Συνεχης ενημερωση

    Τρίτη, 29-Δεκ-2020 00:21

    Κυβερνο-επιθέσεις και ασφαλιστική αγορά: κίνδυνοι και προστασία

    • Εκτύπωση
    • Αποστολή με email
    • Προσθήκη στη λίστα ανάγνωσης
    • Μεγαλύτερο μέγεθος κειμένου
    • Μικρότερο μέγεθος κειμένου

    Του Σωκράτη Βερτέλλη

    Πριν από λίγο καιρό (12.11.2020) οι χρήστες του youtube διαπίστωναν ότι τους ήταν αδύνατον να επισκεφτούν την εν λόγω ιστοσελίδα. Μερικές ημέρες νωρίτερα (20.10.2020) δημοσιεύματα ανέφεραν ότι υπήρξαν περιστατικά ηλεκτρονικού ψαρέματος πελατών  τράπεζας – τα οποία βέβαια η ίδια η τράπεζα διέψευσε. Tο 2018 ελληνική εταιρεία αναγκάστηκε να πληρώσει 75.000 ευρώ σε bitcoins ως λύτρα για να αποκτήσει ξανά πρόσβαση στα δεδομένα της. Για τα ελληνικά δεδομένα πρόκειται ίσως για την πιο τρανταχτή μέχρι τώρα περίπτωση κυβερνο-επίθεσης που είδε το φως της δημοσιότητας, χωρίς να αποκλείεται να υπήρξαν και άλλες που παρέμειναν μυστικές, ακόμα και από την αστυνομία.

    Αυτά είναι μόλις μερικά παραδείγματα από τις δεκάδες χιλιάδες κυβερνο-επιθέσεις, μικρότερης ή μεγαλύτερης σημασίας, που λαμβάνουν χώρα καθημερινά σε παγκόσμια κλίμακα και εκδηλώνονται με πολλούς και διάφορους τρόπους. Οι πιο γνωστοί είναι: 

    α) το παραδοσιακό, κακόβουλο λογισμικό (viruses, worms, Trojan horses) που σκοπό έχει να καταστρέψει ή να αλλοιώσει αρχεία υπολογιστών.
    β) οι επιθέσεις άρνησης υπηρεσιών ή distributed denial of service attacks κατά τις οποίες μία ιστοσελίδα δέχεται επίθεση ώστε να μην είναι προσβάσιμη στους χρήστες. Αυτό επιτυγχάνεται συνήθως μέσω ‘bots’ (βλ. πιο κάτω).
    γ) το ηλεκτρονικό ψάρεμα (phising) με το οποίο τρίτοι επιδιώκουν, συνήθως μέσω e-mails, να οδηγήσουν τους χρήστες σε παραπλανητικές ιστοσελίδες (συχνά αντίγραφα ιστοσελίδων τραπεζικών ιδρυμάτων ή οργανισμών πιστωτικών καρτών) ώστε να υποκλέψουν προσωπικούς κωδικούς και ακολούθως να προβούν σε αναλήψεις ή χρεώσεις. 
    δ) πιο πρόσφατα χάρη στη μεγάλη ευρυζωνικότητα παρουσιάστηκε μία νέα απειλή, η λεγόμενη ‘botnet attack’. Στην περίπτωση αυτή πολλοί υπολογιστές ή έξυπνες συσκευές που έχουν αρχικώς προσβληθεί από ιό, δημιουργούν ένα πολύ μεγάλο δίκτυο συσκευών (‘botnet’) που λαμβάνει οδηγίες να επιτελέσει  μαζικές επιθέσεις εναντίον ενός πληροφοριακού συστήματος – μία από αυτές, όπως είδαμε είναι η επίθεση άρνησης υπηρεσιών. Προκειμένου ο νόμιμος κάτοχος του πληροφοριακού συστήματος να το "απευλεθερώσει" και να αναλάβει τα αρχεία του είναι συχνά αναγκασμένος να πληρώσει πολλά λύτρα. 

    Το μέγεθος του κινδύνου

    Αξίζει να σημειωθεί ότι σύμφωνα με έκθεση της PWC το 2015 το 90% των μεγάλων επιχειρήσεων και το 74% των μικρομεσαίων στο Ηνωμένο Βασίλειο είχαν δεχτεί κυβερνο-επίθεση τουλάχιστον μία φορά μέσα σε ένα έτος. Ο αντίκτυπος υπολογίστηκε κατά μέσο όρο από 1,46 έως 3,14 εκατ. λίρες για κάθε μεγάλη και από 75 χιλιάδες έως 300 χιλιάδες λίρες για κάθε μικρομεσαία επιχείρηση, όπου περιλαμβάνονται μεταξύ άλλων η απώλεια πελατείας και εισοδήματος, τα πρόστιμα και οι δικαστικές αποζημιώσεις, το κόστος επανάκτησης δεδομένων κλπ. (πηγή: PWC 2015 information security breaches survey). Εξάλλου, σύμφωνα με άλλη έρευνα, το 2017 για τις περισσότερες μεγάλες οικονομίες του δυτικού κόσμου το κόστος στις επιχειρήσεις από κυβερνο-επιθέσεις συνέχιζε να αυξάνεται σταθερά ενώ για τα επόμενα 4 έτη αναμενόταν ότι τουλάχιστον 30% σχεδόν από τις συμμετέχουσες στην έρευνα εταιρείες θα έπεφταν θύμα σοβαρής κυβερνο-επίθεσης (πηγή: Ponemon Institute, 2017 Cost of Data Breach Study). 

    Όμως, παρά το γεγονός ότι οι επιχειρήσεις γνωρίζουν πόσο ευάλωτες είναι σε επιθέσεις από το διαδίκτυο πληροφορίες με ιδιαίτερη γι’αυτές οικονομική ή/και ηθική αξία (προσωπικά δεδομένα του προσωπικού ή πελατών τους,  εμπορικά μυστικά, δικαιώματα βιομηχανικής και εν εν γένει διανοητικής ιδιοκτησίας, μελέτες και οικονομικά στοιχεία κλπ.) εντούτοις εντύπωση προξενεί το γεγονός ότι ο κλάδος της ασφάλισης έναντι των κινδύνων του διαδικτύου (cybersecurity ή information security insurance) δεν ακολουθεί ακόμα την ίδια ανάλογη, αυξητική πορεία. Να επισημανθεί ότι τα ασφαλιστικά προγράμματα που υπάρχουν στο εξωτερικό για κινδύνους από το διαδίκτυο είναι πάρα πολλά και συχνά προσαρμόζονται στις ανάγκες του εκάστοτε πελάτη. Ενδεικτικά, μερικές μόνο από τις παροχές που προσφέρονται είναι: η παροχή νομικής βοήθειας σε περίπτωση παραβίασης, η κάλυψη έναντι του κινδύνου απώλειας εισοδήματος, η κάλυψη από τον κίνδυνο απώλειας δεδομένων, η κάλυψη από την απώλεια φήμης και πελατείας, η παροχή υπηρεσιών για τον εντοπισμό της "αχίλλειας πτέρνας" του πληροφοριακού συστήματος του πελάτη κ.ά. Παρ’όλη αυτή την ποικιλία, το 2016 μόλις το 29% των εταιρειών στις ΗΠΑ είχε ενταχθεί σε κάποιο τέτοιο ασφαλιστικό πρόγραμμα και μόλις το 2% των εταιρειών στο Ηνωμένο Βασίλειο. Ωστόσο, αν και προς το παρόν η ανάπτυξη του κλάδου της κυβερνο-ασφάλισης εμφανίζεται "μουδιασμένη", σύμφωνα με όλες τις προβλέψεις, η δυναμική του είναι τεράστια, τέτοια που ένας από τους μεγαλύτερους παγκοσμίους αντασφαλιστές, η εταιρία Munich Re, υπολογίζει ότι έως το 2025 η αγορά αυτή από μόνη της θα ξεπερνά τα 20 δις δολάρια. Όμως, για να φτάσουν εκεί, οι ασφαλιστικές εταιρείες στο εξωτερικό προετοιμάζουν χρόνια τώρα προσεκτικά και μεθοδικά το έδαφος, επενδύοντας σε αναλύσεις των αγορών και των αναγκών των επιχειρήσεων καθώς και σε ανθρώπους άρτια  καταρτισμένους (τεχνικούς και νομικούς) ώστε να δημιουργήσουν τα κατάλληλα ασφαλιστικά προγράμματα.  

    Η ασφαλιστική αγορά στην Ελλάδα

    Πού βρίσκονται μέσα σε όλα αυτά οι ελληνικές, ασφαλιστικές εταιρείες; Καταρχάς, θα πρέπει να παρατηρήσουμε ότι γενικά στην Ελλάδα, η είσπραξη ασφαλίστρων ως δείγμα ευημερίας των ασφαλιστικών επιχειρήσεων δεν διάγει την καλύτερη περίοδο. Σύμφωνα με την έκθεση Allianz Global Insurance Markets Report, το 2018 η συνολική παραγωγή ασφαλίστρων στη χώρα μας παρέμενε κατά 28% μικρότερη από αυτή του 2009. Σε σχέση με το 2017, παρατηρήθηκε μηδενική σχεδόν αύξηση εσόδων από ασφάλιστρα ζωής (0,1%) και μόλις 1,9% από ασφάλιστρα περιουσίας. Ταυτόχρονα η ασφαλιστική διείσδυση (δηλαδή τα ασφάλιστρα ως ποσοστό του ΑΕΠ) βρισκόταν το 2018 σε εξαιρετικά χαμηλά επίπεδα, μόλις σε ποσοστό το 2,1%, που αποτελεί το χαμηλότερο της ΕΕ. Οι αιτίες για την εικόνα αυτή είναι πολλές με κυριότερη ασφαλώς τη μεγάλη οικονομική κρίση που έπληξε τη χώρα μας την περασμένη δεκαετία. Η ασφάλιση κατέληξε να φαντάζει πλέον πολυτέλεια και μόνο όπου αυτή προβλέπεται υποχρεωτικά από το νόμο (πχ. αυτοκίνητα, σκάφη), συνεχίζει να αποτελεί σταθερή πηγή εσόδων για τις ασφαλιστικές εταιρίες ενώ κατά τα λοιπά, κερδοφόροι στο παρελθόν τομείς ασφαλίσεων (ασφαλίσεις μεταφορών, πιστώσεων, γενικής ή επαγγελματικής αστικής ευθύνης) σημείωσαν κατακόρυφη πτώση χωρίς να διαφαίνεται ότι προσεχώς θα αλλάξει κάτι αισθητά προς το καλύτερο. 

    Μια νέα αγορά

    Σε αυτό το αρνητικό για την ασφαλιστική βιομηχανία περιβάλλον, αντί οι ελληνικές, ασφαλιστικές εταιρείες εκμεταλλευόμενες τους ολοένα αυξανόμενους, διαδικτυακούς κινδύνους, να αναλάβουν σοβαρές πρωτοβουλίες προκειμένου να δημιουργήσουν μία νέα αγορά, με ελκυστικά ασφαλιστικά προϊόντα, αποκτώντας έτσι ανταγωνιστικό πλεονέκτημα έναντι αλλοδαπών εταιρειών, εκείνες ακολουθούν παθητικά τις εξελίξεις. Είναι χαρακτηριστικό ότι η κάλυψη κινδύνων από κυβερνο-επιθέσεις ως επί το πλείστον προβλέπεται ως μέρος συμβολαίων άλλων κλάδων (πχ. αστικής ευθύνης) χωρίς να της προσδίδεται αυτούσια αξία η οποία θα οδηγούσε στη δημιουργία και στη χώρα μας ενός ξεχωριστού και χρήσιμου από κάθε άποψη κλάδου ασφάλισης. Και από την άλλη, στις σπάνιες περιπτώσεις που ελληνικές ασφαλιστικές εταιρείες έχουν διστακτικά εισάγει στα προγράμματά τους ασφαλιστήρια για διαδικτυακούς κινδύνους, αυτά είναι κατά γενική ομολογία κακογραμμένα (με όρους που συνήθως έχουν μεταφραστεί από ξένα συμβόλαια και από ανθρώπους που δεν έχουν σχέση με το αντικείμενο) και ελλιπή, με συνέπεια επιχειρήσεις που ψάχνουν για σοβαρά προγράμματα ασφάλισης έναντι διαδικτυακών κινδύνων να καταφεύγουν σε ασφαλιστικές εταιρείες του εξωτερικού. Το αποτέλεσμα είναι βέβαια ότι χάνεται έτσι για την ελληνική, ασφαλιστική αγορά, η μεγάλη ευκαιρία να προετοιμαστεί για ένα μέλλον που βρίσκεται ήδη εδώ, να αναπτυχθεί και να μετεξελιχθεί. 

    Ασφαλώς, δεν θα μπορούσε κανείς να παραβλέψει τόσο τις ευθύνες της πολιτείας, η οποία εξαιτίας του κενού αυτού χάνει πολύτιμους και αναγκαίους πόρους, όσο και άλλων συντεταγμένων φορέων (πχ. ΣΕΒ, Επιμελητήρια) χρέος των οποίων είναι να ενημερώνουν διεξοδικά τις επιχειρήσεις αφενός για τους κινδύνους από τις κυβερνο-επιθέσεις και τις οικονομικές συνέπειες που αυτές επισύρουν και αφετέρου για τις λύσεις που υπάρχουν. Δυστυχώς, όμως, για την ώρα όλα περιστρέφονται γύρω από το πώς μία επιχείρηση που θέλει να περιορίσει τους διαδικτυακούς κινδύνους θα "χτίσει" με τον καλύτερο και πιο ασφαλή τρόπο το τμήμα ΙΤ (information technology) που διαθέτει. Κανείς δεν φαίνεται να σκέφτεται τι θα συμβεί όταν πλέον ο κίνδυνος θα έχει πραγματωθεί, όπερ είναι μαθηματικώς βέβαιο, όπως διδάσκει η διεθνής εμπειρία. Κανείς δεν φαίνεται να αναλογίζεται την προστιθέμενη αξία που αποκτά μία επιχείρηση έχοντας ασφαλιστεί έναντι των κινδύνων του διαδικτύου και κανείς δεν φαίνεται να βλέπει στον κλάδο αυτό της ασφάλισης μία νέα πηγή εσόδων τόσο για την ασφαλιστική βιομηχανία όσο και για την εθνική οικονομία.  

    Θεωρούμε ότι ήρθε ο καιρός οι ελληνικές, ασφαλιστικές επιχειρήσεις να αφυπνισθούν και να εντάξουν το ταχύτερο στις προσφερόμενες υπηρεσίες τους άρτια πακέτα ασφάλισης από κυβερνο-επιθέσεις. 

    * O κ. Σωκράτης Βερτέλλης είναι δικηγόρος, συνιδρυτής και partner της INTELLEX, www.intel-lex.eu, με master στο Δίκαιο της Τεχνολογίας και των Τηλεπικοινωνιών
     

    ΣΑΣ ΑΡΕΣΕ ΤΟ ΑΡΘΡΟ;

    ΣΧΕΤΙΚΑ ΑΡΘΡΑ