Άρθρο του κ. Νίκου Γεωργόπουλου που δημοσιεύτηκε στο Broker’s Time 50*
*Ο κ. Γεωργοπουλος είναι Cyber Privacy Risks Insurance Advisor, Cromar Coverholder at Lloyd’s
Ο γενικός κανονισμός για την προστασία των δεδομένων (GDPR), εκτός των τεχνικών και οργανωτικών μέτρων που πρέπει να λαμβάνει κάθε εταιρεία για την προστασία των δεδομένων που διαχειρίζεται, απαιτεί τη γνωστοποίηση των περιστατικών παραβίασης συστημάτων αι απώλειας δεδομένων εντός 72 ωρών στην αρμόδια αρχή.
Επίσης, προβλέπει πρόστιμα για τις εταιρείες που δεν κατάφεραν να διατηρήσουν την ασφάλεια των πληροφοριών που διαχειρίζονται, τα οποία μπορούν να φθάσουν έως το 4% του τζίρου τους ή 20 εκατ. ευρώ, όποιο από τα δύο είναι μεγαλύτερο. Η εφαρμογή των παραπάνω προστίμων θα ισχύει μετά τις 25 Μαΐου 2018, μετά τη λήξη δηλαδή της διετούς περιόδου προσαρμογής που δόθηκε στις εταιρείες. Η εφαρμογή του Γενικού Κανονισμού για την Προστασία των Δεδομένων (GDPR) και η αναγκαστική γνωστοποίηση των συμβάντων εντός 72 ωρών θα αποτελέσει παράγοντα ανάπτυξης της ασφάλισης cyber insurance στην Ευρώπη, όπως συνέβη και στην αμερικανική αγορά (η πολιτεία της Καλιφόρνιας υιοθέτησε την υποχρεωτική γνωστοποίηση το 2002), η οποία στο κλείσιμο του 2016 ήταν 3,2 δισ. δολ. Η σύνθεση του ποσού αυτού οφείλεται σε standalone συμβόλαια cyber insurance και σε πρόσθετες πράξεις με καλύψεις cyber insurance.
Στο παρακάτω διάγραμμα μπορούμε να δούμε περισσότερα στοιχεία για την εξέλιξη της αμερικανικής αγοράς standalone cyber insurance συμβολαίων, η οποία παρουσίασε μέσο ετήσιο ρυθμό ανάπτυξης 30% το χρονικό διάστημα 2011-2015. Όπως μπορεί κάποιος να παρατηρήσει στο διάγραμμα, για την ίδια περίοδο είχαμε πολύ μεγάλη αύξηση των ετήσιων περιστατικών παραβίασης, ο αριθμός των οποίων από 421 το 2011 έφτασε τα 1.370 το 2015. Το εκτιμώμενο μέγεθος της ευρωπαϊκής αγοράς, σύμφωνα με μελέτη της AON Inpoint, για το 2015 ήταν 135 εκατ. ευρώ και, κατά κύριο λόγο, αφορούσε ασφαλιστικές καλύψεις κυβερνοεκβιασμού και διακοπής εργασιών.
Ο Κανονισμός θα αναγκάσει επιπλέον τις εταιρείες να συμμορφωθούν στα νέα δεδομένα και να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς του cyber insurance.
Στο διάγραμμα που ακολουθεί φαίνονται οι προβλέψεις των διαφόρων εταιρειών για τον ρυθμό ανάπτυξης της αγοράς και οι αντίστοιχοι προβλεπόμενοι μέσοι ρυθμοί (CAGR) ανάπτυξης της αγοράς.
Ας δούμε λίγο τι συνέβη στο Ηνωμένο Βασίλειο, στο οποίο το 2014 εφαρμόστηκαν τα Cyber Essentials, ένας αντίστοιχος κανονισμός προστασίας των εταιρειών από περιστατικά παραβίασης συστημάτων, o οποίος ανάγκασε τις εταιρείες να συμμορφωθούν.
Σύμφωνα με στοιχεία του report UK Cyber Insurance 2017 της εταιρείας Global Data, το ποσοστό ασφαλισμένων μικρομεσαίων εταιρειών (SMEs) με ασφάλιση cyber insurance του Ηνωμένου Βασιλείου από 2,1% το 2014 ανήλθε σε 13,7% το 2016. Για τις εταιρείες του Ηνωμένου Βασιλείου που βρίσκονται στην κατηγορία μεσαίες προς μεγάλες, οι οποίες συνεργάζονται με μεσίτες ασφαλειών, το ποσοστό ασφάλισης φτάνει το 20-25%.
Ο ρόλος της ασφάλισης και ο GDPR
Η ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να διαχειριστεί τον υπολειπόμενο κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης. Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει σε ασφαλιστικά προϊόντα cyber insurance. Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στη διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν, μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.
Με τη βοήθεια της ασφάλισης cyber insurance οι επιχειρήσεις θα προστατεύσουν τους ισολογισμούς τους και θα διαχειριστούν αποτελεσματικά τις συνέπειες των περιστατικών αυτών. Η ανάπτυξη της συγκεκριμένης αγοράς αποτελεί μια μοναδική ευκαιρία για τους διαμεσολαβητές οι οποίοι θέλουν να επενδύσουν στην αγορά αυτή.