Ως αναπόφευκτη συνέπεια της άνευ προηγουμένου παγκόσμιας πανδημίας του Covid-19, οι εταιρείες αναγκάζονται να προσαρμοσθούν τάχιστα στη νέα πραγματικότητα των πρακτικών απομακρυσμένης εργασίας οι οποίες ενθαρρύνονται από την κυβέρνηση και τις υγειονομικές αρχές.
Πολλές ωστόσο από τις επιχειρήσεις δεν έχουν προηγούμενη εμπειρία στη νέα πρακτική και, σε ορισμένες περιπτώσεις, ενδέχεται να μην είναι κατάλληλα εξοπλισμένες για να την εφαρμόσουν με ασφάλεια.
Δυστυχώς, ο μεγαλύτερος κίνδυνος που συνοδεύει τη συγκεκριμένη πρακτική είναι η επίθεση στον κυβερνοχώρο, ο οποίος εκδηλώνεται με διάφορες μορφές [ενδεικτικά αναφέρουμε τους κακόβουλους τρίτους που στοχεύουν χρήστες που αναζητούν πληροφορίες σχετικά με τον Covid-19, π.χ. ηλεκτρονικό ψάρεμα (phishing), κοινωνική μηχανική (social engineering) με σκοπό τη μη εξουσιοδοτημένη πρόσβαση με σκοπό τη γενικότερη διαδικτυακή επίθεση στα συστήματα υπολογιστών της επιχείρησης].
Αξίζει να σημειωθεί ότι τα περιστατικά εκβίασης (ransomware), η κλοπή των διαπιστευτηρίων (credentials) των χρηστών μετά το άνοιγμα emails ηλεκτρονικού ψαρέματος (phishing) και η μεταφορά χρημάτων σε κυβερνοεγκληματίες μετά την αποδοχή οδηγιών από παραποιημένα emails, αποτελούν πολύ μεγάλο ποσοστό των αποζημιώσεων των ασφαλιστικών εταιρειών στα προϊόντα ασφάλισης Διαδικτυακών Κινδύνων.
Καθίσταται συνεπώς εξαιρετικά σημαντικό για τις επιχειρήσεις να λάβουν μέτρα ασφάλειας για να προστατευθούν από απώλειες στον κυβερνοχώρο. Εξίσου σημαντικό μέτρο με την πρόληψη είναι και η μεταφορά του κινδύνου μέσω της ασφάλισης κατά Διαδικτυακών Κινδύνων.
Τι καλύπτει η ασφάλιση Διαδικτυακών Κινδύνων (Cyber Insurance);
Η ασφάλιση Διαδικτυακών Κινδύνων περιλαμβάνει κάλυψη ενεργητικού και παθητικού, δηλαδή τόσο την κάλυψη ιδίων απωλειών που θα υποστεί η επιχείρηση όσο και την κάλυψη ευθύνης προς τρίτους ως συνέπεια διαδικτυακής επίθεσης στα συστήματα της εταιρείας.
Συνοπτικά, το βασικό εύρος καλύψεων περιλαμβάνει τα παρακάτω:
- Δαπάνες που πραγματοποιούνται από την ασφαλισμένη εταιρεία ως άμεσο αποτέλεσμα ενός καλυπτόμενου περιστατικού παραβίασης ασφαλείας, συμπεριλαμβανομένων των εξόδων αποκατάστασης και κοινοποίησης, καθώς και των εξόδων διαχείρισης κρίσεων.
- Επακόλουθο κόστος, όπως διακοπή λειτουργίας κ.λπ.
- Κάλυψη κατά εκβιασμού.
- Κάλυψη ευθύνης της εταιρείας προς τρίτους ως αποτέλεσμα της κλοπής και της χρήσης των προσωπικών ή / και οικονομικών τους δεδομένων.
Κατά την αξιολόγηση ενός ασφαλιστηρίου συμβολαίου Διαδικτυακών Κινδύνων θα πρέπει να αναλύονται ενδελεχώς το εύρος καλύψεων, οι όροι / εξαιρέσεις και οι προϋποθέσεις καλύψεων, δεδομένου ότι η διατύπωση ενός ορισμού ή εξαίρεσης είναι δυνατόν να μεταβάλουν την ευρύτητα της παρεχόμενης κάλυψης. Ένα χαρακτηριστικό παράδειγμα αφορά τους υπολογιστές που χρησιμοποιούνται από τους εργαζόμενους της ασφαλισμένης επιχείρησης σε καθεστώς απομακρυσμένης εργασίας, ήτοι εκτός των εγκαταστάσεων της επιχείρησης και εάν η ασφαλιστική κάλυψη ισχύει τόσο για τους υπολογιστές της επιχείρησης εκτός αυτής αλλά και τους προσωπικούς υπολογιστές των εργαζομένων στην περίπτωση που χρησιμοποιούνται τέτοιοι. Για να επιβεβαιωθεί η ισχύς της κάλυψης θα πρέπει να αναγνωσθούν λεπτομερώς οι σχετικοί ορισμοί, οι εξαιρέσεις αλλά και η περιγραφή των καλύψεων.
Τέλος, το εύρος των επεκτάσεων καλύψεων που θα ζητηθούν από την επιχείρηση θα πρέπει να εξαρτάται κυρίως από τη φύση της δραστηριότητάς της.
Μέτρα ασφαλείας της επιχείρησης και των εργαζομένων της για την πρόληψη των επιθέσεων στον κυβερνοχώρο
Κατά τη διαδικασία απομακρυσμένης εργασίας, είναι σημαντικό τόσο η διοίκηση όσο και οι εργαζόμενοι της επιχείρησης να μεριμνήσουν ιδιαίτερα για την ασφάλεια των συστημάτων υπολογιστών, τις εμπιστευτικές πληροφορίες της εταιρείας και τα προσωπικά δεδομένα. Τα σημαντικότερα σημεία προσοχής είναι τα παρακάτω:
- Μηνύματα ηλεκτρονικού «ψαρέματος» μέσω συγκαλυμμένου δελεαστικού συνδέσμου τα οποία στοχεύουν στην εισαγωγή κακόβουλου λογισμικού στα συστήματα της εταιρείας.
- Διασφάλιση ότι οι συσκευές των εργαζομένων είναι επικαιροποιημένες για την προστασία από ιούς.
- Διασφάλιση ότι οι εργαζόμενοι εργάζονται σε ασφαλείς συνδέσεις Διαδικτύου που προστατεύονται με κωδικό πρόσβασης και μειώνουν όσο το δυνατόν περισσότερο τη χρήση δημόσιου Wi-Fi.
- Αποφυγή εμπλοκής προσωπικών με επαγγελματικών διευθύνσεων ηλεκτρονικού ταχυδρομείου από τους εργαζόμενους της εταιρείας.
- Προτροπή εργαζομένων να καταστρέφουν εμπιστευτικά έγγραφα μετά τη χρήση τους.