photo from www.cybersecobservatory.com
Ασφάλιση Κυβερνοεπιθέσεων – Cyber Risk Ιnsurance
Ο κίνδυνος στον κυβερνοχώρο βρίσκεται στην πρώτη θέση του Allianz Risk Barometer με επιχειρήσεις που αντιμετωπίζουν μια σειρά από προκλήσεις όπως μεγαλύτερες και δαπανηρότερες παραβιάσεις δεδομένων, περισσότερα περιστατικά ransomware και αυξανόμενη προοπτική δικαστικών διαφορών μετά από ένα συμβάν.
Τα περιστατικά στον κυβερνοχώρο κατατάσσονται ως ο σημαντικότερος επιχειρηματικός κίνδυνος στο Βαρόμετρο Allianz Risk. Αν το συγκρίνετε αυτό με το 2013, όταν τερμάτισε 15η με μόλις το 6% των απαντήσεων, είναι σαφές πόσο γρήγορα αυξήθηκε η ευαισθητοποίηση σχετικά με την απειλή στον κυβερνοχώρο, λόγω της αυξανόμενης εμπιστοσύνης των εταιρειών στα συστήματα δεδομένων και πληροφορικής τους.
Οι κίνδυνοι στον κυβερνοχώρο συνεχίζουν να εξελίσσονται. Μια σημαντική αύξηση του αριθμού των συμβάντων ransomware βοηθά στην αύξηση της συχνότητας των απωλειών για τις εταιρείες. Συνολικά, οι κυβερνοεπιθέσεις γίνονται πιο περίπλοκες και οι εγκληματίες αναζητούν υψηλότερες ανταμοιβές με αιτήματα εκβιασμού πολλών εκατομμυρίων.
"Το κόστος ενός συμβάντος στον κυβερνοχώρο αυξάνεται γενικά. Είναι ένα προϊόν αυξανόμενης πολυπλοκότητας, αυστηρότερης ρύθμισης και βλαβερών συνεπειών σε μια επιχείρηση από την απώλεια δεδομένων ή κρίσιμων συστημάτων"
.
"Συγκεκριμένα, το κόστος των μεγάλων παραβιάσεων δεδομένων συνεχίζει να αυξάνεται, καθώς η προστασία των δεδομένων και η ρύθμιση της ιδιωτικής ζωής διευρύνονται στο πεδίο εφαρμογής και η γεωγραφική εμβέλεια και οι δικαστικές διαφορές αρχίζουν επίσης να επηρεάζουν το κόστος αντιμετώπισης μιας παραβίασης. Εν τω μεταξύ, όταν ένα περιστατικό οδηγεί σε σημαντική διακοπή των επιχειρήσεων, οι απώλειες είναι συνήθως υψηλές"
Ποιες είναι οι κύριες αιτίες συμβάντων στον κυβερνοχώρο;
"Όλο και περισσότερες εκδηλώσεις (από την απώλεια ενός φορητού υπολογιστή με εμπιστευτικά δεδομένα σε ένα τρένο έως την απώλεια μιας λίστας πελατών) μπορεί να αποτελέσουν παραβίαση δεδομένων"
"Εκτιμάται ότι μεταξύ 50% και 90% των παραβιάσεων προκαλούνται ή υπονομεύονται από υπαλλήλους, είτε με απλό σφάλμα είτε από το θύμα του ηλεκτρονικού ψαρέματος ή της κοινωνικής μηχανικής".
Οι καλά εκπαιδευμένοι υπάλληλοι μπορούν να γίνουν επέκταση της ομάδας ασφάλειας στον κυβερνοχώρο μιας εταιρείας και να βοηθήσουν στη διαμόρφωση μιας πολύ πιο σταθερής περιμέτρου γύρω από τα περιουσιακά στοιχεία της εταιρείας. "
Τα δεδομένα παραβιάζουν μεγαλύτερα και πιο ακριβά
Καθώς οι εταιρείες συλλέγουν και χρησιμοποιούν όλο και μεγαλύτερους όγκους προσωπικών δεδομένων, οι παραβιάσεις δεδομένων γίνονται όλο και μεγαλύτερες και πιο δαπανηρές. Συγκεκριμένα, οι λεγόμενες παραβιάσεις μεγαφών δεδομένων (που περιλαμβάνουν περισσότερα από ένα εκατομμύριο εγγραφές) είναι πιο συχνές και δαπανηρές. Τον Ιούλιο του 2019, η Capital One αποκάλυψε ότι είχε πληγεί από μία από τις μεγαλύτερες παραβιάσεις στον τραπεζικό τομέα με 100 εκατομμύρια πελάτες να επηρεάστηκαν. Ωστόσο, αυτή η παραβίαση δεν είναι καθόλου η μεγαλύτερη τα τελευταία χρόνια.
Οι παραβιάσεις δεδομένων στο ξενοδοχειακό συγκρότημα Marriott το 2018 και το πρακτορείο πιστωτικών αποτελεσμάτων Equifax το 2017 αναφέρθηκαν ότι αφορούσαν τα προσωπικά δεδομένα πάνω από 300 εκατομμύρια και 140 εκατομμύρια πελάτες αντίστοιχα. Και οι δύο εταιρείες αντιμετώπισαν πολυάριθμες αγωγές και κανονιστικές αγωγές σε πολλές δικαιοδοσίες - η ρυθμιστική αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου σκοπεύει να επιβάλει πρόστιμο στη Marriott 100 εκατομμυρίων £ (130 εκατομμύρια δολάρια) για την παράβαση, μεταξύ των πρώτων και μεγαλύτερων προστίμων σύμφωνα με τους νέους νόμους περί απορρήτου της ΕΕ μέχρι σήμερα.
Τον ίδιο μήνα - Ιούλιος 2019 - η British Airways επιβλήθηκε προσωρινά πρόστιμο 183 εκατ. £ (240 εκατ. $) Για παραβίαση δεδομένων που επηρέασε 500.000 πελάτες το 2018.
Οι κανόνες του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που τέθηκαν σε ισχύ σε ολόκληρη την Ευρώπη το 2018 πιθανότατα θα επιφέρουν περαιτέρω πρόστιμα το 2020. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε μια προκαταρκτική έκθεση [1] στην οποία αναφέρεται ότι από τις 206.326 περιπτώσεις που αναφέρθηκαν βάσει του GDPR Σε 31 χώρες κατά τους πρώτους εννέα μήνες της εφαρμογής της, οι εθνικές υπηρεσίες προστασίας δεδομένων είχαν επιλύσει μόνο το 50% περίπου. Όπως φαίνεται παραπάνω, καθώς οι ρυθμιστικές αρχές έχουν εργαστεί σε αυτό το καθυστερημένο καθήκον, έχουν καταγραφεί περισσότερα πρόστιμα μεγαλύτερων ποσών.
Μια μεγάλη παραβίαση κοστίζει τώρα κατά μέσο όρο 42 εκατομμύρια δολάρια [2], σύμφωνα με το Ινστιτούτο Ponemon, αύξηση σχεδόν 8% έναντι του 2018. Για παραβιάσεις άνω των 50 εκατομμυρίων δίσκων, το κόστος εκτιμάται ότι είναι 388 εκατομμύρια δολάρια (11% υψηλότερο από το 2018).
Το Ransomware επιφέρει αυξανόμενες απώλειες
Σύμφωνα με την υπηρεσία επιβολής του νόμου της ΕΕ, την Ευρωπόλ, το ransomware είναι η πιο σημαντική απειλή στον κυβερνοχώρο. Ήδη με υψηλή συχνότητα, τα περιστατικά γίνονται όλο και πιο επιζήμια, στοχεύοντας όλο και περισσότερο σε μεγάλες εταιρείες με εξελιγμένες επιθέσεις και μεγάλες απαιτήσεις εκβιασμού. «Πριν από πέντε χρόνια, μια τυπική ζήτηση ransomware θα ήταν στα δεκάδες χιλιάδες δολάρια. Τώρα μπορούν να είναι στα εκατομμύρια », λέει ο Stanislawski.
Οι συνέπειες μιας επίθεσης μπορεί να είναι καταστροφικές, ειδικά για οργανισμούς που βασίζονται σε δεδομένα για την παροχή προϊόντων και υπηρεσιών. Οι αιτήσεις εκβιασμού είναι μόνο ένα μέρος της εικόνας. Η διακοπή των επιχειρήσεων φέρνει τις πιο σοβαρές απώλειες από επιθέσεις ransomware και σε ορισμένες περιπτώσεις το ransomware είναι μια οθόνη καπνού για τον πραγματικό στόχο, όπως η κλοπή προσωπικών δεδομένων. Οι βιομηχανικές και μεταποιητικές εταιρείες στοχεύουν όλο και περισσότερο, αλλά οι απώλειες τείνουν να είναι οι υψηλότερες για δικηγορικά γραφεία, συμβούλους και αρχιτέκτονες, για τα οποία τα συστήματα πληροφορικής και τα δεδομένα είναι το αίμα της ζωής τους.
Συμβάντα όπως αυτά που παρουσιάζουν το κακόβουλο λογισμικό Ryuk έχουν αναδειχθεί ως βασικός παράγοντας για τις αξιώσεις ασφάλισης στον κυβερνοχώρο τα τελευταία χρόνια. Ονομάστηκε από έναν φανταστικό χαρακτήρα manga, αναφέρθηκε για πρώτη φορά τον Αύγουστο του 2018 και ήταν υπεύθυνος για πολλαπλές επιθέσεις εναντίον μεγάλων εταιρειών, νοσοκομείων και τοπικών κυβερνήσεων παγκοσμίως.
Οι επιθέσεις BEC έχουν ως αποτέλεσμα απάτη σε δισεκατομμύρια δολάρια
Τέτοιες επιθέσεις συνήθως περιλαμβάνουν ηλεκτρονικά μηνύματα κοινωνικής μηχανικής και ηλεκτρονικού ψαρέματος (phishing) για να εξαπατήσουν υπαλλήλους ή ανώτερα διευθυντικά στελέχη για να αποκαλύψουν διαπιστευτήρια σύνδεσης ή για να κάνουν δόλιες συναλλαγές.
Αύξηση των προοπτικών αντιδικίας
Πολλές μεγάλες παραβιάσεις δεδομένων πυροδοτούν σήμερα κανονιστικές ενέργειες, αλλά μπορούν επίσης να προκαλέσουν δικαστικές διαφορές από επηρεαζόμενους καταναλωτές, επιχειρηματικούς εταίρους και επενδυτές. Όταν το κάνουν, τα νομικά έξοδα μπορούν να προσθέσουν ουσιαστικά το κόστος.
Η διαφορά παραβίασης δεδομένων στις ΗΠΑ είναι μια αναπτυσσόμενη κατάσταση. Ορισμένες μεγάλες παραβιάσεις προκάλεσαν ταξικές ενέργειες από καταναλωτές ή επενδυτές - τον Ιούλιο του 2019, η Equifax κατέληξε σε διακανονισμό 700 εκατομμυρίων δολαρίων για τη μεγάλη του παραβίαση του 2017. Τα αμερικανικά δικαστήρια μάχονται τα ζητήματα «νομικής υπόστασης» - εάν οι ενάγοντες έχουν το δικαίωμα να μηνύσουν - αλλά η τάση φαίνεται να ευνοεί τους ενάγοντες. Οι νομοθετικές και κανονιστικές αλλαγές θα μπορούσαν επίσης να διευκολύνουν την αποζημίωση για παραβιάσεις δεδομένων. Ο νόμος περί απορρήτου των καταναλωτών στην Καλιφόρνια, για παράδειγμα, παρέχει έναν μηχανισμό για τους καταναλωτές να μηνύσουν επιχειρήσεις και - σε πρώτη περίπτωση για τις ΗΠΑ - θέτει νόμιμες ζημίες για παραβιάσεις δεδομένων.
Εκτός των ΗΠΑ, ορισμένες χώρες έχουν επεκτείνει τα δικαιώματα επίλυσης ομαδικής δράσης. Για παράδειγμα, στην Ευρώπη, ο GDPR διευκολύνει τα θύματα παραβίασης δεδομένων ή απορρήτου να αναζητήσουν νομική αποζημίωση. Επιπλέον, οι ενάγοντες δικηγορικές εταιρείες και οι χρηματοδότες δικαστικών προσφυγών προσπαθούν ενεργά να ασκήσουν αγωγές κατηγορίας για παραβιάσεις δεδομένων στην Ευρώπη και αλλού. Οι ομάδες καταναλωτών προσπαθούν επίσης να δοκιμάσουν το GDPR και να αμφισβητήσουν την ερμηνεία ορισμένων οργανισμών για το νέο νόμο.
Τα M&A μπορούν να φέρουν ζητήματα στον κυβερνοχώρο
Οι εκθέσεις στον κυβερνοχώρο έχουν αναδυθεί ως ένα καυτό θέμα στις συγχωνεύσεις και εξαγορές (M&A) μετά από ορισμένες μεγάλες παραβιάσεις δεδομένων. Για παράδειγμα, η παραβίαση του Marriott του 2018 εντοπίστηκε σε εισβολή το 2014 στο Starwood, ένα ξενοδοχειακό συγκρότημα που απέκτησε το 2016. Ακόμη και οι καλύτερες προστατευόμενες εταιρείες θα εκτεθούν εάν αποκτήσουν μια εταιρεία με αδύναμη ασφάλεια στον κυβερνοχώρο ή υπάρχουσες ευπάθειες. Η αποκτώσα εταιρεία θα μπορούσε να είναι υπεύθυνη για οποιαδήποτε ζημία από συμβάντα που προηγούνται της συγχώνευσης.
Τελικά, λαμβάνοντας υπόψη τις πιθανές ευπάθειες στον κυβερνοχώρο και τα ανοίγματα πρέπει να καταστεί υψηλότερη προτεραιότητα για τις επιχειρήσεις κατά τη διάρκεια της Ε & Α, καθώς πολλές εταιρείες δεν κάνουν αρκετή δέουσα επιμέλεια σε αυτόν τον τομέα. Ταυτόχρονα, μόλις ολοκληρωθεί μια συμφωνία, πολλές εταιρείες δεν αντιμετωπίζουν αρκετά γρήγορα αδυναμίες στα αποκτηθέντα συστήματα.
Οι πολιτικοί παράγοντες παίζουν στον κυβερνοχώρο
Η συμμετοχή των εθνικών κρατών στις επιθέσεις στον κυβερνοχώρο αυξάνει τον κίνδυνο για εταιρείες, οι οποίες στοχεύουν στην πνευματική ιδιοκτησία ή από ομάδες που προτίθενται να προκαλέσουν διαταραχές ή σωματικές βλάβες. Για παράδειγμα, οι αυξανόμενες εντάσεις στη Μέση Ανατολή έχουν δει τη διεθνή ναυτιλία να στοχεύει σε πλαστογραφικές επιθέσεις στον Περσικό Κόλπο, ενώ οι εγκαταστάσεις πετρελαίου και φυσικού αερίου έχουν πληγεί από επιθέσεις στον κυβερνοχώρο και εκστρατείες ransomware.
Οι εξελιγμένες τεχνικές επίθεσης και το κακόβουλο λογισμικό μπορεί επίσης να φιλτράρονται στους εγκληματίες του κυβερνοχώρου, ενώ η εμπλοκή του εθνικού κράτους παρέχει αυξημένη χρηματοδότηση σε χάκερ. Ακόμα και όταν οι εταιρείες δεν είναι άμεσα στοχευμένες, οι κρατικές επιθέσεις μέσω κυβερνοχώρου μπορούν να προκαλέσουν παράπλευρη ζημιά. Το 2017 η επίθεση κακόβουλου λογισμικού NotPetya στόχευε κυρίως στην Ουκρανία, αλλά γρήγορα εξαπλώθηκε σε όλο τον κόσμο.
Ποια είναι η καλύτερη προσέγγιση για τη διαχείριση του κινδύνου στον κυβερνοχώρο και τη βελτίωση της ανθεκτικότητας;