Στις 26 Φεβρουαρίου 2015, ο James Clapper, διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών των ΗΠΑ, καταθέτοντας στο Καπιτώλιο είπε “η κυβερνοαπειλή είναι πιο σοβαρή από ό, τι είχε εκτιμηθεί προηγουμένως,” παρουσιάζοντας την ετήσια έκθεση αξιολόγησης, από τις μυστικές υπηρεσίες, των κορυφαίων κινδύνων που αντιμετωπίζει η χώρα. Όπως και κατά τα τελευταία χρόνια, οι αμερικανικές μυστικές υπηρεσίες για μια ακόμη φορά τοποθετούν τις επιθέσεις στον κυβερνοχώρο ως κίνδυνο για την εθνική ασφάλεια των ΗΠΑ, πάνω από την τρομοκρατία. Σαμποτέρ, κατάσκοποι, και κλέφτες, επεκτείνουν τις κυβερνοεπιθέσεις τους εναντίον της ευάλωτης αμερικανικής διαδικτυακής υποδομής, κατακερματίζοντας με την πάροδο του χρόνου τον πλούτο και την ασφάλεια των σε ΗΠΑ, είπε ο Clapper.
Αν Οι Ηνωμένες Πολιτείες Της Αμερικής Αισθάνονται Ευάλωτες
Στους Κινδύνους Του Κυβερνοχώρου,
Μπορεί Μια Επιχείρηση Να Αισθάνεται Απρόσβλητη;
Η ιστορία είναι λίγο ως πολύ γνωστή και επαναλαμβάνεται: “δεν θα τύχει σε εμάς… αυτά συμβαίνουν στην Αμερική, συμβαίνουν αλλού, …αφορούν μεγάλες επιχειρήσεις-γίγαντες, ποιός να ασχοληθεί μαζί μας; … έχουμε λάβει όλα τα μέτρα μας! … περισσότερα έξοδα τέτοιες εποχές; τί τη θέλουμε την ασφάλιση;“ και πάει… και πάει…
Λογικό ακούγεται, σωστά;
Ληστείες τραπεζών γίνονται από εκατοντάδες χρόνια, οι τράπεζες θωρακίζονται συνεχώς με τα πλέον σύγχρονα συστήματα υψηλής ασφαλείας, οι ληστείες τραπεζών εξακολουθούν να συμβαίνουν. Ωστόσο, ο μέσος όρος ληστείας μέσω του computer είναι τάξεις μεγέθους μεγαλύτερος από τον μέσο όρο ληστείας τράπεζας.
Ο πιο αδύναμος κρίκος στην αλυσίδα της ασφάλειας είναι ο ανθρώπινος παράγοντας. Ο αμελής τεχνικός πληροφορικής, η όχι και τόσο προσεκτική υπάλληλος, ο αλαζονικός CEO (οι κανόνες δεν ισχύουν για αυτούς που θέτουν τους κανόνες, έτσι δεν είναι;). Τον τελευταίο καιρό, ακόμη και η Χίλαρι Κλίντον ελέγχεται και έχει κληθεί να λογοδοτήσει, για την αποκλειστική χρήση του προσωπικού της λογαριασμού ηλεκτρονικού ταχυδρομείου κατά τη διεξαγωγή κρατικών υποθέσεων ως υπουργός εξωτερικών. Αν το αυστηρο περιβάλλον την κρατικής ασφάλειας των ΗΠΑ δεν μπόρεσε να την πείσει να χρησιμοποιεί τους κρυπτογραφημένους υψηλής ασφαλείας επίσημους διαύλους επικοινωνίας, ποιος μπορεί να ισχυριστεί ότι οι εργαζόμενοι της εταιρείας σας θα ακολουθούν τους δικούς σας κανόνες;
Η χαρακτηριστική εικόνα του ‘χάκερ’ ως έναν μοναχικό παιδί που ξοδεύει όλο του τον χρόνο στο υπόγειο της μητέρας του πάνω από έναν υπολογιστή πληκτρολογώντας κώδικες προκειμένου να παραβιάσει την ασφάλεια συστημάτων πληροφορικής, έχει προ πολλού ξεθωριάσει.
Σήμερα τα νέα είναι ότι όχι μόνο οι εγκληματίες του κυβερνοχώρου έχουν πανίσχυρα, πλήρως αυτοματοποιημένα συστήματα ως εργαλεία δουλειάς, αλλά και ότι “αυξάνονται σε συχνότητα, σε κλίμακα, σε ευρηματικότητα, και σε σοβαρότητα των επιπτώσεων, οι απειλές στον κυβερνοχώρο από έθνη-κράτη,”. Επίσης, μέρη όπως η Κίνα έχουν οργανωμένα ‘hacker camps’ και στρατιωτικές βάσεις όπου “η εκπαίδευση για λογαριασμό της Βόρειας Κορέας πολεμιστών του κυβερνοχώρου που αριθμούν – σύμφωνα με μη επιβεβαιωμένες εκθέσεις – περίπου 5900 άτομα”(*). Και αν η Κίνα είναι χιλιάδες χιλιόμετρα μακριά από εσάς, εσείς είστε μόνο ένα ‘κλικ’ μακριά από την Κίνα.
Πρόσφατα βλέπουμε επίσης την όλο και συχνότερη εμφάνιση ενός νέου είδους χάκερ, του χάκερ-ακτιβιστή -‘acktivist’. Αντί να προσπαθεί να βγάλει κέρδος, αυτός προσπαθεί να βγάλει στην επιφάνεια κάποιο θέμα, και χρησιμοποιεί την επιχείρησή σας για να το πετύχει. Ομάδες όπως οι ‘Lulzsec’ και ‘Anonymous’ έχουν επιτεθεί σε πολλές εταιρείες σε ένδειξη διαμαρτυρίας για θέματα του ενδιαφέροντός τους.
Αλλά αν εξακολουθείτε να νιώθετε την ασφάλεια του ‘ασήμαντου στόχου’ έναντι αυτών των τρομερών και πανίσχυρων κυβερνο-εισβολέων, δεν χρειάζεται να ανησυχείτε ούτε και για όσους οικονομικά ισχυρούς μπορεί να σας επιβουλεύονται στο εξωτερικό σας περιβάλλον.
Υπάρχουν πολυάριθμες και πολύ πιό επικίνδυνες απειλές πολύ πιο κοντά στην ‘εδρα’ σας -κυριολεκτικά στο εσωτερικό της επιχείρησής σας. Οι κίνδυνοι από τους εργαζόμενους και τους έμπιστους συνεργάτες σας μπορεί να ποικίλλουν από την ξεγυρισμένη απάτη, μέχρι τη μελετημένη δολιοφθορά, ή απλώς τη μόλυνση με κακόβουλο λογισμικό (malware), ιδίως αν έχετε και εσείς καθιερώσει όπως σχεδόν όλοι, οι υπάλληλοι και οι συνεργάτες σας να εργάζονται με τα δικά τους laptops, tablets, iphones, κ.λπ. (βλέπετε, δεν είναι καιρός τώρα για έξοδα, έ;).
Δυστυχώς, οι επιχειρήσεις οι οποίες ενστερνίζονται την άποψη “δεν θα συμβεί σε εμάς” όσον αφορά τις παραβιάσεις δεδομένων, μένουν ευάλωτες ακόμη και σε χονδροειδείς επιθέσεις από ‘το μοναχικό παιδί στο υπόγειο’. Χωρίς να έχουν ληφθεί τα κατάλληλα μέτρα εκ των προτέρων, όταν ανακαλύπτουν τί έχει συμβεί, έχουν να αντιμετωπίσουν ένα κατά πολύ μεγαλύτερο πρόβλημα.
Όπως επίσης, όταν η ασφάλιση έναντι κινδύνων του κυβερνοχώρου πέφτει θύμα ‘αυτοκτονικών’ περικοπών στο κόστος.
Τώρα, ακούγεται λογικό, σωστά;
Κατά τα φαινόμενα, η μοναδική επιλογή σας είναι η διαχείριση των κινδύνων του κυβερνοχώρου και η ανάληψη του κόστους της ζημιάς ενδεχόμενης καταστροφικής επίθεσης από την ασφαλιστική εταιρεία, μέσω ασφάλισης αστικής ευθύνης λόγω απώλειών από μια ποικιλία συμβάντων στον κυβερνοχώρο, συμπεριλαμβανομένης της παραβίασης των δεδομένων, διακοπής επιχειρηματικών δραστηριοτήτων, καθώς και βλάβες του δικτύου.
Ασφαλιστική Κάλυψη Ευθύνης στον Κυβερνοχώρο (CLIC)
Ο όρος “ασφαλιστική κάλυψη ευθύνης στον κυβερνοχώρο” χρησιμοποιείται συχνά για να περιγράψει μια σειρά από καλύψεις – κατά τον ίδιο τρόπο που η λέξη cyber (κυβερνο) χρησιμοποιείται για να περιγράψει ένα ευρύ φάσμα εργαλείων που σχετίζονται με την ασφάλεια των πληροφοριών, διαδικασίες και υπηρεσίες . Προς το παρόν, η ασφαλιστική κάλυψη αστικής ευθύνης στον κυβερνοχώρο μπορεί να περιλαμβάνει:
Κάλυψη διαχείρισης κρίσεως παραβίασης των δεδομένων/ιδιωτικότητας. Για παράδειγμα, τα έξοδα που σχετίζονται με τη διαχείριση του συμβάντος, την έρευνα, την αποκατάσταση, τη γνωστοποίηση για την παραβίαση/απώλεια δεδομένων, τη διαχείριση των κλήσεων, τον λογιστικό έλεγχο των λογαριασμών που έχουν πληγεί, τα νομικά έξοδα, τα έξοδα παραστάσεως σε δίκες και τα κανονιστικά πρόστιμα.
Κάλυψη της ευθύνης μέσων/πολυμέσων. Κάλυψη ζημιών από τρίτους συμπεριλαμβανομένων συγκεκριμένων αλλοιώσεων του ιστοτόπου και παραβίαση των δικαιωμάτων πνευματικής ιδιοκτησίας.
Κάλυψη σε περίπτωση εκβιασμού. Συνήθως, απώλειες που οφείλονται στην απειλή του εκβιασμού, επαγγελματικές αμοιβές που σχετίζονται με την αντιμετώπιση του εκβιασμού.
Ευθύνη ασφάλειας του δικτύου. Ζημιές τρίτων, ως αποτέλεσμα άρνησης της πρόσβασης, τα έξοδα ανάκτησης δεδομένων τρίτων προμηθευτών και το κόστος σχετικά με κλοπή των δεδομένων σε συστήματα τρίτων.
Για μερικές από τις καλύψεις της ασφάλισης έναντι ευθυνών κυβερνοχώρου μπορεί να υπάρχει συσχετισμός ή επικάλυψη με καλύψεις από ήδη υπάρχοντα ασφαλιστικά σας συμβόλαια, συμπεριλαμβανομένων εκείνων που αφορούν τη συνέχεια της επιχειρηματικής δραστηριότητας (business continuity) σε περίπτωση καταστροφικής ζημίας, τα ζητήματα της εφοδιαστικής αλυσίδας τρίτων, καθώς και επαγγελματικής ευθύνης. Ακόμα και αν όντως υπάρχει αυτή η επικάλυψη, με μια εξειδικευμένη ασφαλιστική κάλυψη ευθύνης στον κυβερνοχώρο θα έχετε εξασφαλίσει ότι η κάλυψή σας θα είναι η πληρέστερη δυνατή.
Πώς Να Πάρετε Ασφαλιστική Κάλυψη Cyber Risk
Ξεκινήστε με τα βασικά
Για πολλούς οι τεχνικές λεπτομέρειες της ασφάλειας των πληροφοριών και οι λεπτομέρειες για το πώς να αντιμετωπιστεί μία παραβίαση δεδομένων παραμένει ένα μυστήριο. Η αγορά για τα ασφαλιστικά προϊόντα ευθύνης στον κυβερνοχώρο είναι στα σπάργανα, ως εκ τούτου φροντίστε να βεβαιωθείτε ότι παίρνετε αυτό που πραγματικά χρειάζεστε.
Ο Σύμβουλος
Ποτέ δύο επιχειρήσεις δεν έχουν τις ίδιες ανάγκες για καλύψεις κινδύνων διαδικτύου. Για αυτό είναι απαραίτητη η επισήμανση των κινδύνων οι οποίοι απειλούν τη δική σας επιχείρηση προκειμένου να πάρετε την ασφάλιση προσαρμοσμένη ακριβώς σε ό,τι εσείς χρειάζεστε.
Το να συνεργαστείτε με τον σωστό σύμβουλο είναι σημαντικό. Ένας καλός σύμβουλος ο οποίος έχει πείρα και ειδικεύεται στην κάλυψη ευθυνών έναντι κινδύνων του κυβερνοχώρου όχι μόνο θα σας εξοικονομήσει χρόνο αλλά θα συμβάλλει στον καθορισμό του τι είναι κατάλληλο για την επιχείρησή σας, και θα σας καθοδηγήσει ώστε να πάρετε την πληρέστερη κάλυψη με το μικρότερο δυνατόν κόστος ασφάλισης. Να θυμάστε ότι ο σύμβουλος αυτός πιθανόν να μην είναι ο μεσίτης που χρησιμοποιείτε σήμερα για τους κινδύνους σας εκτός κυβερνοχώρου.
Η επιλογή του κατάλληλου ασφαλιστή έγκειται στο ότι είτε το κόστος μπορεί να είναι μεν μικρό, αλλά σε περίπτωση ζημιογόνου συμβάντος η κάλυψη θα αποδειχθεί περίπου ανύπαρκτη, ή θα επιτύχετε μια οικονομικά συμφέρουσα και αποτελεσματική κάλυψη στα πλαίσια της οποίας ο ασφαλιστής θα αναγνωρίσει τις συνέπειες της παραβίασης των δεδομένων και τα έξοδα που συνδέονται με αυτή. Και αυτό είναι ευθύνη του συμβούλου να σας καθοδηγήσει, ώστε να βεβαιωθείτε ότι έχετε τη σωστή κάλυψη στο πιο προσιτό κόστος.
Το Ασφαλιστικό Προϊόν
Η επιλογή της σωστής κάλυψης, για την επιχείρησή σας, το δικό σας επιχειρηματικό μοντέλλο, τον τομέα της δικής σας επιχειρηματικής σας δραστηριότητας, το μέγεθος, την έκθεσή σας και ούτω καθεξής, είναι μια πολύ σύνθετη διαδικασία, και αυτός είναι ο λόγος που ένας ειδικός σύμβουλος σάς είναι απαραίτητος, καθώς θα γνωρίζει καλύτερα τα προϊόντα που ταιριάζουν στις δικές σας ανάγκες.
Είναι σημαντικό να κατανοήσετε την υποστήριξη που παίρνετε ως μέρος της ασφαλιστικής κάλυψης. Λάβετε υπόψη ότι ο οργανισμός σας μπορεί να μη διαθέτει τα άτομα ή την εμπειρία προκειμένου να διαχειριστεί ένα περιστατικό παραβίασης δεδομένων, ώστε ένας ειδικός να είναι μια πολύ καλύτερη επιλογή για εσάς.
Όλες τα προγράμματα ασφάλισης έχουν μια σειρά από εξαιρέσεις, όρους, και ορισμούς, η κατανόηση των οποίων είναι σημαντική. Για τις μικρές και μεσαίες επιχειρήσεις, υπάρχουν διαθέσιμα ορισμένα πολύ απλά προγράμματα, τα οποία μερικές φορές εγείρουν περισσότερα ερωτήματα παρά δίνουν απαντήσεις, καθώς δεν παρέχουν πάντα μια πλήρη περιγραφή των εξαιρέσεων, των όρων και των ορισμών, ώστε να μην υπάρχουν δυσάρεστες εκπλήξεις κατά την αξίωση αποζημίωσης μετά από ένα καταστροφικό συμβάν.
Μερικές Τελευταίες Σκέψεις
Στην EXL Consulting, κατά την πολυδεκαετή σταδιοδρομία μας στη διαχείριση κινδύνων είχαμε δυστυχώς την εμπειρία συνεργασίας με εταιρείες που υπέστησαν τις συνέπειες μιας καταστροφικής κυβερνοεπίθεσης δίχως την κατάλληλη ασφαλιστική κάλυψη.
Είναι όντως απερίγραπτα συγκλονιστικό, πώς μια απόφαση της Διοίκησης προκειμένου για την περιστολή των δαπανών να αναβάλλει την ασφάλιση, μπορεί να οδηγήσει μια κατά τα άλλα οικονομικά υγιή επιχείρηση στο χείλος της χρεοκοπίας σε χρόνο μηδέν.
Ίσως δεν είχαμε πιέσει αρκετά, ή ίσως η αντίληψη ότι “δεν θα συμβεί σε εμάς”, ή η μανιώδης μείωση του κόστους, σε ορισμένους οργανισμούς έχουν εισχωρήσει τόσο βαθιά, ακριβώς σαν μια ωρολογιακή βόμβα στο υπόγειο.
Κατά την μακρόχρονη πορεία μας, τόσο ατομικά όσο και συλλογικά, έχουμε μάθει τη σημασία του να ακούμε.
Θα πρέπει να κατανοήσουμε όσο το δυνατόν τις λεπτομέρειες της δουλειάς σας, τις λειτουργίες των πληροφορικών σας συστημάτων, τους κινδύνους που μπορεί να απειλούν την απρόσκοπτη λειτουργία της επιχείρησής σας, προκειμένου να διαπραγματευτούμε για λογαριασμό σας την καλύτερη κάλυψη για τις ανάγκες σας, στο πλέον προσιτό κόστος, στη διεθνή ασφαλιστική αγορά.
Θα εφαρμόσουμε το αμοιβαία συμφωνημένο σχέδιο παροχής υπηρεσιών και εφόσον εγερθεί αξίωση αποζημίωσης, η εμπειρία και η γνωση μας των ασφαλειών σε διεθνές επίπεδο, σας εξασφαλίζει ότι θα εκπροσωπηθείτε επάξια και τα συμφέροντά σας θα προστατευθούν στο έπακρο.
Θυμηθείτε, εμείς εργαζόμαστε για σας, όχι για την ασφαλιστική εταιρεία.
Προσφέρουμε ένα ευρύ φάσμα συμβουλευτικών υπηρεσιών διαχείρισης κινδύνων και ασφάλισης, προκειμένου να βοηθήσουμε επιχειρήσεις, στον σχεδιασμό, τη διαχείριση, και τον περιορισμό της έκθεσής τους σε κινδύνους του κυβερνοχώρου, είτε πρόκειται για θέσεις εργασίας στο γραφείο, είτε για χώρες που δραστηριοποιείστε ανά τον κόσμο.
Η προστασία από κινδύνους του κυβερνοχώρου είναι ένας αγώνας ‘κλέφτες και αστυνόμοι’ δίχως τέλος. Δυστυχώς, οι κλέφτες έχουν το προβάδισμα (μερικοί λένε, είναι οι ίδιοι που παράγουν το λογισμικό ασφάλειας των υπολογιστών).
Εμείς λέμε, η ασφάλιση στον κυβερνοχώρο ολοκληρώνει την προστασία σας και σίγουρα δεν θα πρέπει να είναι μένετε χωρίς αυτή, αλλά θα θέλαμε να ακούσουμε από εσάς.
Τιμώντας τη σημασία τού να ακούμε προσεκτικά.
Μπορείτε επίσης να βρείτε ενδιαφέρον: “One System Breach Can Shut Down Your Business”
(*)http://thediplomat.com/2015/01/us-sony-hack-response-a-message-to-china/