Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε εταιρίας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από αρκετές πρόσφατες παραβιάσεις συστημάτων, το πώς ένας οργανισμός  χειρίζεται μια κρίση παίζει σημαντικό ρόλο στο κατά πόσο ο Διευθύνων Σύμβουλος  και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους.

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις εταιρίες γιατί προσφέρει δυνατότητα αποτελεσματικής επικοινωνίας με τον ασφαλιστικό διαμεσολαβητή, τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει την δυνατότητα πρόσβασης σε νέα τμήματα της αγοράς με προϊόντα και υπηρεσίες χαμηλότερου κόστους.

 

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι εταιρίες όπως: οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, Βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά (π.χ, συμβάσεις συνεργασίας με παρόχους υπηρεσιών υγείας), σχέδια μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με ασφαλιστικούς διαμεσολαβητέςδεδομένα υγείας των ασφαλισμένωνδεδομένα συνταξιοδοτικών προγραμμάτων, αριθμούς των πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά στοιχεία πελάτη, προσωπικά οικονομικά στοιχεία πελατών.  

 

Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία της εταιρίας μέσω κυβερνοεπιθέσεων που οδηγούν σε άρνηση παροχής υπηρεσίας (DDos) των συστημάτων εξυπηρέτησης πελατών. 

 

Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στις εταιρίες. Οι κίνδυνοι που συνδέονται με την χρήση του κυβερνοχώρου (Cyber Risks) πρέπει να αντιμετωπιστούν όπως όλοι οι κίνδυνοι και μετα την ανάλυσή τους να αποφασιστεί τι ποσοστό μπορεί να αναλάβει η  εταιρία και τι ποσοστό θα μεταφερθεί σε  εξειδικευμένους ασφαλιστές ή αντασφαλιστές  

 

Οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζαμε μέχρι σήμερα μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία ενός εργαζόμενου που μπήκε σε μια μολυσμένη ιστοσελίδα ή απάντησε σε ένα e-mail phishing.

 

Τα αποτελέσματα μιας μελέτης που διεξήχθη το 2014 από την εταιρία Corporate Board Member & FTI Consulting, Inc και έλαβαν μέρος, σχεδόν 500 διευθυντές εταιριών και μέλη διοικητικού συμβουλίου έδειξαν ότι οι κίνδυνοι του κυβερνοχώρου και η διαχείρισή τους  αποτελεί μια από τις κορυφαίες  ανησυχίες.

Τα μέλη του διοικητικού συμβουλίου και τα ανώτερα στελέχη πρέπει να δίνουν ύψιστη προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και στην προστασία των δεδομένων της επιχείρησης

 

Ο λόγος για αυτή την ανησυχία είναι ότι υπάρχουν πολλές επιχειρηματικές άμεσες και έμμεσες ζημιές που σχετίζονται με το έγκλημα στον κυβερνοχώρο και την απώλεια δεδομένων.

 

Άμεσες ζημιές οι οποίες περιλαμβάνουν επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:

  • αμοιβές εξειδικευμένου δικηγόρου
  • υπηρεσίες ειδικών ψηφιακής εγκληματολογίας (forensics)
  • υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
  • υπηρεσίες τηλεφωνικού κέντρου
  • υπηρεσίες ελεγκτών
  • Credit Monitoring – Υπηρεσία Παρακολούθησης χρήσης δεδομένων που έχουν κλαπεί για την πραγματοποίηση παράνομων χρηματοοικονομικών συναλλαγών
  • έξοδα αντικατάστασης στοιχείων ενεργητικού α) αντικατάσταση της πιστωτικής κάρτας του πελάτη β) αντικατάσταση υλικού hardware ή software κ.λπ.
  • έκτακτα έξοδα οπως:α) αναγκαία έξοδα ταξιδίου και διαμονής για ομάδες  ειδικών διαχείρισης περιστατικών β) τα έξοδα αποστολής, ενημερωτικών επιστολών σε πελάτες, κ.λπ.,
  • πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
  • έξοδα για την επίτευξη  επιχειρησιακής συνέχειας
  • έξοδα εγκατάστασης νέων συστημάτων ασφάλειας

 

Οι Έμμεσες απώλειες μπορεί να είναι ακόμα πιο σημαντικές, συμπεριλαμβανομένων:

  • μείωσης της φήμης της εταιρίας
  • πτώσης των εσόδων
  • χαμένων  επιχειρηματικών  ευκαιριών
  • απώλεια πελατών
  • απώλεια συνεργατών
  • καθυστερήσεις  έργων και λανσαρίσματος νέων προϊόντων
  • αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
  • κόστη εκπαίδευσης και  ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας
  • επαναλαμβανόμενα έξοδα για τακτικούς ελέγχους ασφάλειας.

 

Δυστυχώς, πολλές από αυτές τις άμεσες και έμμεσες δαπάνες είναι απρογραμμάτιστες και δεν υπάρχουν προβλέψεις στον προϋπολογισμό. Τα περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών  μπορεί να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές της εταιρίας.

 

Το Ponemon Institute σε συνεργασία με την IBM στο Report ”2019 – Cost of Data Breach Study Global” αναφέρει ότι  το μέσο κόστος της παραβίασης συστημάτων και απώλειας δεδομένων στην Αμερική ήταν $3.92 εκατ.   

 

 

 

Ελλάδα - Κυβερνοεπιθέσεις

H αγορά των Lloyds σε συνεργασία με το Κέντρο Μελετών Κινδύνων του Πανεπιστημίου του Κέμπριτζ δημιούργησε τον δείκτη Lloyd’s City Risk Index με σκοπό την παρακολούθηση των τάσεων των κινδύνων που θα κληθούν να διαχειριστούν κυβερνήσεις, ασφαλιστικές και επιχειρήσεις την επόμενη δεκαετία (2015-2025).

 

Ειδικότερα για την Ελλάδα και πιο συγκεκριμένα για την Αθήνα το ποσό που βρίσκεται σε κίνδυνο ανέρχεται σε $17.44 δις δολλάρια του εκτιμώμενου Α.Ε.Π. Μέσα σε αυτό το ποσό για πρώτη φορά εμφανίζεται και ο κίνδυνος που διατρέχει η πόλη λόγω κυβερνοεπιθέσεων (Cyber attacks) και υπολογίζεται σε 6% του συνολικού ποσού που βρίσκεται σε κίνδυνο.

Η κατανομή των κινδύνων ανάλογα με την φύση τους φαίνεται στο διάγραμμα που ακολουθεί.  

 

Πηγή: https://www.lloyds.com/cityriskindex/locations/city/athens

 

Εκτός από τους κλασικούς κινδύνους όπως η κατάρρευση της αγοράς, η οικονομική αδυναμία, η τιμή του πετρελαίου, οι επιδημίες, ο σεισμός, εμφανιζονται νέοι κίνδυνοι, όπως οι κυβερνοεπιθέσεις οι οποίες αποκτούν συνεχώς μεγαλύτερη βαρύτητα.

 

Το ποσό που βρίσκεται σε κίνδυνο από  κυβερνοεπιθέσεις ανέρχεται σε $1.06 δις δολλάρια του εκτιμώμενου Α.Ε.Π της Ελλάδας το οποίο υπολείπεται ελάχιστα σε σχέση με τα σε $1.07 δις δολλάρια του εκτιμώμενου Α.Ε.Π που βρίσκονται σε κίνδυνο λόγω σεισμού.


Cyber Insurance

 

Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση Cyber Insurance, δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών.

 

Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, όπως αυτή της Sony που συνέβη πρόσφατα, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

 

Πρέπει να τονιστεί ότι αύξηση των χρηματοοικονομικών επιπτώσεων θα έχουμε με την εφαρμογή της νέας ευρωπαικής νομοθεσίας για την προστασία των προσωπικών δεδομένων η οποία προβλέπει υποχρεωτικη γνωστοποίηση συμβάντων στις αρμόδιες αρχές και στους πελάτες των οποίων χάθηκαν τα δεδομένα. Επίσης οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν έως 4 % του ετήσιου κύκλου εργασιών της εταιρείας ή €20εκ όποιο από τα δύο είναι μεγαλύτερο.

 

Εταιρική Φήμη.

Ένα ακόμη μεγάλο πρόβλημα που έχει να αντιμετωπίσει ένας Διευθύνων Σύμβουλος είναι η βλάβη που μπορεί να υποστεί η φήμη της εταιρίας του.

 

Όπως περίφημα είπε ο Warren Buffett:

"Χρειάζονται 20 χρόνια για να χτιστεί η φήμη μιας εταιρίας και μόνο πέντε λεπτά για να καταστραφεί."

 

Σε μελέτη του Ponemon Institute διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.

 

Το μεγαλύτερο λάθος που κάνουν οι εταιρίες στην αντιμετώπιση αυτών των περιστατικών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους. Θεωρούν δεδομένο ότι μπορούν να αντιμετωπίσουν μια κρίση που μπορεί να προέλθει από περιστατικά παραβίασης συστημάτων γιατί έχουν την καλύτερη ομάδα ΙΤ. Ακόμα χειρότερα γιατί θεωρούν οτι μπορούν να χειριστούν την κρίση την στιγμή που συμβαίνει χωρίς προηγούμενη προετοιμασία.

 

Οι εταιρίες θα πρέπει να είναι προετοιμασμένες για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο. Ο σχεδιασμός της αντιμετώπισης της κρίσης  μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων. 

 

Αυτό που παρατηρείται επίσης είναι ότι οι εταιρείες είτε ανταποκρίνονται πολύ γρήγορα σε μια κρίση, ή πολύ αργά. Ο συγχρονισμός είναι ζωτικής σημασίας για την αντιμετώπιση της κρίσης.

 

Αν για το περιστατικό παραβίασης βγεί κάποια ανακοίνωση πολύ γρήγορα, ίσως να μην γνωρίζουμε την πλήρη έκταση της ζημίας, κατι που σε δεύτερο χρόνο θα μας αναγκάσει πιθανόν να την αναθεωρήσουμε. Αν αυτό γίνει πάρα πολύ αργά θα φαίνεται ότι προσπαθούμε να αποφύγουμε την ευθύνη και λόγω  αυτής της καθυστέρησης και οι πελάτες της εταιρίας μπορούν να επηρεάστουν περισσότερο από το περιστατικό.

 

Οι  Δημόσιες σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει  πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.

 

Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων

 

Για το λόγο αυτό θα πρέπει σε κάθε εταιρία να έχει δημιουργηθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη της εταιρίας από τα τμήματα:

  • Information Security
  • IT
  • Νομικής υπηρεσίας
  • Κανονιστικής Συμμόρφωσης
  • Δημοσίων Σχέσεων & Επικοινωνίας
  • Εξυπηρέτησης Πελατών
  • Οικονομικής Διεύθυνση
  • Business Continuity
  • Risk Management
  • HR
  • Marketing

και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους , επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.

 

Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.

 

Η ομάδα αυτή πρέπει να συντονίζεται από  τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης ακόμα. Σε πολλές περιπτώσεις οι αποφάσεις αυτές πρέπει να παρθούν χωρίς τα στελέχη της εταιρίας να έχουν στην διαθεσή τους όλη την σχετική πληροφόρηση.

 

Η ασφάλιση Cyber Insurance, δίνει εκτός από τις χρηματικές αποζημιώσεις, πρόσβαση σε ομάδες ειδικών (δικηγόροι, επικοινωνιολόγοι, forensics investigators κλπ) οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους  και να προστατεύσουν την   εταιρική φήμη. Η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματικό εργαλείο αντιστάθμισης κινδύνου.  

 

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος  για  την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό. Είναι αναγκαίο ο Διευθύνων Σύμβουλος  να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του.


Πηγή: https://www.cyberinsurancegreece.com/clevel-executives-data-breach/

 

Διοικητικά Πρόστιμα έως

4% του τζίρου 

ή €20εκ 

όποιο είναι μεγαλύτερο επιβάλλει ο νέος Ευρωπαϊκός Γενικός Κανονισμός για την Προστασία Δεδομένων (GDPR) ο οποίος θα αρχίσει να ισχύει το 2017 σε εταιρίες που υπέστησαν περιστατικά διαρροής δεδομένων και 

υποχρεωτική γνωστοποίηση συμβάντων 

εντός 72 ωρών

Target Data Breach Videos

Ebooks

Contact

cyberinsurancequote

© CyberInsuranceQuote.gr 2022 All rights reserved.

Powered by Webnode