Δημιουργήσαμε ένα νέο μοντέλο ψηφιακού μετασχηματισμού, Digital ecosystem, για την εκκίνηση, αναβάθμιση & χρηματοδότηση, Μικρομεσαίων Επιχειρήσεων & Startups.

photo from www.cybersecobservatory.com

Ασφάλιση Κυβερνοεπιθέσεων – Cyber Risk Ιnsurance

Ο κίνδυνος στον κυβερνοχώρο βρίσκεται στην πρώτη θέση του Allianz Risk Barometer με επιχειρήσεις που αντιμετωπίζουν μια σειρά από προκλήσεις όπως μεγαλύτερες και δαπανηρότερες παραβιάσεις δεδομένων, περισσότερα περιστατικά ransomware και αυξανόμενη προοπτική δικαστικών διαφορών μετά από ένα συμβάν.

Τα περιστατικά στον κυβερνοχώρο κατατάσσονται ως ο σημαντικότερος επιχειρηματικός κίνδυνος στο Βαρόμετρο Allianz Risk. Αν το συγκρίνετε αυτό με το 2013, όταν τερμάτισε 15η με μόλις το 6% των απαντήσεων, είναι σαφές πόσο γρήγορα αυξήθηκε η ευαισθητοποίηση σχετικά με την απειλή στον κυβερνοχώρο, λόγω της αυξανόμενης εμπιστοσύνης των εταιρειών στα συστήματα δεδομένων και πληροφορικής τους.

Οι κίνδυνοι στον κυβερνοχώρο συνεχίζουν να εξελίσσονται. Μια σημαντική αύξηση του αριθμού των συμβάντων ransomware βοηθά στην αύξηση της συχνότητας των απωλειών για τις εταιρείες. Συνολικά, οι κυβερνοεπιθέσεις γίνονται πιο περίπλοκες και οι εγκληματίες αναζητούν υψηλότερες ανταμοιβές με αιτήματα εκβιασμού πολλών εκατομμυρίων.

 

"Το κόστος ενός συμβάντος στον κυβερνοχώρο αυξάνεται γενικά. Είναι ένα προϊόν αυξανόμενης πολυπλοκότητας, αυστηρότερης ρύθμισης και βλαβερών συνεπειών σε μια επιχείρηση από την απώλεια δεδομένων ή κρίσιμων συστημάτων"

.

"Συγκεκριμένα, το κόστος των μεγάλων παραβιάσεων δεδομένων συνεχίζει να αυξάνεται, καθώς η προστασία των δεδομένων και η ρύθμιση της ιδιωτικής ζωής διευρύνονται στο πεδίο εφαρμογής και η γεωγραφική εμβέλεια και οι δικαστικές διαφορές αρχίζουν επίσης να επηρεάζουν το κόστος αντιμετώπισης μιας παραβίασης. Εν τω μεταξύ, όταν ένα περιστατικό οδηγεί σε σημαντική διακοπή των επιχειρήσεων, οι απώλειες είναι συνήθως υψηλές"

"Όλο και περισσότερες εκδηλώσεις (από την απώλεια ενός φορητού υπολογιστή με εμπιστευτικά δεδομένα σε ένα τρένο έως την απώλεια μιας λίστας πελατών) μπορεί να αποτελέσουν παραβίαση δεδομένων"

"Εκτιμάται ότι μεταξύ 50% και 90% των παραβιάσεων προκαλούνται ή υπονομεύονται από υπαλλήλους, είτε με απλό σφάλμα είτε από το θύμα του ηλεκτρονικού ψαρέματος ή της κοινωνικής μηχανικής".

Οι καλά εκπαιδευμένοι υπάλληλοι μπορούν να γίνουν επέκταση της ομάδας ασφάλειας στον κυβερνοχώρο μιας εταιρείας και να βοηθήσουν στη διαμόρφωση μιας πολύ πιο σταθερής περιμέτρου γύρω από τα περιουσιακά στοιχεία της εταιρείας. "

Καθώς οι εταιρείες συλλέγουν και χρησιμοποιούν όλο και μεγαλύτερους όγκους προσωπικών δεδομένων, οι παραβιάσεις δεδομένων γίνονται όλο και μεγαλύτερες και πιο δαπανηρές. Συγκεκριμένα, οι λεγόμενες παραβιάσεις μεγαφών δεδομένων (που περιλαμβάνουν περισσότερα από ένα εκατομμύριο εγγραφές) είναι πιο συχνές και δαπανηρές. Τον Ιούλιο του 2019, η Capital One αποκάλυψε ότι είχε πληγεί από μία από τις μεγαλύτερες παραβιάσεις στον τραπεζικό τομέα με 100 εκατομμύρια πελάτες να επηρεάστηκαν. Ωστόσο, αυτή η παραβίαση δεν είναι καθόλου η μεγαλύτερη τα τελευταία χρόνια.

Οι παραβιάσεις δεδομένων στο ξενοδοχειακό συγκρότημα Marriott το 2018 και το πρακτορείο πιστωτικών αποτελεσμάτων Equifax το 2017 αναφέρθηκαν ότι αφορούσαν τα προσωπικά δεδομένα πάνω από 300 εκατομμύρια και 140 εκατομμύρια πελάτες αντίστοιχα. Και οι δύο εταιρείες αντιμετώπισαν πολυάριθμες αγωγές και κανονιστικές αγωγές σε πολλές δικαιοδοσίες - η ρυθμιστική αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου σκοπεύει να επιβάλει πρόστιμο στη Marriott 100 εκατομμυρίων £ (130 εκατομμύρια δολάρια) για την παράβαση, μεταξύ των πρώτων και μεγαλύτερων προστίμων σύμφωνα με τους νέους νόμους περί απορρήτου της ΕΕ μέχρι σήμερα.

Τον ίδιο μήνα - Ιούλιος 2019 - η British Airways επιβλήθηκε προσωρινά πρόστιμο 183 εκατ. £ (240 εκατ. $) Για παραβίαση δεδομένων που επηρέασε 500.000 πελάτες το 2018. 

Οι κανόνες του Γενικού Κανονισμού Προστασίας Δεδομένων (GDPR) που τέθηκαν σε ισχύ σε ολόκληρη την Ευρώπη το 2018 πιθανότατα θα επιφέρουν περαιτέρω πρόστιμα το 2020. Το Ευρωπαϊκό Συμβούλιο Προστασίας Δεδομένων (EDPB) δημοσίευσε μια προκαταρκτική έκθεση [1] στην οποία αναφέρεται ότι από τις 206.326 περιπτώσεις που αναφέρθηκαν βάσει του GDPR Σε 31 χώρες κατά τους πρώτους εννέα μήνες της εφαρμογής της, οι εθνικές υπηρεσίες προστασίας δεδομένων είχαν επιλύσει μόνο το 50% περίπου. Όπως φαίνεται παραπάνω, καθώς οι ρυθμιστικές αρχές έχουν εργαστεί σε αυτό το καθυστερημένο καθήκον, έχουν καταγραφεί περισσότερα πρόστιμα μεγαλύτερων ποσών.

Μια μεγάλη παραβίαση κοστίζει τώρα κατά μέσο όρο 42 εκατομμύρια δολάρια [2], σύμφωνα με το Ινστιτούτο Ponemon, αύξηση σχεδόν 8% έναντι του 2018. Για παραβιάσεις άνω των 50 εκατομμυρίων δίσκων, το κόστος εκτιμάται ότι είναι 388 εκατομμύρια δολάρια (11% υψηλότερο από το 2018).

 

Σύμφωνα με την υπηρεσία επιβολής του νόμου της ΕΕ, την Ευρωπόλ, το ransomware είναι η πιο σημαντική απειλή στον κυβερνοχώρο. Ήδη με υψηλή συχνότητα, τα περιστατικά γίνονται όλο και πιο επιζήμια, στοχεύοντας όλο και περισσότερο σε μεγάλες εταιρείες με εξελιγμένες επιθέσεις και μεγάλες απαιτήσεις εκβιασμού. «Πριν από πέντε χρόνια, μια τυπική ζήτηση ransomware θα ήταν στα δεκάδες χιλιάδες δολάρια. Τώρα μπορούν να είναι στα εκατομμύρια », λέει ο Stanislawski.

Οι συνέπειες μιας επίθεσης μπορεί να είναι καταστροφικές, ειδικά για οργανισμούς που βασίζονται σε δεδομένα για την παροχή προϊόντων και υπηρεσιών. Οι αιτήσεις εκβιασμού είναι μόνο ένα μέρος της εικόνας. Η διακοπή των επιχειρήσεων φέρνει τις πιο σοβαρές απώλειες από επιθέσεις ransomware και σε ορισμένες περιπτώσεις το ransomware είναι μια οθόνη καπνού για τον πραγματικό στόχο, όπως η κλοπή προσωπικών δεδομένων. Οι βιομηχανικές και μεταποιητικές εταιρείες στοχεύουν όλο και περισσότερο, αλλά οι απώλειες τείνουν να είναι οι υψηλότερες για δικηγορικά γραφεία, συμβούλους και αρχιτέκτονες, για τα οποία τα συστήματα πληροφορικής και τα δεδομένα είναι το αίμα της ζωής τους.

Συμβάντα όπως αυτά που παρουσιάζουν το κακόβουλο λογισμικό Ryuk έχουν αναδειχθεί ως βασικός παράγοντας για τις αξιώσεις ασφάλισης στον κυβερνοχώρο τα τελευταία χρόνια. Ονομάστηκε από έναν φανταστικό χαρακτήρα manga, αναφέρθηκε για πρώτη φορά τον Αύγουστο του 2018 και ήταν υπεύθυνος για πολλαπλές επιθέσεις εναντίον μεγάλων εταιρειών, νοσοκομείων και τοπικών κυβερνήσεων παγκοσμίως.

Οι συνέπειες μιας επίθεσης μπορεί να είναι καταστροφικές, ειδικά για οργανισμούς που βασίζονται σε δεδομένα για την παροχή προϊόντων και υπηρεσιών. Εικόνα: Adobe Stock

 

Οι επιχειρηματικοί συμβιβασμοί ηλεκτρονικού ταχυδρομείου (BEC) - ή πλαστογράφηση - οι επιθέσεις αυξάνονται σε συχνότητα. Τα περιστατικά BEC έχουν οδηγήσει σε παγκόσμιες απώλειες τουλάχιστον 26 δισ. Δολαρίων από το 2016, σύμφωνα με το FBI στις ΗΠΑ.

Τέτοιες επιθέσεις συνήθως περιλαμβάνουν ηλεκτρονικά μηνύματα κοινωνικής μηχανικής και ηλεκτρονικού ψαρέματος (phishing) για να εξαπατήσουν υπαλλήλους ή ανώτερα διευθυντικά στελέχη για να αποκαλύψουν διαπιστευτήρια σύνδεσης ή για να κάνουν δόλιες συναλλαγές.

Οι επιθέσεις για επιχειρηματικούς συμβιβασμούς μέσω email (BEC)  αυξάνονται σε συχνότητα. Εικόνα: Adobe Stock

 

Πολλές μεγάλες παραβιάσεις δεδομένων πυροδοτούν σήμερα κανονιστικές ενέργειες, αλλά μπορούν επίσης να προκαλέσουν δικαστικές διαφορές από επηρεαζόμενους καταναλωτές, επιχειρηματικούς εταίρους και επενδυτές. Όταν το κάνουν, τα νομικά έξοδα μπορούν να προσθέσουν ουσιαστικά το κόστος.

Η διαφορά παραβίασης δεδομένων στις ΗΠΑ είναι μια αναπτυσσόμενη κατάσταση. Ορισμένες μεγάλες παραβιάσεις προκάλεσαν ταξικές ενέργειες από καταναλωτές ή επενδυτές - τον Ιούλιο του 2019, η Equifax κατέληξε σε διακανονισμό 700 εκατομμυρίων δολαρίων για τη μεγάλη του παραβίαση του 2017. Τα αμερικανικά δικαστήρια μάχονται τα ζητήματα «νομικής υπόστασης» - εάν οι ενάγοντες έχουν το δικαίωμα να μηνύσουν - αλλά η τάση φαίνεται να ευνοεί τους ενάγοντες. Οι νομοθετικές και κανονιστικές αλλαγές θα μπορούσαν επίσης να διευκολύνουν την αποζημίωση για παραβιάσεις δεδομένων. Ο νόμος περί απορρήτου των καταναλωτών στην Καλιφόρνια, για παράδειγμα, παρέχει έναν μηχανισμό για τους καταναλωτές να μηνύσουν επιχειρήσεις και - σε πρώτη περίπτωση για τις ΗΠΑ - θέτει νόμιμες ζημίες για παραβιάσεις δεδομένων.

Εκτός των ΗΠΑ, ορισμένες χώρες έχουν επεκτείνει τα δικαιώματα επίλυσης ομαδικής δράσης. Για παράδειγμα, στην Ευρώπη, ο GDPR διευκολύνει τα θύματα παραβίασης δεδομένων ή απορρήτου να αναζητήσουν νομική αποζημίωση. Επιπλέον, οι ενάγοντες δικηγορικές εταιρείες και οι χρηματοδότες δικαστικών προσφυγών  προσπαθούν ενεργά να ασκήσουν αγωγές κατηγορίας για παραβιάσεις δεδομένων στην Ευρώπη και αλλού. Οι ομάδες καταναλωτών προσπαθούν επίσης να δοκιμάσουν το GDPR και να αμφισβητήσουν την ερμηνεία ορισμένων οργανισμών για το νέο νόμο.

Ο GDPR διευκολύνει τα θύματα μιας παραβίασης δεδομένων ή απορρήτου να αναζητήσουν ένδικα μέσα. Εικόνα: Adobe Stock

 

Τελικά, λαμβάνοντας υπόψη τις πιθανές ευπάθειες στον κυβερνοχώρο και τις εκθέσεις πρέπει να καταστεί μια υψηλότερη προτεραιότητα για τις επιχειρήσεις κατά τη διάρκεια της M&A. Εικόνα: Adobe Stock

Οι εκθέσεις στον κυβερνοχώρο έχουν αναδυθεί ως ένα καυτό θέμα στις συγχωνεύσεις και εξαγορές (M&A) μετά από ορισμένες μεγάλες παραβιάσεις δεδομένων. Για παράδειγμα, η παραβίαση του Marriott του 2018 εντοπίστηκε σε εισβολή το 2014 στο Starwood, ένα ξενοδοχειακό συγκρότημα που απέκτησε το 2016.  Ακόμη και οι καλύτερες προστατευόμενες εταιρείες θα εκτεθούν εάν αποκτήσουν μια εταιρεία με αδύναμη ασφάλεια στον κυβερνοχώρο ή υπάρχουσες ευπάθειες. Η αποκτώσα εταιρεία θα μπορούσε να είναι υπεύθυνη για οποιαδήποτε ζημία από συμβάντα που προηγούνται της συγχώνευσης.

Τελικά, λαμβάνοντας υπόψη τις πιθανές ευπάθειες στον κυβερνοχώρο και τα ανοίγματα πρέπει να καταστεί υψηλότερη προτεραιότητα για τις επιχειρήσεις κατά τη διάρκεια της Ε & Α, καθώς πολλές εταιρείες δεν κάνουν αρκετή δέουσα επιμέλεια σε αυτόν τον τομέα. Ταυτόχρονα, μόλις ολοκληρωθεί μια συμφωνία, πολλές εταιρείες δεν αντιμετωπίζουν αρκετά γρήγορα αδυναμίες στα αποκτηθέντα συστήματα.

 

Η συμμετοχή των εθνικών κρατών στις επιθέσεις στον κυβερνοχώρο αυξάνει τον κίνδυνο για εταιρείες, οι οποίες στοχεύουν στην πνευματική ιδιοκτησία ή από ομάδες που προτίθενται να προκαλέσουν διαταραχές ή σωματικές βλάβες. Για παράδειγμα, οι αυξανόμενες εντάσεις στη Μέση Ανατολή έχουν δει τη διεθνή ναυτιλία να στοχεύει σε πλαστογραφικές επιθέσεις στον Περσικό Κόλπο, ενώ οι εγκαταστάσεις πετρελαίου και φυσικού αερίου έχουν πληγεί από επιθέσεις στον κυβερνοχώρο και εκστρατείες ransomware.

Οι εξελιγμένες τεχνικές επίθεσης και το κακόβουλο λογισμικό μπορεί επίσης να φιλτράρονται στους εγκληματίες του κυβερνοχώρου, ενώ η εμπλοκή του εθνικού κράτους παρέχει αυξημένη χρηματοδότηση σε χάκερ. Ακόμα και όταν οι εταιρείες δεν είναι άμεσα στοχευμένες, οι κρατικές επιθέσεις μέσω κυβερνοχώρου μπορούν να προκαλέσουν παράπλευρη ζημιά. Το 2017 η επίθεση κακόβουλου λογισμικού NotPetya στόχευε κυρίως στην Ουκρανία, αλλά γρήγορα εξαπλώθηκε σε όλο τον κόσμο.

Ακόμα και όταν οι εταιρείες δεν είναι άμεσα στοχευμένες, οι κρατικές επιθέσεις μέσω κυβερνοχώρου μπορούν να προκαλέσουν παράπλευρη ζημιά. Εικόνα: Adobe Stock

 

«Η αγορά ασφάλειας στον κυβερνοχώρο θα πρέπει να είναι ένα από τα τελικά σημεία στο σχέδιο μιας εταιρείας για την ενίσχυση της ανθεκτικότητάς της στον κυβερνοχώρο», λέει η Marek Stanislawski, αναπληρωτής παγκόσμιος επικεφαλής της Cyber ​​στο AGCS . «Η ασφάλιση έχει ζωτικό ρόλο να βοηθήσει τις εταιρείες να ανακάμψουν εάν όλα τα άλλα μέτρα είναι ανεπαρκή, αλλά δεν θα πρέπει να αντικαταστήσει τη στρατηγική διαχείριση κινδύνων. Η επένδυση στην ευαισθητοποίηση των εργαζομένων, μαζί με την ενημέρωση και τη συνεχή παρακολούθηση των συστημάτων θα πρέπει σίγουρα να είναι στην κορυφή της λίστας εργασιών στον κυβερνοχώρο οποιασδήποτε εταιρείας. "
Πηγή: Allianz Global Corporate & Speciality. Οι αριθμοί αντιπροσωπεύουν το ποσοστό απαντήσεων όλων των  συμμετεχόντων που απάντησαν (1.071). Τα αριθμητικά στοιχεία δεν προσθέτουν έως και 100% καθώς θα μπορούσαν να επιλεγούν έως και τρεις κίνδυνοι.

 

«Η αγορά ασφάλειας στον κυβερνοχώρο θα πρέπει να είναι ένα από τα τελικά σημεία στο σχέδιο μιας εταιρείας για την ενίσχυση της ανθεκτικότητάς της στον κυβερνοχώρο», λέει η Marek Stanislawski, αναπληρωτής παγκόσμιος επικεφαλής της Cyber ​​στο AGCS . «Η ασφάλιση έχει ζωτικό ρόλο να βοηθήσει τις εταιρείες να ανακάμψουν εάν όλα τα άλλα μέτρα είναι ανεπαρκή, αλλά δεν θα πρέπει να αντικαταστήσει τη στρατηγική διαχείριση κινδύνων. Η επένδυση στην ευαισθητοποίηση των εργαζομένων, μαζί με την ενημέρωση και τη συνεχή παρακολούθηση των συστημάτων θα πρέπει σίγουρα να είναι στην κορυφή της λίστας εργασιών στον κυβερνοχώρο οποιασδήποτε εταιρείας. "
Πηγή: Allianz Global Corporate & Speciality. Οι αριθμοί αντιπροσωπεύουν το ποσοστό απαντήσεων όλων των  συμμετεχόντων που απάντησαν (1.071). Τα αριθμητικά στοιχεία δεν προσθέτουν έως και 100% καθώς θα μπορούσαν να επιλεγούν έως και τρεις κίνδυνοι.

Θα θέλαμε το Σχόλιο σας.

Ελπίζω να απολαύσατε την ανάγνωση αυτού του Άρθρου
Ο σχολιασμός αυτού και άλλων πρόσφατων είναι ένα μόνο από τα πλεονεκτήματα της εγγραφής σας στο insTech
by:

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται.