Πέμπτη 22 Μαρτίου 2018,

Πως εξασφαλίζεται η ασφαλισιμότητα των εταιρειών έναντι κυβερνοεπιθέσεων

Η ένταξη στο δυναμικό μιας επιχείρησης του Data Protection Officer και η εφαρμογή του γενικού κανονισμού προστασίας δεδομένων δημιουργούν ένα πρώτο δίχτυ προστασίας κάθε εταιρείας σε περιστατικά παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων.

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)

Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR)
Το νέο περιβάλλον στο οποίο καλούνται να δραστηριοποιηθούν οι επιχειρήσεις απαιτεί τη συμμόρφωσή τους με τον νέο Γενικό Κανονισμό για την Προστασία των Προσωπικών Δεδομένων (GDPR), ο οποίος απαιτεί από τις εταιρείες:

• να έχουν εκπαιδεύσει κατάλληλα το ανθρώπινο δυναμικό τους,
• να έχουν τα κατάλληλα μέτρα ασφαλείας και τις αναγκαίες πολιτικές για την προστασία των πληροφοριών,
• να κάνουν αναλύσεις των επιπτώσεων που μπορούν να προκύψουν λόγω παραβίασης ιδιωτικότητας,
• να σχεδιάζουν προϊόντα και υπηρεσίες λαμβάνοντας υπόψη την προστασία της ιδιωτικότητας,
• να ενημερώνουν τις αρμόδιες αρχές εντός 72 ωρών από τον εντοπισμό συμβάντος παραβίασης συστημάτων και απώλειας δεδομένων,
• να έχουν ορίσει υπεύθυνο για την προστασία των δεδομένων (Data Protection Officer),
• να έχουν πλάνο αντιμετώπισης περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων (Incident Response Plan),

Επίσης, ο νέος κανονισμός προβλέπει πρόστιμα τα οποία μπορούν να φθάσουν έως το 4% του τζίρου της επιχείρησης ή 20 εκατ. ευρώ -όποιο από τα δύο είναι μεγαλύτερο.

Ο νέος κανονισμός θα αναγκάσει τις εταιρείες να συμμορφωθούν στα νέα δεδομένα και να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται, που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς του cyber insurance.

O ρόλος του Data Protection Officer

Ο Data Protection Officer αναλαμβάνει:
• να εκπροσωπήσει την επιχείρηση έναντι των αρχών, εθνικών και ευρωπαϊκών,
• να διασφαλίσει την εναρμόνιση της λειτουργίας της επιχείρησης σε ό,τι αφορά τις πολιτικές πρακτικές και τη μεθοδολογία επεξεργασίας, αποθήκευσης και μεταφοράς δεδομένων προσωπικού χαρακτήρα με το νέο αυστηρό νομοθετικό πλαίσιο, αλλά και να δημιουργήσει την κατάλληλη κουλτούρα στο ανθρώπινο δυναμικό της εταιρείας,
• να προστατέψει την επιχείρηση από bτους κινδύνους επιβολής των σημαντικότατων και βαρύτατων διοικητικών προστίμων που προβλέπει ο κανονισμός, τα οποία εκκινούν από 10 εκατ. ευρώ ή το 2% του παγκόσμιου τζίρου, αν πρόκειται για διεθνή όμιλο, και φτάνουν σε περίπτωση παράβασης βασικών διατάξεων του κανονισμού σε 20 εκατ. ευρώ ή στο 4% του παγκόσμιου τζίρου.

Ο Data Protection Officer θα πρέπει να έχει τις κατάλληλες γνώσεις και δεξιότητες για να ανταποκριθεί στον ρόλο του, με αποδεδειγμένη (πιστοποιημένη από ανεξάρτητο φορέα) γνώση και εμπειρία στη νομοθεσία και πρακτική εφαρμογή των διαδικασιών διαχείρισης προσωπικών δεδομένων. Επίσης, θα πρέπει να διαθέτει εχέγγυα ανεξαρτησίας και να αναφέρεται απευθείας στον CEO ή σε μέλος του ΔΣ της εταιρείας.

Η ασφάλιση cyber insurance

Η ασφάλιση cyber insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να αντιμετωπίσει τον υπολειπόμενο κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης.

Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει, και δεν μπορούν να μειώσουν περαιτέρω, σε προϊόντα cyber insurance.

Ενώ η ασφάλιση δεν έχει τη δυνατότητα να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων, παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στη διαχείριση, καθώς και τις απαραίτητες υποδομές.

Το Ransomware είναι κακόβουλο λογισμικό που «κλειδώνει» τις λειτουργίες υπολογιστών και συστημάτων, ενώ, παράλληλα, μπορεί να κρυπτογραφήσει δεδομένα και αρχεία, ζητώντας «λύτρα» σε κάποιο κρυπτονόμισμα (π.χ. Bitcoins), για να ανακτηθεί ο έλεγχος του υπολογιστή ή των συστημάτων και να χρησιμοποιηθούν ξανά τα μολυσμένα αρχεία.

Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών Δεδομένων για αυτά τα συμβάντα;

Σε περίπτωση περιστατικών κυβερνοεκβιασμού, πρέπει να ενημερώνονται οι αρμόδιες αρχές, σύμφωνα με τον νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR), γιατί το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταιρικού δικτύου και δείχνει ότι η εταιρεία δεν είχε λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα.

Τι πρέπει να θυμόμαστε: Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική εταιρεία σύμφωνα με τους όρους του ασφαλιστηρίου, οι αστυνομικές αρχές (FBI, Europol) συνιστούν να μην πληρώνονται τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού.

Η καταβολή των λύτρων αυξάνει την εγκληματικότητα και δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρείας και τη μη ύπαρξη back up. Επίσης, δεν διασφαλίζει ότι μπορεί να γίνει η επαναφορά των αρχείων που έχουν κρυπτογραφηθεί, ούτε ότι η εταιρεία δεν θα ξαναγίνει στόχος σε σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων θα πρέπει να φυλάσσονται σε ασφαλές μέρος.

Η ασφαλιστική εταιρεία, αν χρειαστεί, θα πληρώσει το ποσό των λύτρων σε Bitcoin, θα είναι όμως η τελευταία επιλογή για την επίλυση του προβλήματος.

Πιθανές οικονομικές επιπτώσεις – Καλύψεις ασφαλιστηρίου που ενεργοποιούνται

Cyber Extortion-Κυβερνοεκβιασμός
Κόστη τα οποία σχετίζονται με την αντιμετώπιση του κακόβουλου λογισμικού και την επαναφορά των αρχείων σε περίπτωση μη καταβολής του ποσού των λύτρων:
• Αμοιβή συμβούλου πληροφορικής, ο οποίος θα διερευνήσει τη δυνατότητα επαναφοράς των μολυσμένων από το κακόβουλο λογισμικό αρχείων από το back up που διατηρεί ο ασφαλισμένος.
5.000 ευρώ

Incident Response Expenses-Έξοδα Ανταπόκρισης Περιστατικού Παραβίασης
• Αμοιβές ειδικών διερεύνησης εγκλημάτων που σχετίζονται με την παραβίαση πληροφοριακών συστημάτων (Forensic Investigators), για τον εντοπισμό του κακόβουλου λογισμικού, την ανάλυση των επιπτώσεων του συμβάντος, τον περιορισμό τους και την εκτίμηση του κόστους του συμβάντος.
21.000 ευρώ

• Αμοιβή εξειδικευμένου νομικού συμβούλου
8.500 ευρώ
• Αμοιβή Incident Response Manager
7.200 ευρώ

Data Asset Loss
Κόστη επαναφοράς/αντικατάστασης κατεστραμμένων αρχείων από το κακόβουλο λογισμικό.
18.000 ευρώ
Συνολικό Κόστος Διαχείρισης Συμβάντος
59.700 ευρώ

Πρέπει να ενημερώνεται η Αρχή Προστασίας Προσωπικών Δεδομένων για αυτά τα συμβάντα;

Σε περίπτωση περιστατικών κυβερνοεκβιασμού, πρέπει να ενημερώνονται οι αρμόδιες αρχές, σύμφωνα με τον νέο Κανονισμό Προστασίας Προσωπικών Δεδομένων (GDPR), γιατί το περιστατικό αυτό αφορά παραβίαση ασφάλειας του εταρικού δικτύου και δείχνει ότι η εταιρεία δεν είχε λάβει τα κατάλληλα τεχνικά και οργανωτικά μέτρα.

Τι πρέπει να θυμόμαστε: Αν και το κόστος της πληρωμής λύτρων σε Bitcoin είναι μικρότερο από το κόστος που θα πληρώσει η ασφαλιστική εταιρεία σύμφωνα με τους όρους του ασφαλιστηρίου, οι αστυνομικές αρχές (FBI, Europol) συνιστούν να μην πληρώνονται τα λύτρα σε περιπτώσεις κυβερνοεκβιασμού.

Η καταβολή των λύτρων αυξάνει την εγκληματικότητα και δείχνει την ανεπάρκεια διαδικασιών και πολιτικών της εταιρείας και τη μη ύπαρξη back up. Επίσης, δεν διασφαλίζει ότι μπορεί να γίνει η επαναφορά των αρχείων που έχουν κρυπτογραφηθεί,ούτε ότι η εταιρεία δεν θα ξαναγίνει στόχος σε σύντομο χρονικό διάστημα. Τα αντίγραφα των δεδομένων θα πρέπει να φυλάσσονται σε ασφαλές μέρος.

Η ασφαλιστική εταιρεία, αν χρειαστεί,θα πληρώσει το ποσό των λύτρων σε Bitcoin, θα είναι όμως η τελευταία επιλογή για την επίλυση του προβλήματος.
Το παραπάνω παράδειγμα αφορά εταιρεία που δραστηριοποιείται στο Ηνωμένο Βασίλειο, όμως τέτοια παραδείγματα συμβαίνουν καθημερινά και στην Ελλάδα, σε διάφορες επαγγελματικές ομάδες.

Αν θέλετε να μάθετε περισσότερα για το Γενικό Κανονισμό και την ασφάλιση cyber insurance, χρησιμοποιήστε τη βραβευμένη από την αγορά των Lloyd’s εκπαιδευτική μηχανή www.cyberinsurancequote.gr.

Γράφει ο κ. Νίκος Γεωργόπουλος, Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s, www.cyberinsurancequote.gr

Το άρθρο δημοσιεύθηκε στην περιοδική έκδοση του Broker’s Time, τεύχος 49

 
Κοινοποιήστε το άρθροShare on FacebookShare on LinkedIn

Ειδήσεις από τα συνεργαζόμενα site

Insuranceworld.gr

Ροή ειδήσεων

Άποψη

Τα σεμινάρια μας

Δηλώστε συμμετοχή για ένα από τα επόμενα σεμινάρια

Θέμα:

Ημερομηνία διεξαγωγής

01/01/1970 /

Τόπος:

Εισηγητής /

Κόστος /

Θέμα:

Ημερομηνία διεξαγωγής

01/01/1970 /

Τόπος:

Εισηγητής /

Κόστος /

Τα νέα των ασφαλιστικών εταιριών

Τα νέα των συλλόγων

Αθήνα
Ένωση Ασφαλιστικών Πρακτόρων Κρήτης Σύνδεσμος Ασφαλιστικών Διαμεσολαβητών Χανίων Σύλλογος Διαμεσολαβούντων στην Ιδιωτική Ασφαλιση Δωδεκανήσου Ένωση επαγγελματιών ασφαλιστών Νοτιοδυτικής Ελλάδος Σύλλογος Διαμεσολαβητών Ασφαλειών Μαγνησίας Ένωση Ασφαλιστικών Πρακτόρων Κεντρικής Ελλάδος Ένωση Ασφαλιστικών Πρακτόρων & Ασφαλιστικών Συμβούλων Ν.Ιωαννίνων Σωματείο ασφαλιστικών Πρακτόρων Δυτικής Μακεδονίας Σύνδεσμος Διαμεσολαβούντων Ασφαλιστικών Εργασιών Σύνδεσμος Ανεξάρτητων Ασφαλιστικών Διαμεσολαβητών Ν.Σερρών Ένωση Ασφαλιστικών Διαμεσολαβητών Περιφερειακής Ενότητας Καβάλας
Αθήνα