Έχει λεφτά στον κυβερνοχώρο; Λεφτά για να χάσεις ή/και για να κερδίσεις;

Αύξηση της ζήτησης για κάλυψη των κυβερνοκινδύνων (cyber risks) διαβλέπει τα επόμενα χρόνια η ασφαλιστική βιομηχανία παγκοσμίως, ζήτηση που αναμένεται να ενισχυθεί τόσο από την αύξηση των κυβερνοεπιθέσεων όσο και, σε επίπεδο ΕΕ, από την επικείμενη εφαρμογή του GDPR και της οδηγίας NIS. Παράλληλα, όμως, πολλά είναι και τα εμπόδια που καλείται να ξεπεράσει, με σημαντικότερα ίσως την έλλειψη πληροφοριών για περιστατικά παραβίασης στον κυβερνοχώρο και την έλλειψη ενημέρωσης επιχειρήσεων και ιδιωτών για τις σοβαρές οικονομικές και εμπορικές επιπτώσεις μιας κυβερνοεπίθεσης και τη σημασία της ασφάλισης των κυβερνοκινδύνων.

Της Δήμητρας Καζάντζα

Οι ασφαλιστές (ασφαλιστικές, αντασφαλιστικές και μεσιτικές εταιρείες) έχουν πλήρη συνείδηση του σημαντικού ρόλου που μπορούν να παίξουν. Όχι μόνο παρέχοντας κάλυψη, αλλά επίσης βοηθώντας τους πελάτες τους να αποτρέψουν αυτούς τους κινδύνους και να μετριάσουν τις επιπτώσεις, εάν αυτοί οι κίνδυνοι επέλθουν, αξιοποιώντας την εμπειρία που ήδη διαθέτουν στην αντιμετώπιση πολύπλοκων κινδύνων (φυσικές καταστροφές, τρομοκρατικοί κίνδυνοι, κ.ά.).

Μάλιστα, οι εκτιμήσεις για την ανάπτυξη της συγκεκριμένης αγοράς είναι αρκετά αισιόδοξες.
Σύμφωνα με έρευνα της Swiss Re, εταιρείες που ασφαλίζουν κυβερνοκινδύνους εκτιμούν ότι μέχρι το 2025 τα ασφάλιστρα κυβερνοκινδύνων αναμένεται να φτάσουν τα €2,5 δις με τον ετήσιο ρυθμό ανάπτυξης να κυμαίνεται από 15% έως 37%.

Οι προκλήσεις

Ωστόσο, η ασφαλιστική βιομηχανία, στο διάστημα αυτό, πρέπει να αναμετρηθεί με αρκετές προκλήσεις, όπως η έλλειψη δεδομένων, οι δυνητικές απώλειες που είναι δύσκολο να ποσοτικοποιηθούν, η εξέλιξη της φύσης των κινδύνων, η νομική αβεβαιότητα (π.χ. ransomware), η θεώρηση αυτών των κινδύνων από τη σκοπιά της τρομοκρατίας κ.ά., που δυσκολεύουν τη δουλειά των ασφαλιστών από τεχνικής άποψης.

Για το θεσμικό όργανο των Ευρωπαίων ασφαλιστών, την Insurance Europe, η πιο σημαντική από αυτές τις προκλήσεις είναι η έλλειψη πληροφοριών.

Σε ειδική εκδήλωση για τον κυβερνοχώρο, που πραγματοποίησε στις 18 Οκτωβρίου, τονίστηκε ιδιαίτερα ότι οι ασφαλιστές θα είναι σε θέση να προσφέρουν περισσότερα ασφαλιστικά προϊόντα και πιο εστιασμένη προστασία και συμβουλές, εάν έχουν πρόσβαση σε ανώνυμες πληροφορίες σχετικά με επιθέσεις που συμβαίνουν στον κυβερνοχώρο.

Μάλιστα, θεωρούν ότι ο Γενικός Κανονισμός για την Προστασία των Προσωπικών Δεδομένων (GDPR) και η Οδηγία για την ασφάλεια των δικτύων και των πληροφοριακών συστημάτων (NIS Directive), οι οποίες θα ξεκινήσουν να ισχύουν Μάιο και Αύγουστο, αντίστοιχα, του 2018, προσφέρουν μια σημαντική ευκαιρία για να συμβεί αυτό.

Όπως σχολίασε η κα Michaela Koller, Γενική Δ/ντρια της Insurance Europe, «οι οδηγίες αυτές θα δημιουργήσουν πληθώρα νέων δεδομένων σχετικά με τα περιστατικά στον κυβερνοχώρο. Οι ασφαλιστές θα μπορούσαν να ενισχύσουν σημαντικά την ικανότητά τους να συμβάλλουν στην καταπολέμηση των κυβερνοκινδύνων, αν τους δοθεί πρόσβαση σε αυτές τις πληροφορίες με ανώνυμη μορφή».

Μάλιστα, η Insurance Europe έχει αναπτύξει ένα πρότυπο για τις κοινοποιήσεις παραβίασης βάσει του GDPR. Το πρότυπο είναι εύκολο στη χρήση και επιτρέπει τη σύγκριση των πληροφοριών σε διάφορους τομείς. Τα δεδομένα που συλλέγονται θα είναι ανώνυμα αλλά αρκετά λεπτομερή, ώστε να είναι χρήσιμα για τους ασφαλιστές.

Επιθυμία της Ομοσπονδίας είναι αυτό το πρότυπο να χρησιμοποιηθεί από την Ομάδα που ασχολείται με το άρθρο 29 της GDPR ως βάση για τις εργασίες της σχετικά με τις κατευθυντήριες γραμμές για τα πρότυπα κοινοποίησης παραβιάσεων δεδομένων.

Ζωτικής σημασίας η ευαισθητοποίηση των επιχειρήσεων

Μια εξίσου μεγάλη πρόκληση για τους ασφαλιστές είναι να καταφέρουν να ευαισθητοποιήσουν τις επιχειρήσεις όσον αφορά τους κινδύνους του κυβερνοχώρου.

Όπως τονίστηκε σε πρόσφατο workshop που πραγματοποίησε η Marsh για τις επιχειρήσεις πελάτες της (βλ. έντυπη έκδοση “Α.Α”.), οι κυβερνοκίνδυνοι αφορούν όλες τις επιχειρήσεις, όλων των κλάδων, σε όλες τις χώρες και καμία δεν είναι απόλυτα ασφαλής.

Εντυπωσιακό είναι, ωστόσο, ότι ενώ οι επιχειρήσεις αναγνωρίζουν σιγά-σιγά και τους κινδύνους και τη σημασία της ασφάλισης κυβερνοκινδύνων, τα χρήματα που διαθέτουν για τις συγκεκριμένες καλύψεις είναι πολύ λιγότερα απ’ όσα διαθέτουν για να καλύψουν άλλα περιουσιακά τους στοιχεία.

Η Συγκριτική Έκθεση Μετακύλισης Κυβερνοκινδύνων ΕΜΕΑ 2017, που δημοσίευσε η Aon σε συνεργασία με το Ινστιτούτο Ponemon, διαπιστώνει ότι, ενώ το 38% των επιχειρήσεων που ερωτήθηκαν επιβεβαίωσαν ότι έχουν υποστεί απώλειες στον κυβερνοχώρο τους τελευταίους 24 μήνες, μόνο το 15% της πιθανής μέγιστης απώλειάς τους (PML) καλύπτεται από ασφάλιση.

Αυτό έρχεται σε πλήρη αντίθεση με τα όρια που αγοράζονται για την ασφάλιση ακινήτων, εγκαταστάσεων και εξοπλισμού (PP&E), όπου συνήθως καλύπτεται περίπου το 60% της πιθανής μέγιστης απώλειας (PML).

Η έκθεση δείχνει επίσης ότι ο αντίκτυπος της διακοπής εργασιών σε πληροφοριακά συστήματα είναι κατά 50% μεγαλύτερος σε σχέση με το τι ισχύει στα ακίνητα, τις εγκαταστάσεις και τον εξοπλισμό (PP&E).

Ειδικότερα, στην έκθεση σημειώνεται ότι, κατά μέσο όρο, η συνολική αξία ακινήτων, εγκαταστάσεων και εξοπλισμού (PP&E), συμπεριλαμβανομένων όλων των πάγιων περιουσιακών στοιχείων, καθώς και του Συστήματος Εποπτικού Ελέγχου και Απόκτησης Δεδομένων (SCADA) και βιομηχανικών συστημάτων ελέγχου, είναι περίπου $932 εκατ. για τις εταιρείες που εκπροσωπήθηκαν στη συγκεκριμένη έρευνα.

Αντίστοιχα, η μέση συνολική αξία των πληροφοριακών συστημάτων, τα οποία περιλαμβάνουν αρχεία πελατών, αρχεία υπαλλήλων, οικονομικές αναφορές, αναλυτικά δεδομένα, πηγαίο κώδικα, μοντέλα, μεθόδους και άλλη πνευματική ιδιοκτησία, ανέρχεται σε $1,092 εκατ.
Επιπλέον, στην έκθεση αναφέρεται ότι μόνο το 30% των επιχειρήσεων «έχει πλήρη επίγνωση» των νομικών και οικονομικών συνεπειών του GDPR, με πιο σημαντική την επιβολή υψηλών προστίμων.

Ο ρόλος των ασφαλιστικών εταιρειών στην αύξηση της ανθεκτικότητας στον κυβερνοχώρο

Σε ευρωπαϊκό επίπεδο, υπάρχει μια έντονη κινητοποίηση με στόχο την ανάπτυξη της ευρωπαϊκής αγοράς ασφάλισης κυβερνοκινδύνων, η οποία παραμένει σχετικά μικρή.

Η Insurance Europe, πέρα από τις προσπάθειες που κάνει για να αποκτήσουν πρόσβαση οι ασφαλιστικές στα δεδομένα που θα συγκεντρώνει ο GDPR, ξεκίνησε πρόσφατα μία εκστρατεία ενημέρωσης σχετικά με τη σημασία της ασφάλισης κυβερνοκινδύνων. Στο πλαίσιο αυτό, πέρα από την εκδήλωση που προαναφέραμε, εγκαινίασε έναν ειδικό ηλεκτρονικό πόρο αφιερωμένο στην κυβερνοασφάλεια.

Σε αυτόν μπορεί να βρει κανείς μια σειρά από πρωτοβουλίες αρκετών εθνικών ασφαλιστικών ενώσεων (Αυστρία, Βέλγιο, Δανία, Γαλλία, Γερμανία, Ολλανδία, Ισπανία, Σουηδία, Ελβετία, Ηνωμένο Βασίλειο) που αποσκοπούν στην ενίσχυση της ανθεκτικότητας απέναντι στους κυβερνοκινδύνους, για παράδειγμα μέσω της ευαισθητοποίησης ή της παροχής συμβουλών στις ΜΜΕ.

Οι cyber risks στο επίκεντρο και της ελληνικής ασφαλιστικής αγοράς

Το cyber risk έχει αρχίσει να συγκεντρώνει το όλο και αυξανόμενο ενδιαφέρον και των Ελλήνων ασφαλιστών (ασφαλιστικές εταιρείες, μεσίτες).

Μπορεί η δική μας Ένωση να μην έχει αναλάβει ακόμα πρωτοβουλίες, όπως των χωρών που προαναφέρθηκαν, ωστόσο το ενδιαφέρον της για τους cyber risks είναι έντονο και εκφράστηκε στο Συνέδριο της Ύδρας. Στους συγκεκριμένους κινδύνους ήταν αφιερωμένη η μία εκ των δύο ενοτήτων του φετινού συνεδρίου, με ομιλητές τους κ.κ. Nicolas Jeanmart, Head of Personal Insurance, General Insurance & Macroeconomics, Insurance Europe, Jose Fidalgo, Regional Head of Risk Consulting Liability Central & Eastern Europe, Allianz Global Corporate Specialty SE, και Matthew Norris, Underwriter, Beazley Insurance, Lloyd’s of London.

Αλλά και ο ΣΕΜΑ στην προ του Συνεδρίου της Ύδρας εκδήλωσή του επέλεξε να αναδείξει ως θέμα το «έγκλημα στον κυβερνοχώρο» και τις δυνατότητες αντιμετώπισης κακόβουλων επιθέσεων, «αναγνωρίζοντας πως αποτελεί ένα από τα πλέον φλέγοντα θέματα στον ευρύτερο διεθνή επιχειρηματικό χώρο».

Φλέγον θέμα, γιατί οι οικονομικές και οι εμπορικές συνέπειες για τις επιχειρήσεις από μία ενδεχόμενη κυβερνοεπίθεση είναι πάρα πολύ μεγάλες (σε €3,4 δις εκτιμώνται οι χρηματοοικονομικές απώλειες μόνο από το WannaCry ransomware), αλλά και μια ενδιαφέρουσα πρόκληση για την ασφαλιστική κοινότητα.

Ενδιαφέρουσα, όχι μόνο γιατί η κυβερνοσφάλιση αναδεικνύεται σε μία αγορά με μεγάλες προοπτικές ανάπτυξης, αλλά και γιατί -όπως επεσήμανε ο κ. Nicolas Jeanmart, στο συνέδριο της Ύδρας-, οι ασφαλιστές θα πρέπει να αντιμετωπίσουν τους κυβερνοκινδύνους τόσο ως πάροχοι της κάλυψης (καλούνται να αντιμετωπίσουν ένα πλήθος “σιωπηλών”, όπως χαρακτηρίζονται, κινδύνων, που δεν είναι ακόμα σαφές αν καλύπτονται από τα παραδοσιακά συμβόλαια), αλλά και ως πιθανά θύματα και οι ίδιοι, αφού ως κάτοχοι μεγάλου όγκου ευαίσθητων δεδομένων αποτελούν στόχο -και ελκυστικό μάλιστα- κυβερνοπιθέσεων.

Συνεπώς, έχει λεφτά στον κυβερνοχώρο! Λεφτά για να χάσεις ή/και για να κερδίσεις!

Και επειδή το κέρδος είναι το ζητούμενο… κερδισμένοι θα βγουν όσοι επαγγελματίες της αγοράς ασχοληθούν με τους κυβερνοκινδύνους και όσες επιχειρήσεις επιλέξουν να καλυφθούν ασφαλιστικά έναντι των κινδύνων του κυβερνοχώρου.