Άρθρο του κ. Γιάννη Παπαγεωργίου που δημοσιεύτηκε στο Broker’s Time 49*
* Ο κ. Παπαγεωργίου είναι Senior Risk Consultant, Aon Risk Solutions
Καθώς βρισκόμαστε στον απόηχο μιας από τις πιο εκτεταμένες κυβερνοεπιθέσεις που συνέβησαν έως σήμερα, οι εκτιμήσεις για το πραγματικό εύρος των ζημιών που υπέστησαν διάφορες επιχειρήσεις σε όλο τον κόσμο ποικίλλουν, ενώ οι ειδικοί της ασφάλειας πληροφοριών εκφράζουν ανησυχίες για επικείμενες νέες επιθέσεις.
Στην Ελλάδα, υπάρχουν ήδη καταγεγραμμένα κρούσματα ζημιών, στοιχείο το οποίο καταδεικνύει πως το κυβερνοέγκλημα είναι ήδη μεταξύ των απειλών του τοπικού επιχειρείν. Παρ’ όλα αυτά, η ευαισθητοποίηση των επιχειρήσεων σε θέματα ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων δεν είναι εμφανής, συγκριτικά με την κατάσταση στις υπόλοιπες χώρες της Ευρωπαϊκής Ένωσης. Η πρόσφατη κυβερνοεπίθεση μας διδάσκει τέσσερα πράγματα, που αναδεικνύουν τόσο τη σπουδαιότητα της ασφάλισης ηλεκτρονικών και διαδικτυακών κινδύνων όσο και την ανάγκη αυτή να επιλεγεί με ορθολογικό τρόπο και όχι ως μια μεμονωμένη λύση που θα κληθεί να λειτουργήσει ως «μαγικό ραβδί» σε περίπτωση ζημιάς.
Προσδιορισμός του κινδύνου – Η αρχή της σωστής ασφάλισης
Το πρώτο δίδαγμα αφορά στην κατανόηση του κινδύνου που διατρέχει μια επιχείρηση, ώστε να προσδιοριστεί το είδος των καλύψεων που θα επιλεγούν. Τα διαθέσιμα συμβόλαια στην ελληνική ασφαλιστική αγορά προσφέρουν τις ακόλουθες βασικές καλύψεις:
Προαιρετικά παρέχονται καλύψεις όπως:
Στις διεθνείς αγορές, υπάρχει και η δυνατότητα κάλυψης φυσικής ζημιάς στα πάγια περιουσιακά στοιχεία μιας επιχείρησης, συνεπεία μιας κυβερνοεπίθεσης.
Νομοθετικές αλλαγές και νέες ανάγκες
Το δεύτερο δίδαγμα αφορά στην κατανόηση των απαιτήσεων που φέρνει η Ευρωπαϊκή Νομοθεσία περί Προστασίας Προσωπικών Δεδομένων (GDPR). Χαρακτηριστικά στοιχεία της νέας νομοθεσίας, η οποία ενσωματώνεται στο τοπικό δίκαιο μέχρι 28/05/2018, είναι τα υψηλά πρόστιμα, τα οποία μπορεί να φθάσουν τα 20.000.000 ευρώ ή το 4% του συνολικού παγκόσμιου κύκλου εργασιών μιας επιχείρησης. Πέραν των προστίμων, ο προσδιορισμός των κινδύνων ασφαλείας πληροφοριών και η λήψη προληπτικών μέτρων αποκτούν πλέον ισχυρή κανονιστική διάσταση.
Ποσοτικοποίηση του κινδύνου και ασφάλιση
Το τρίτο δίδαγμα αναδεικνύει τη χρησιμότητα εκτίμησης του δυνητικού οικονομικού κόστους, του σχετικού κινδύνου. Πολλές φορές, επικρατεί η εσφαλμένη αντίληψη πως το κόστος του αφορά μόνο τα πρόστιμα ή πως είναι εξ ολοκλήρου ασφαλίσιμο.
Η πραγματικότητα, ωστόσο, μπορεί να είναι πολύ διαφορετική, καθώς μέσα από την ποσοτικοποίηση του κινδύνου εκτιμώνται τόσο οι ασφαλίσιμες όσο και οι μη ασφαλίσιμες συνιστώσες του, σε περίπτωση ζημιάς. Η ποσοτικοποίηση του κινδύνου επιτρέπει την ορθολογική επιλογή του εύρους των ορίων και των υπο-ορίων κάλυψης.
Προληπτικός σχεδιασμός αντίδρασης
Το τέταρτο δίδαγμα είναι η ανάγκη προληπτικού σχεδιασμού μέτρων αντίδρασης, σε περίπτωση περιστατικού ζημιάς.
Το στοιχείο αυτό μαζί με τον προσδιορισμό του κινδύνου που αναφέρθηκε είναι μερικές από τις ανάγκες που ισχυροποιεί περαιτέρω η νέα νομοθεσία.
Σε γενικές γραμμές, οι επικείμενες νομοθετικές αλλαγές, σε συνδυασμό με την ανάπτυξη των τεχνολογιών διασύνδεσης και της ψηφιοποίησης πολλών εταιρικών δραστηριοτήτων, έστω και με αργούς για τα ελληνικά δεδομένα ρυθμούς, εκτιμάται πως θα αναδείξουν την πολλαπλή σημασία της ασφάλισης έναντι των κυβερνοαπειλών και του ορθολογικού σχεδιασμού της.