ώρες η εξειδικευμένη ομάδα Cybercrime επικοινώνησε με τους hackers και ξεκίνησε η διαπραγμάτευση για την απαίτηση. Ταυτόχρονα έγινε έρευνα για πιθανές εναλλακτικές (εύρεση decryption software από άλλους Vendors ή σε Sources στο Dark Web). Ζητήθηκε PoC για την πιστοποίηση τους κλειδιού αποκρυπτογράφησης πριν την πληρωμή. Έγινε η αγορά κρυπτο-νομισμάτων και τα λύτρα συμφωνήθηκαν τελικώς στα 10 bitcoins μετά από διαπραγμάτευση. Βεβαίως, ο ασφαλιστής αποζημίωσε τo συνολικό κόστος των παραπάνω υπηρεσιών καθώς και των λύτρων που υπερέβαιναν το ποσό της απαλλαγής».

Απαντώντας σχετικά με την διαδικασία ασφάλισης, o ομιλητής αναφέρθηκε πως πραγματοποιείται σε βάση καλής πίστης μεταξύ ασφαλιστή και ασφαλιζόμενου, ενώ προηγείται αξιολόγηση του κινδύνου με κριτήρια που λαμβάνουν υπόψη τον κλάδο δραστηριότητας, το μέγεθος της επιχείρησης, καθώς και τον βαθμό χρήσης εργαλείων security assessment. «Όταν μιλάμε για cyber insurance έχουμε υψηλό awareness – δηλαδή απολύτως ενσυνείδητη απόφαση του ενδιαφερόμενου», ανέφερε ο κ. Λαθούρης. 

Αυτή τη στιγμή οι ασφαλιστικές επιχειρήσεις συνεργάζονται με security vendors παγκοσμίως, παρακολουθούν τις εξελίξεις στο cyber security συγκεντρώνουν δεδομένα, χρησιμοποιούν εργαλεία Cyber Threat Intelligence, ώστε να μπορούν να ποσοτικοποιήσουν το κόστος μιας επίθεσης -το οποίο δεν μπορεί να υπολογιστεί με τα εργαλεία security– και μέσω του cyber insurance παρέχουν στους πελάτες τους έναν επιπλέον μέσο αντιμετώπισης και μετριασμού των επιπτώσεων ενός cyber attack.

«Συμπερασματικά, η ασφάλιση Cyber θα πρέπει να είναι αποτελεί αναπόσπαστο κομμάτι του Cyber Resilience Strategy όλων των οργανισμών, ανεξαρτήτως δραστηριότητας ή μεγέθους», είπε, ολοκληρώνοντας την τοποθέτησή του, ο cyber expert της MATRIX.