Banker's Review Online - Ηλεκτρονικοί και διαδικτυακοί κίνδυνοι: Οι τάσεις μιας αγοράς που εξελίσσεται

Τρίτη, 24 Οκτωβρίου 2017

ΔΙΑΦΗΜΙΣΗ

Operations and IT

Οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι αποτελούν καθημερινή πραγματικότητα στον κόσμο των πληροφοριακών συστημάτων. Κάθε εταιρεία που διαχειρίζεται ηλεκτρονικά δεδομένα, ανεξάρτητα από το εάν αυτά βρίσκονται σε υπολογιστές, servers, κινητά τηλέφωνα ή το διαδίκτυο, μπορεί να βρεθεί αντιμέτωπη με αντίστοιχες περιπτώσεις.

Ηλεκτρονικοί και διαδικτυακοί κίνδυνοι: Οι τάσεις μιας αγοράς που εξελίσσεται

12 Απριλίου 2013 | 15:29 Γράφει ο Γιάννης  Τζίτζικας Topics: Cover Story,Security

Γιάννης Τζίτζικας, Διευθυντής Επιχειρηματικών Ασφαλίσεων, AIG

Σύμφωνα με την έρευνα «2011 Digital Universe Study»1 της IDC, μέχρι το 2020 υπολογίζεται πως οι επιχειρήσεις και οι οργανισμοί θα χειρίζονται πενήντα φορές περισσότερα δεδομένα και πληροφορίες σε σχέση με σήμερα. Όσο αυξάνεται ο όγκος των πληροφοριών και των δεδομένων, τόσο αυξάνεται και η πιθανότητα εμφάνισης των συγκεκριμένων κινδύνων.

Ιστορικά ο χρηματοοικονομικός τομέας είναι ο πλέον εκτεθειμένος στη συγκεκριμένη κατηγορία κινδύνων, ο οποίος άλλωστε παρουσιάζει και τα περισσότερα κρούσματα παραβίασης δεδομένων. Ωστόσο, αντίστοιχα ευάλωτες είναι οι εταιρείες τηλεπικοινωνιών, υπηρεσίες υγείας και τουρισμού, e-shops, καθώς επίσης και οι βιομηχανίες, οι εμπορικές επιχειρήσεις, οι κατασκευές και μεταφορές.

Κάθε εταιρεία που διαχειρίζεται ηλεκτρονικά δεδομένα, είτε σε server, είτε σε cloud computing, ενδέχεται να πέσει θύμα των συγκεκριμένων κινδύνων, ανεξάρτητα από τον κύκλο εργασιών της. Το επιχείρημα ότι οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι, (Cyber Risks), αφορούν μόνο σε εταιρείες με μεγάλο κύκλο εργασιών ανατρέπεται από τα ευρήματα των τελευταίων ετών.

Η προέλευση των επιθέσεων
Μία δεύτερη αντίληψη που τα γεγονότα την διαψεύδουν ηχηρά έχει να κάνει με την προέλευση των επιθέσεων. Πράγματι, ένα μεγάλο ποσοστό επιθέσεων συμβαίνουν από εξωτερικούς «εισβολείς» που δρουν κυρίως με οικονομικά κίνητρα. Ωστόσο, εξίσου συχνό είναι το φαινόμενο των εσωτερικών επιθέσεων ή διαρροών. Είτε κακόβουλα, είτε από αμέλεια, μία εταιρεία ενδέχεται να βρεθεί σοβαρά εκτεθειμένη από πράξεις των ίδιων των υπαλλήλων.

Ας σκεφτούμε ένα απλό και συνηθισμένο παράδειγμα: υπαλλήλους να μεταφέρουν σε USB drives σημαντικά εταιρικά έγγραφα με απόρρητες πληροφορίες, χωρίς να χρησιμοποιούν κάποιο σύστημα κρυπτογράφησης. Αυτά μπορεί να είναι προσωπικά στοιχεία πελατών, πληροφορίες μισθοδοσίας, οικονομικά στοιχεία της εταιρείας, στρατηγικές, σχέδια για νέα προϊόντα κ.α.

“Domino Effect” Τι γίνεται όμως με τις επιπτώσεις; Στην AIG, για να δώσουμε σχηματικά τις συνέπειες των ηλεκτρονικών και διαδικτυακών κινδύνων, χρησιμοποιούμε τo domino effect. Oι επιπτώσεις των συγκεκριμένων απειλών έχουν συχνά τη μορφή μίας αλυσιδωτής αντίδρασης με ανυπολόγιστες συνέπειες. Αφενός υπάρχουν σοβαρές χρηματικές απώλειες σε αποζημιώσεις και νομικά έξοδα. Επιπλέον, προκειμένου να γίνει η εξακρίβωση των συνθηκών της επίθεσης, θα χρειαστούν ειδικοί πραγματογνώμονες, ενώ το τμήμα ΙΤ αναγκάζεται να διακόψει την καθημερινή ροή των εργασιών του για να αντιμετωπίσει το ζήτημα αυτό. 

Η διαρροή των προσωπικών δεδομένων τρίτων, όμως, σημαίνει πως η εταιρεία καλείται, μεταξύ άλλων, να αντιμετωπίσει μία σοβαρή κρίση εταιρικής φήμης. Αυτό συνεπάγεται αρνητική δημοσιότητα, αρνητικά σχόλια από υπαλλήλους, πελάτες ή τρίτους είτε στον Τύπο είτε σε social media. Βλέπουμε δηλαδή πως σε ένα αντίστοιχο περιστατικό μία εταιρεία καλείται να αντιμετωπίσει ταυτόχρονα νομικές κυρώσεις, συστηματικά προβλήματα, οικονομικές απώλειες καθώς και ένα σοβαρό κλονισμό στη σχέση της με τους πελάτες της.

Πώς προφυλάσσεται μια εταιρεία;
To ερώτημα λοιπόν είναι, πώς μπορεί να προφυλαχθεί η εταιρεία από τους συγκεκριμένους κινδύνους και ποιος είναι ο ρόλος της ασφάλισης στη συγκεκριμένη περίπτωση. Το μόνο σίγουρο είναι πως μία παραδοσιακή κάλυψη αστικής ευθύνης ακόμα και η απλή ασφάλιση  επαγγελματικής ευθύνης δεν μπορούν να καλύψουν τους συγκεκριμένους κινδύνους. Αντίστοιχα μη αρκετή είναι και η ασφαλιστική προστασία που περιορίζεται στην προστασία έναντι «φυσικών» κινδύνων που απειλούν κυρίως το hardware και την διαθεσιμότητά του. Αυτό που χρειάζεται μία επιχείρηση είναι μία ολοκληρωμένη λύση που να συνδυάζει την ασφαλιστική κάλυψη με υπηρεσίες εξειδικευμένων συμβούλων και πραγματογνωμόνων.

Το CyberEdge της AIG
Έχοντας τα παραπάνω κατά νου, η AIG δημιούργησε ένα εξειδικευμένο πρόγραμμα προστασίας από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους, το CyberEdge, το οποίο προβλέπει τις πολλαπλές και πολυεπίπεδες επιπτώσεις τους, συνδυάζοντας την ασφαλιστική κάλυψη με την παροχή συμβουλευτικών υπηρεσιών.

Σε ό,τι αφορά το καθαρά ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων που ενδέχεται να προέρχονται από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης, ή απώλεια δεδομένων από φορητές συσκευές. Προβλέπεται επίσης κάλυψη χρηματικών απωλειών από διακοπή λειτουργίας των συστημάτων μίας επιχείρησης, καθώς η κάλυψη από εκβιασμό μετά από διαρροή δεδομένων.

Το CyberEdge ολοκληρώνεται με μία σειρά υπηρεσιών από εξειδικευμένους νομικούς, συμβούλων δημοσίων σχέσεων και ειδικών ασφαλείας. Έτσι, με το παρεχόμενο ασφαλιστικό πλαίσιο αναλαμβάνεται η διαχείριση και αποκατάσταση της εταιρικής φήμης, με στρατηγικό πλάνο επικοινωνίας προς εσωτερικά και εξωτερικά κοινά, ενώ παράλληλα οι ειδικοί εμπειρογνώμονες θα διερευνήσουν τα αίτια και τις συνθήκες παραβίασης, καθώς επίσης και το κόστος της ζημιάς. To CyberEdge ουσιαστικά καλύπτει μια σοβαρή ανάγκη της αγοράς που μέχρι πρότινος δεν μπορούσε να καλυφθεί τόσο εκτενώς από κανένα άλλο ασφαλιστικό πρόγραμμα.
 

Ιστορικά ο χρηματοοικονομικός τομέας είναι ο πλέον εκτεθειμένος στη συγκεκριμένη κατηγορία κινδύνων, ο οποίος άλλωστε παρουσιάζει και τα περισσότερα κρούσματα παραβίασης δεδομένων. Ωστόσο, αντίστοιχα ευάλωτες είναι οι εταιρείες τηλεπικοινωνιών, υπηρεσίες υγείας και τουρισμού, e-shops, καθώς επίσης και οι βιομηχανίες, οι εμπορικές επιχειρήσεις, οι κατασκευές και μεταφορές.

Κάθε εταιρεία που διαχειρίζεται ηλεκτρονικά δεδομένα, είτε σε server, είτε σε cloud computing, ενδέχεται να πέσει θύμα των συγκεκριμένων κινδύνων, ανεξάρτητα από τον κύκλο εργασιών της. Το επιχείρημα ότι οι ηλεκτρονικοί και διαδικτυακοί κίνδυνοι, (Cyber Risks), αφορούν μόνο σε εταιρείες με μεγάλο κύκλο εργασιών ανατρέπεται από τα ευρήματα των τελευταίων ετών.

Η προέλευση των επιθέσεων
Μία δεύτερη αντίληψη που τα γεγονότα την διαψεύδουν ηχηρά έχει να κάνει με την προέλευση των επιθέσεων. Πράγματι, ένα μεγάλο ποσοστό επιθέσεων συμβαίνουν από εξωτερικούς «εισβολείς» που δρουν κυρίως με οικονομικά κίνητρα. Ωστόσο, εξίσου συχνό είναι το φαινόμενο των εσωτερικών επιθέσεων ή διαρροών. Είτε κακόβουλα, είτε από αμέλεια, μία εταιρεία ενδέχεται να βρεθεί σοβαρά εκτεθειμένη από πράξεις των ίδιων των υπαλλήλων.

Ας σκεφτούμε ένα απλό και συνηθισμένο παράδειγμα: υπαλλήλους να μεταφέρουν σε USB drives σημαντικά εταιρικά έγγραφα με απόρρητες πληροφορίες, χωρίς να χρησιμοποιούν κάποιο σύστημα κρυπτογράφησης. Αυτά μπορεί να είναι προσωπικά στοιχεία πελατών, πληροφορίες μισθοδοσίας, οικονομικά στοιχεία της εταιρείας, στρατηγικές, σχέδια για νέα προϊόντα κ.α.

“Domino Effect” Τι γίνεται όμως με τις επιπτώσεις; Στην AIG, για να δώσουμε σχηματικά τις συνέπειες των ηλεκτρονικών και διαδικτυακών κινδύνων, χρησιμοποιούμε τo domino effect. Oι επιπτώσεις των συγκεκριμένων απειλών έχουν συχνά τη μορφή μίας αλυσιδωτής αντίδρασης με ανυπολόγιστες συνέπειες. Αφενός υπάρχουν σοβαρές χρηματικές απώλειες σε αποζημιώσεις και νομικά έξοδα. Επιπλέον, προκειμένου να γίνει η εξακρίβωση των συνθηκών της επίθεσης, θα χρειαστούν ειδικοί πραγματογνώμονες, ενώ το τμήμα ΙΤ αναγκάζεται να διακόψει την καθημερινή ροή των εργασιών του για να αντιμετωπίσει το ζήτημα αυτό. 

Η διαρροή των προσωπικών δεδομένων τρίτων, όμως, σημαίνει πως η εταιρεία καλείται, μεταξύ άλλων, να αντιμετωπίσει μία σοβαρή κρίση εταιρικής φήμης. Αυτό συνεπάγεται αρνητική δημοσιότητα, αρνητικά σχόλια από υπαλλήλους, πελάτες ή τρίτους είτε στον Τύπο είτε σε social media. Βλέπουμε δηλαδή πως σε ένα αντίστοιχο περιστατικό μία εταιρεία καλείται να αντιμετωπίσει ταυτόχρονα νομικές κυρώσεις, συστηματικά προβλήματα, οικονομικές απώλειες καθώς και ένα σοβαρό κλονισμό στη σχέση της με τους πελάτες της.

Πώς προφυλάσσεται μια εταιρεία;
To ερώτημα λοιπόν είναι, πώς μπορεί να προφυλαχθεί η εταιρεία από τους συγκεκριμένους κινδύνους και ποιος είναι ο ρόλος της ασφάλισης στη συγκεκριμένη περίπτωση. Το μόνο σίγουρο είναι πως μία παραδοσιακή κάλυψη αστικής ευθύνης ακόμα και η απλή ασφάλιση  επαγγελματικής ευθύνης δεν μπορούν να καλύψουν τους συγκεκριμένους κινδύνους. Αντίστοιχα μη αρκετή είναι και η ασφαλιστική προστασία που περιορίζεται στην προστασία έναντι «φυσικών» κινδύνων που απειλούν κυρίως το hardware και την διαθεσιμότητά του. Αυτό που χρειάζεται μία επιχείρηση είναι μία ολοκληρωμένη λύση που να συνδυάζει την ασφαλιστική κάλυψη με υπηρεσίες εξειδικευμένων συμβούλων και πραγματογνωμόνων.

Το CyberEdge της AIG
Έχοντας τα παραπάνω κατά νου, η AIG δημιούργησε ένα εξειδικευμένο πρόγραμμα προστασίας από τους ηλεκτρονικούς και διαδικτυακούς κινδύνους, το CyberEdge, το οποίο προβλέπει τις πολλαπλές και πολυεπίπεδες επιπτώσεις τους, συνδυάζοντας την ασφαλιστική κάλυψη με την παροχή συμβουλευτικών υπηρεσιών.

Σε ό,τι αφορά το καθαρά ασφαλιστικό σκέλος, το CyberEdge καλύπτει τις απαιτήσεις τρίτων που ενδέχεται να προέρχονται από διαρροή ή αλλοίωση δεδομένων λόγω κακόβουλων επιθέσεων, αδυναμία πρόσβασης στα συστήματα του ασφαλισμένου, αποκάλυψη δεδομένων λόγω παραβίασης, ή απώλεια δεδομένων από φορητές συσκευές. Προβλέπεται επίσης κάλυψη χρηματικών απωλειών από διακοπή λειτουργίας των συστημάτων μίας επιχείρησης, καθώς η κάλυψη από εκβιασμό μετά από διαρροή δεδομένων.

Το CyberEdge ολοκληρώνεται με μία σειρά υπηρεσιών από εξειδικευμένους νομικούς, συμβούλων δημοσίων σχέσεων και ειδικών ασφαλείας. Έτσι, με το παρεχόμενο ασφαλιστικό πλαίσιο αναλαμβάνεται η διαχείριση και αποκατάσταση της εταιρικής φήμης, με στρατηγικό πλάνο επικοινωνίας προς εσωτερικά και εξωτερικά κοινά, ενώ παράλληλα οι ειδικοί εμπειρογνώμονες θα διερευνήσουν τα αίτια και τις συνθήκες παραβίασης, καθώς επίσης και το κόστος της ζημιάς. To CyberEdge ουσιαστικά καλύπτει μια σοβαρή ανάγκη της αγοράς που μέχρι πρότινος δεν μπορούσε να καλυφθεί τόσο εκτενώς από κανένα άλλο ασφαλιστικό πρόγραμμα.
 


Σε παγκόσμιο επίπεδο βλέπουμε τις επιχειρήσεις να επενδύουν ολοένα και περισσότερο στην ασφάλεια έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων. Έρευνα της PwC2 αναφέρει πως η παγκόσμια δαπάνη για μέτρα ασφάλειας έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων ανήλθε περίπου στα $60 δισ. το 2011, ενώ τα επόμενα τρία με πέντε έτη αναμένεται ετήσια αύξηση του ποσού αυτού κατά 10% ετησίως.

Υπαρκτοί οι κίνδυνοι στην Ελλάδα
Από την ασφαλιστική σκοπιά, το 25% των εταιρειών στις ΗΠΑ ήδη διαθέτει κάλυψη για τη συγκεκριμένη κατηγορία κινδύνων. Παρόλο που στην Ευρώπη τα ποσοστά αυτά δεν είναι τόσο υψηλά, διακρίνονται αυξητικές τάσεις μέσα στα επόμενα χρόνια, τόσο γιατί το ρυθμιστικό πλαίσιο σε ευρωπαϊκό επίπεδο σταδιακά γίνεται πιο αυστηρό, όσο και γιατί αυξάνονται συνεχώς τόσο οι κίνδυνοι που αντιμετωπίζουν οι εταιρείες, όσο και τα κρούσματα επιθέσεων.

Ενδιαφέρον παρουσιάζει το γεγονός ότι στη φετινή έρευνα της Verizon «2012 Data Breach Investigation Report»3 έβαλε την Ελλάδα στον παγκόσμιο χάρτη των χωρών στις οποίες παρουσιάστηκαν κρούσματα επιθέσεων. Ενώ ο αριθμός των χωρών ήταν 22 στην αντίστοιχη έρευνα του 2010, το 2012 αυξήθηκε στις 36. Βλέπουμε λοιπόν ότι τα επόμενα χρόνια θα ακούμε ολοένα και πιο συχνά περιπτώσεις παραβίασης συστημάτων καθώς και διαρροής δεδομένων.

Το θέμα της ασφάλειας έναντι ηλεκτρονικών και διαδικτυακών κινδύνων ήδη μπαίνει στην agenda των διοικητικών συμβουλίων. Οι σύμβουλοι ΙΤ διεθνώς συμβουλεύουν τους πελάτες τους με το εξής απλό αλλά ουσιαστικό «act as you have already been hacked”. Οι decision makers κάθε οργανισμού κρίνονται πλέον από το πόσο ήταν σε θέση να προβλέψουν και να προτείνουν τις σωστές λύσεις και στο πλαίσιο αυτό έχουμε επενδύσει ώστε να βρουν την AIG και το  CyberEdge στο πλευρό τους ως βέλτιστη λύση στην κατηγορία αυτή.

http://www.emc.com/collateral/analyst-reports/idc-extracting-value-from-chaos-ar.pdf

http://www.pwc.com/en_GX/gx/aerospace-defence/pdf/cyber-security-mergers-acquisitions.pdf

http://www.verizonbusiness.com/resources/reports/rp_data-breach-investigations-report-2012_en_xg.pdf

Banker's Review (T. 031)
« 1 2 »

Έχετε άποψη;
Ο σχολιασμός των άρθρων προϋποθέτει την Είσοδο σας στο Banker's Review Online.
ΔΙΑΦΗΜΙΣΗ

Δείτε ακόμη...

Οι πιο δημοφιλείς ειδήσεις σήμερα

Αυτοί που διάβασαν αυτό διάβασαν επίσης

Τα πιο δημοφιλή Topics

Οι πιο δημοφιλείς ειδήσεις σε αυτήν την ενότητα

Οι πιο δημοφιλείς ειδήσεις σε άλλες ενότητες

ΔΙΑΦΗΜΙΣΗ
ΔΙΑΦΗΜΙΣΗ

Συνεντεύξεις / Πρόσωπα

 
ΔΙΑΦΗΜΙΣΗ

Topics

Συγχωνεύσεις και εξαγορές

Private banking

Πιστωτική κρίση

Credit Risk management

Enterprise risk management

Best work place

Multichannel Strategy

Innovation

International Banking

Outsourcing

©2017 Boussias Communications, all rights reserved. Κλεισθένους 338, 153 44 Γέρακας, info@boussias.com, Τ:210 6617777, F:210 6617778