Προστασία Προσωπικών Δεδομένων & Κυβερνοασφαλίσεις

Απόψεις & Θέσεις Φοιτητών του ΠΑ.ΠΕΙ.
Τμήμα Στατιστικής & Ασφαλιστικής Επιστήμης

Παρατηρώντας κανείς και αναλύοντας τη δομή της σύγχρονης ανθρώπινης κοινωνίας, εύκολα δύναται να αντιληφθεί πως σχεδόν κάθε πτυχή της ζωής μας συνδέεται με το διαδίκτυο. Σε αυτό το σημείο αρκετοί διερωτώνται εάν υπάρχει πράγματι ιδιωτικότητα στην καθημερινότητά μας, λόγω των προσωπικών πληροφοριών που καταγράφονται λεπτομερώς για όλους από τις αναρίθμητες εταιρείες και οργανισμούς που μας διευκολύνουν συνεχώς.

Του ΑΡΣΕΝΙΟΥ ΤΖΕΚΟΥ, φοιτητή Α΄εξαμήνου

Η απάντηση στο ερώτημα που τίθεται από πολλούς: «Είναι τα προσωπικά δεδομένα μου ασφαλή;», δεν είναι απλή και δεν μπορεί να αποδοθεί μονολεκτικά. Κατ’ αρχάς, πρέπει να γίνει κατανοητός ο συγκεκριμένος όρος. Προσωπικά δεδομένα είναι πληροφορίες που αφορούν ένα ταυτοποιημένο ή ταυτοποιήσιμο εν ζωή άτομο. Διαφορετικές πληροφορίες οι οποίες, εάν συγκεντρωθούν όλες μαζί, μπορούν να οδηγήσουν στην ταυτοποίηση ενός συγκεκριμένου ατόμου αποτελούν, επίσης, δεδομένα προσωπικού χαρακτήρα. Παραδείγματα δεδομένων προσωπικού χαρακτήρα είναι το ονοματεπώνυμο, η διεύθυνση κατοικίας, η τοποθεσία, οι πληροφορίες τραπεζικών καρτών και δεδομένα που φυλάσσονται από νοσοκομείο ή γιατρό. Γίνεται άμεσα αντιληπτό, λοιπόν, πως αυτές οι πληροφορίες είναι άκρως ευαίσθητες για τον καθένα ξεχωριστά και χρήζουν ειδικής μεταχείρισης από τους φορείς που τις συλλέγουν.

Φυσικά, το γεγονός αυτό το γνωρίζει η Πολιτεία, για αυτό έχει θεσπίσει ορισμένους κανονισμούς, με κύριο τον GDPR (General Data Protection Regulation). Ο GDPR είναι ο Γενικός Κανονισμός για την Προστασία των Δεδομένων. Στοχεύει να προσφέρει στους πολίτες της Ευρωπαϊκής Ένωσης μια ενιαία και εναρμονισμένη προσέγγιση όσον αφορά την προστασία της ιδιωτικής ζωής και, παράλληλα, επιδιώκει να ενισχύσει τα δικαιώματα των πολιτών για την προστασία των δεδομένων τους, όπως ορίζεται στο άρθρο 8 του Χάρτη Θεμελιωδών Δικαιωμάτων της Ευρωπαϊκής Ένωσης, μέσω της επιβολής ισχυρών κυρώσεων (έως 4% του ετήσιου παγκόσμιου κύκλου εργασιών ή 20 εκατ. ευρώ) στις εταιρείες που δεν διαχειρίζονται σωστά τα προσωπικά δεδομένα, τόσο των πελατών όσο και των υπαλλήλων τους, και τα εκθέτει σε κίνδυνο. Ο GDPR εγκρίθηκε από το κοινοβούλιο της Ευρωπαϊκής Ένωσης στις 14/04/2016, με ημερομηνία υποχρεωτικής εφαρμογής του στις 25/05/2018 (το χρονικό διάστημα των δύο ετών αποτελούσε περίοδο προσαρμογής για τις επιχειρήσεις).

Η Ελλάδα στον τομέα της προστασίας προσωπικών δεδομένων υστερούσε σημαντικά. Οι αρμόδιες αρχές «παρέμεναν αδρανείς», λόγω έλλειψης διοικητικών εξουσιών, κι αυτό, σε συνδυασμό με τα αμελητέα πρόστιμα, είχε ως αποτέλεσμα οι εταιρείες να μη δίνουν την απαιτούμενη προσοχή, γνωρίζοντας ότι οι εποπτικές αρχές δεν διέθεταν τους πόρους και τη δύναμη για να επιβάλλουν κυρώσεις στους παραβάτες. Αντιθέτως τώρα, οι εταιρείες καλούνται να ασχοληθούν και επίσημα με την προστασία των πληροφοριακών τους συστημάτων και την προάσπιση των δεδομένων τους, κάνοντας τακτικά ελέγχους ασφάλειας δικτύων και υποδομών, υλοποιώντας πολιτικές ασφάλειας. Είναι φανερό πως ο GDPR αποτελεί τον θεμέλιο λίθο, πάνω στον οποίο οφείλουμε να οικοδομήσουμε το μέλλον μιας ασφαλούς ζωής στο διαδίκτυο. Αυτό το εγχείρημα, όμως, δεν θα είναι εύκολο, καθώς οι κίνδυνοι που υπάρχουν είναι πολλοί και η αντιμετώπισή τους αρκετά δύσκολη.

Σύμφωνα με στατιστικές μελέτες, τα εγκλήματα στον κυβερνοχώρο κοστίζουν στην παγκόσμια οικονομία 7 τρισεκατομμύρια USD (στοιχεία πρώτου εξαμήνου 2022) και αναμένεται να φτάσουν, μέχρι το 2025, τα 10,5 τρισεκατομμύρια USD. Παράλληλα, αξίζει να αναφερθεί το γεγονός ότι ο μέσος όρος θυμάτων εγκλημάτων στον κυβερνοχώρο ανά ώρα είναι 97. Αυτό σημαίνει ότι υπάρχει θύμα ηλεκτρονικού εγκλήματος κάθε 37 δευτερόλεπτα. Ειδικότερα, διαρρέουν τα προσωπικά δεδομένα 2 χρηστών του διαδικτύου κάθε δευτερόλεπτο (στοιχεία πρώτου εξαμήνου 2022), ενώ το προηγούμενο έτος ο αριθμός αντίστοιχων χρηστών ανέρχονταν στους 6. Αυτό συμβαίνει, διότι ακόμα και οι πιο έξυπνοι άνθρωποι κάνουν λάθη. Σε οποιονδήποτε χώρο υπάρχουν άνθρωποι που προγραμματίζουν ή διαχειρίζονται πληροφοριακά συστήματα και μπορούν να δημιουργηθούν, είτε ακούσια είτε εκούσια, πύλες εισόδου για τους κυβερνοεγκληματίες –κύριος λόγος που το κυβερνοέγκλημα αφορά περισσότερο τον ανθρώπινο παράγοντα και όχι την τεχνολογία.

Στην περίπτωση, όμως, που έχουν διαρρεύσει τα προσωπικά δεδομένα κάποιου, μπορεί να υπάρξει ακόμη ασφάλεια για ένα εύλογο χρονικό διάστημα. Αυτό καθίσταται δυνατό μόνο εάν τα κρίσιμα αυτά στοιχεία έχουν κρυπτογραφηθεί από κάποιο λογισμικό πρόγραμμα, πριν καταλήξουν σε λάθος χέρια. Η κρυπτογράφηση των προσωπικών δεδομένων, τόσο από φυσικά πρόσωπα όσο και από εταιρείες, είναι μία ευρέως διαδεδομένη μορφή πρόληψης τέτοιων καταστάσεων, που παρέχει αρκετό χρόνο για την ενημέρωση των αρμόδιων αρχών και υπηρεσιών, ώστε να αντιμετωπιστεί η οποιαδήποτε απειλή.

Αξιοσημείωτο είναι πως η Ελλάδα έχει τη μεγαλύτερη μείωση θυμάτων, σημειώνοντας πτώση 75% από το 2020. Επιπροσθέτως, η πατρίδα μας τώρα βρίσκεται στην κορυφή της λίστας NCSI (National Cyber Security Index), με σκορ 96,10 για τον μήνα Νοέμβριο 2022^. στοιχεία που δείχνουν ότι βαδίζουμε στη σωστή κατεύθυνση, με το αίσθημα της ασφάλειας, όμως, να παραμένει αμυδρό.

Στον αγώνα κατά των κυβερνοεγκλημάτων εντάσσονται πλέον και ορισμένες ασφαλιστικές εταιρείες, δημιουργώντας προγράμματα τα οποία παρέχουν ασφαλιστική κάλυψη σε επιχειρήσεις και οργανισμούς αναφορικά με τους κινδύνους του διαδικτύου.

Η ζήτηση για αυτό το νέο ασφαλιστικό προϊόν δεν θα μπορούσε να είναι υψηλότερη, στη σημερινή εποχή, καθώς όλα στρέφονται γύρω από το διαδίκτυο, σε σημείο που εταιρείες πλέον δεν έχουν φυσική υπόσταση, αλλά μόνο διαδικτυακή και το προσωπικό τους εργάζεται αποκλειστικά εξ αποστάσεως. Η αγορά σε αυτόν τον τομέα προβλέπεται να έχει μεγάλη ανάπτυξη, με τα ετήσια ασφάλιστρα στον κυβερνοχώρο παγκοσμίως να ανέρχονται σε περισσότερα από 9 δισεκατομμύρια USD (στοιχεία πρώτου τριμήνου 2022), ενώ αναμένεται ότι η παγκόσμια αγορά ασφάλισης στον κυβερνοχώρο θα φτάσει σε αξία περίπου τα 22 δισεκατομμύρια USD έως το 2025. Το γεγονός αυτό επιβεβαιώνεται και από τη θεωρία που ανέπτυξε ο Wyckoff, αναφορικά με τους κύκλους των αγορών που επηρεάζονται από την προσφορά και τη ζήτηση¹. Εδώ πρόκειται για ένα νέο αγαθό, του οποίου η ζήτηση είναι αρκετά υψηλή, με την προσφορά σε σχετικά χαμηλά επίπεδα. Ταυτοχρόνως, παρατηρείται συχνά ότι οι επιχειρήσεις δεν αντιλαμβάνονται το κενό που υπάρχει στα υφιστάμενα ασφαλιστήριά τους και θεωρούν ότι τα περιστατικά παραβίασης συστημάτων καλύπτονται από τα ασφαλιστήρια ευθύνης και περιουσίας που διαθέτουν. Αναλύοντας τον σκοπό των ασφαλιστηρίων μιας επιχείρησης θα δούμε ότι:

Α) Ένα ασφαλιστήριο Γενικής Αστικής Ευθύνης καλύπτει υλικές ζημιές και σωματικές βλάβες έναντι τρίτων, όχι όμως και τις οικονομικές ζημίες από περιστατικά παραβίασης συστημάτων, μιας και αυτά αποτελούν εξαιρέσεις.
Β) Τα ασφαλιστήρια Επαγγελματικής Ευθύνης καλύπτουν οικονομικές ζημίες, οι οποίες, όμως, προκύπτουν από την αποτυχία παροχής επαγγελματικών υπηρεσιών και συνήθως περιέχουν εξαιρέσεις για την παραβίαση δεδομένων.
Γ) Η ασφάλιση Περιουσίας καλύπτει τα φυσικά περιουσιακά στοιχεία, τα οποία υπόκεινται σε φυσικούς κινδύνους, και όχι δεδομένα, τα οποία είναι άυλα περιουσιακά στοιχεία.
Δ) Τα ασφαλιστήρια Εμπιστοσύνης Υπαλλήλων καλύπτουν την υπεξαίρεση από υπαλλήλους, όχι όμως και την απώλεια δεδομένων τρίτων από άγνωστους δράστες.

Επομένως, οι επιπτώσεις από την παραβίαση συστημάτων και τη διαρροή εμπιστευτικών πληροφοριών μπορούν να καλυφθούν μόνο από εξειδικευμένα ασφαλιστήρια, τα οποία μπορούν να αντιμετωπίσουν ολοκληρωτικά τις συνέπειες κινδύνων που προκαλούν οι παραβιάσεις συστημάτων. Αναλυτικότερα, τα κυριότερα χαρακτηριστικά ενός τέτοιου ασφαλιστικού προγράμματος είναι:

• Η άμεση διαχείριση του περιστατικού, καθώς παρέχεται 24/7 δυνατότητα αναφοράς του συμβάντος.
• Ανάληψη του κόστους των εξειδικευμένων νομικών υπηρεσιών, των υπηρεσιών πληροφορικής, καθώς και των ιδιαίτερα σημαντικών συμβουλευτικών υπηρεσιών σε θέματα κρίσεων και διαχείρισης αυτών, με στόχο τον περιορισμό των συνεπειών του συμβάντος. Σε περίπτωση καταστροφής των δεδομένων ή του λογισμικού, εκ του συμβάντος, καλύπτει το κόστος ανακατασκευής του.
• Η κάλυψη της αστικής ευθύνης έναντι των τρίτων οι οποίοι υπέστησαν τις όποιες ζημιές εκ της απώλειας του απορρήτου των δεδομένων τους, λόγω του συμβάντος. Καλύπτονται επίσης και οι ενέργειες, καθώς και τα πρόστιμα της Αρχής Προσωπικών Δεδομένων σε βάρος του οργανισμού.
• Η κάλυψη για τα έξοδα αποκατάστασης λειτουργίας των μηχανογραφικών συστημάτων και του δικτύου, που ενδεχομένως έχουν επηρεαστεί, λόγω του συμβάντος.
• Η κάλυψη από τα «λύτρα» που θα ζητήσουν οι τρίτοι σε περίπτωση συμβάντος κυβερνοεκβιασμού, καθώς επίσης και η αρωγή ειδικών διαπραγματευτών κατά τη διαπραγμάτευση.

Επομένως, αποδεικνύεται πως είναι κρίσιμη η επιλογή του κατάλληλου ασφαλιστικού προϊόντος έναντι της συγκεκριμένης κατηγορίας κινδύνων. Η λήψη μιας τέτοιας απόφασης για μια επιχείρηση δεν μπορεί πλέον να λαμβάνει χώρα με γνώμονα το λιγότερο ακριβό ασφάλιστρο. Αντίθετα, η συγκεκριμένη επιλογή οφείλει να συνιστά μέρος μιας ολοκληρωμένης πολιτικής της εταιρικής οντότητας, η οποία πρέπει να αποσκοπεί συνολικά στην αντιμετώπιση των παραβατικών συμπεριφορών που έχουν να κάνουν με τη χρήση του διαδικτύου και των ηλεκτρονικών υπηρεσιών.

Παράλληλα, κοιτώντας την ευρύτερη κατάσταση αναφορικά με το συγκεκριμένο ζήτημα, η “αστυνομία” του διαδικτύου έχει ιδιωτικοποιηθεί σε μεγάλο βαθμό, με τις ασφαλιστικές εταιρείες να δημιουργούν τμήματα διαχείρισης και απόκρουσης κινδύνων στον κόσμο του ίντερνετ. Προφανώς υπήρχε, υπάρχει και θα συνεχίσει να υπάρχει η αντίστοιχη αρμόδια αρχή της πολιτείας (Δ.Η.Ε.). Το προαναφερθέν γεγονός, όμως, αφαιρεί ένα μεγάλο βάρος από τη Διεύθυνση Ηλεκτρονικού Εγκλήματος, μειώνοντας έτσι τον κίνδυνο κορεσμού, ανοίγοντας νέες θέσεις εργασίας και δημιουργώντας ανταγωνισμό ανάμεσα στις εταιρείες –κάτι που αποτελεί ισχυρό κίνητρο για συνεχή βελτίωση–, με τον καταναλωτή να επωφελείται συνεχώς περισσότερο. παράγοντες οι οποίοι συντελούν στη διατήρηση της ασφάλειας στον κυβερνοχώρο.

Απορρέει, τελικά, το συμπέρασμα πως τα προσωπικά δεδομένα των ανθρώπων δεν θα είναι ποτέ απόλυτα ιδιωτικά, με τον κίνδυνο να παραμονεύει συνεχώς στο λάθος «κλικ» που μπορεί να πατηθεί. Οι προσπάθειες που έχουν καταβληθεί από τη μεριά της κοινωνίας και των ασφαλιστικών εταιρειών είναι πραγματικά αξιοθαύμαστες και έχουν συνεισφέρει πολύ στη δημιουργία ενός κλίματος προστασίας, όμως, η δήλωση του FBI, το 2012, «Υπάρχουν δύο ειδών επιχειρήσεις… αυτές που έχουν ήδη υποστεί κυβερνο-επιθέσεις και αυτές που θα υποστούν», παραμένει επίκαιρη, χωρίς κανείς να μπορεί να εγγυηθεί για την αντοχή των συστημάτων ασφαλείας ενάντια σε εγκληματίες.

Πηγές

• The economics of Cyber-Insurance, published by IEEE (Institute of Electrical and Electronics Engeneers).
• Joachim Wenning: Κίνδυνοι στον κυβερνοχώρο και τρόποι αντιμετώπισης www.nextdeal.gr.
• The Growth and Challenges of Cyber Insurance, published by Andrew Granato and Andy Polacek www.chicagofed.org.
• Munich Re Global Cyber Risk and Insurance Survey 2022.
• Policy measures and cyber insurance: a framework, by Daniel Woods and Andrew Simpson (4.1 & 4.2) www.tandfonline.com.
• www.taxheaven.gr/circulars/27607/arora-ti-einai-o-gdpr-kai-poies-oi-ypoxrewseis-twn-epixeirhsewn.
• fra.europa.eu/el/eu-charter/article/8-prostasia-ton-dedomenon-prosopikoy-haraktira#explanations.
• aag-it.com/the-latest-2022-cyber-crime-statistics.
• www.howdengroup.com/gr-el/cover/asfalisi-kybernohoroy.
• www.aon.com/greece/commercial-risk/cyber-risk/cyber-insurance.jsp.
• www.interamerican.gr/proionta-yphresies/epixeirhseis/astikh-euthynh.
• imperial.gr/asfalisi-epagelmation/epaggelmatikis-efthinis.
• www.wyckoffanalytics.com/supply-and-demand-the-first-law.

Δείτε εδώ όλες τις προηγούμενες εργασίες.

Ακολουθήστε την ασφαλιστική αγορά στο Google News