Ασφαλιστικές Εταιρίες - Ευκαιρίες & Κίνδυνοι στο Διαδίκτυο.

Οι διαδικτυακές επιθέσεις στον τομέα των ασφαλίσεων αυξάνονται εκθετικά καθώς οι ασφαλιστικές εταιρίες αρχίζουν να χρησιμοποιούν όλο και περισσότερο τα ψηφιακά κανάλια ώστε να δημιουργήσουν στενότερες πελατειακές σχέσεις, να προσφέρουν νέα προϊόντα και να επεκτείνουν το μερίδιο τους στα οικονομικά χαρτοφυλάκια των πελατών τους. Αυτή η μετατόπιση αυξάνει τις επενδύσεις σε παραδοσιακά πληροφοριακά συστήματα (π.χ , συστήματα συμβολαίων και αποζημιώσεων) καθώς και σε πλατφόρμες υψηλού βαθμού ολοκλήρωσης όπως portals ασφαλιστικών εταιριών, online εφαρμογές συμβολαίων και εφαρμογές κινητών τηλεφώνων για υποβολή αποζημιώσεων. Αν και αυτές οι ψηφιακές επενδύσεις παρέχουν νέες στρατηγικές δυνατότητες, παρουσιάζουν και νέους διαδικτυακούς κινδύνους, ειδικά σε εταιρίες που έχουν μικρή εμπειρία στην αντιμετώπιση προκλήσεων σε τέτοια περιβάλλοντα. 

Επιπλέον, οι προκλήσεις αυτές πιθανώς να γίνουν πιο περίπλοκες δεδομένου ότι οι Ασφαλιστικές Εταιρείες εξοικειώνονται με big data και advanced analytics που απαιτούν τη συλλογή και το χειρισμό τεραστίων ποσοτήτων πληροφοριών. Καθώς οι Ασφαλιστικές Εταιρίες βρίσκουν νέους και καινοτόμους τρόπους για ανάλυση δεδομένων, πρέπει επίσης να βρουν τρόπους να προστατεύσουν τα δεδομένα από διαδικτυακές επιθέσεις.

Οι “εγκληματίες” του διαδικτύου έχουν αρχίσει να καταλαβαίνουν ότι οι Ασφαλιστικές Εταιρείες κατέχουν μεγάλες ποσότητες προσωπικών πληροφοριών των πελατών τους, οι οποίες είναι πολύ ελκυστικές για εκμετάλευση προσωπικών δεδομένων. Σε μερικές περιπτώσεις, οι ασφαλιστικές εταιρίες κατέχουν σημαντικά στοιχεία πληρωμής και πιστωτικών καρτών. Ωστόσο, υπάρχει τουλάχιστον μια περίπτωση στον τομέα των ασφαλίσεων όπου τα θύματα της ηλεκτρονικής επίθεσης δεν είχαν ακόμα πελάτες που να έχουν πληρώσει, αλλά απλά καταναλωτές οι οποίοι είχαν ζητήσει προσφορές. (περίπτωση #1)

Οι διαδικτυακοί “εγκληματίες” που στοχεύουν ασφαλιστικές εταιρίες συχνά έχουν σημαντικούς πόρους. Αυτό τους επιτρέπει να σχεδιάζουν εξελιγμένες επιθέσεις που συνδυάζουν προηγμένο λογισμικό με άλλες τεχνικές όπως social engineering. (περίπτωση #2)

Επιθέσεις σε ασφαλιστικές εταιρίες μπορούν να οδηγήσουν σε σημαντικές ζημιές όπως πρόστιμα, νομικά έξοδα, αγωγές και κόστη προστασίας από απάτες. Ωστόσο, μια λιγότερη προφανής, αλλά εξίσου σημαντική επίπτωση μπορεί να είναι η απώλεια εμπιστοσύνης, που προέρχεται από την ανησυχία των πελατών για το αν τα δεδομένα τους είναι πραγματικά ασφαλή. (περίπτωση #3) Δεδομένου ότι η αγορά της ασφάλισης κινείται με βάση την εμπιστοσύνη, μια μεγάλη παραβίαση μπορεί να έχει μια πολύ σημαντική επίδραση στο όνομα της ασφαλιστικής εταιρίας και στην αξία της στην αγορά.

Αξίζει να σημειωθεί πως οι περισσότερες παραβιάσεις που έχουν αναφερθεί από ασφαλιστικές εταιρίες έως τώρα έχουν χαρακτηριστεί ως βραχυπρόθεσμες επιθέσεις, με διαδικτυακούς “εγκληματίες” να επιτίθενται σε ένα σύστημα, να κλέβουν συγκεκριμένες πληροφορίες και στη συνέχεια να προχωράνε γρήγορα στην επόμενη επίθεση. Στην πραγματικότητα, η έρευνά μας δεν εντόπισε καμία τεκμηριωμένη περίπτωση μακροχρόνιας ηλεκτρονικής επίθεσης στον ασφαλιστικό κλάδο. Παρ’ όλα αυτά πιστεύουμε πως ο αριθμός των μακροχρόνιων επιθέσεων μπορεί να αυξάνεται σιωπηλά καθώς οι χάκερς συχνά ξεφεύγουν απαρατήρητοι και δημιουργούν μια επίμονη, συνεχή παρουσία σε σημαντικά περιβάλλοντα πληροφορικής.

Τα τελευταία χρόνια, πολλές ασφαλιστικές εταιρίες έχουν επενδύσει πολλά χρήματα σε προστασία και διαδικασίες που μπορεί να παρέχουν μια ψευδή αίσθηση ασφάλειας. Καθώς οι διαδικτυακοί εγκληματίες μαθαίνουν να αξιοποιούν την κρυπτογράφηση και άλλες προηγμένες τεχνικές επίθεσης, οι παραδοσιακές μέθοδοι προστασίας όπως firewalls, λογισμικά antivirus, συστήματα ανίχνευσης εισβολών (IDS) και συστήματα πρόληψης εισβολών (IPS) είναι λιγότερο αποτελεσματικά. Ως αποτέλεσμα, πολλές ασφαλιστικές εταιρίες μπορεί να κατανέμουν λάθος τους περιορισμένους πόρους τους για την αντιμετώπιση απειλών που αναγνωρίζονται εύκολα ενώ ταυτόχρονα αγνοούν τελείως μακροπρόθεσμες απειλές που μπορεί τελικά να είναι πιο επιζήμιες.

1. Οι χάκερς κλέβουν προσωπικά δεδομένα πελατών – και δυνητικών πελατών

Οργανισμός:
Μεγάλος οργανισμός σημαντικών ασφαλιστικών εταιριών και εταιριών παροχής χρηματοοικονομικών υπηρεσιών

Σενάριο:
Διαδικτυακοί εγκληματίες παραβίασαν τη βάση δεδομένων της εταιρίας και έκλεψαν πληροφορίες για περισσότερους από ένα εκατομμύριο πελάτες και μελλοντικούς πελάτες, συμπεριλαμβανομένων στοιχείων αδειών οδήγησης και αριθμούς κοινωνικής ασφάλισης.

Οι χάκερς και το κίνητρό τους:
Οι διαδικτυακοί εγκληματίες κυνηγούσαν προσωπικές πληροφορίες προκειμένου να τις πουλήσουν στη μαύρη αγορά.

Οι τεχνικές που χρησιμοποιούσαν:
Μέρος του δικτύου που χρησιμοποιούσαν τα μέλη του οργανισμού παραβιάστηκε από τους διαδικτυακούς εγκληματίες από όπου και έκλεψαν στοιχεία πελατών.

Επιπτώσεις στην επιχείρηση:
Ο οργανισμός ήταν υποχρεωμένος να παρέχει στους πελάτες των οποίων κλάπηκαν τα στοιχεία δωρεάν παρακολούθηση για ένα χρόνο, και να δώσει αποζημιώσεις για τις παραβιάσεις. Εκτός από τα χρηματικά κόστη, τα οποία ήταν σημαντικά, ο οργανισμός υπέστη σημαντικές ζημιές από απώλεια εμπιστοσύνης.

2. Ακόμα και μικρές παραβιάσεις μπορούν να έχουν σημαντικές επιπτώσεις και απαιτούν διορθωτικές ενέργειες

Οργανισμός:
Μια πολύ μεγάλη επενδυτική και ασφαλιστική εταιρία

Σενάριο:
Η επίθεση έγινε σε εργαζόμενους της εταιρίας με αποστολή e-mail που περιείχαν κακόβουλο λογισμικό το οποίο μπορούσε να κρατήσει εμπιστευτικά δεδομένα, όπως αριθμούς τραπεζικών λογαριασμών, αριθμούς κοινωνικής ασφάλισης, λογαριασμούς χρηστών, κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών. Οι χάκερς χρησιμοποιούσαν αυτές τις πληροφορίες για να έχουν πρόσβαση σε διάφορους servers, ακόμα και σε servers που χρησιμοποιούσαν οι εργαζόμενοι για να έχουν πρόσβαση στα πληροφοριακά συστήματα της εταιρίας.

Οι χάκερς και το κίνητρό τους:
Οι χάκερς απέσπασαν στοιχεία από λογαριασμούς online banking προκειμένου να διαπράξουν οικονομικές απάτες.

Οι τεχνικές που χρησιμοποιούσαν:
Η επίθεση έγινε σε εργαζόμενους της εταιρίας με αποστολή e-mail που περιείχαν κακόβουλο λογισμικό το οποίο μπορούσε να κρατήσει εμπιστευτικά δεδομένα, όπως αριθμούς τραπεζικών λογαριασμών, αριθμούς κοινωνικής ασφάλισης, λογαριασμούς χρηστών, κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών.

Επιπτώσεις στην επιχείρηση:
Παρά το γεγονός ότι η επίθεση έγινε σε μικρό αριθμό εργαζομένων, και σε ακόμα λιγότερους πελάτες, τράβηξε το ενδιαφέρον των ΜΜΕ και κατέστρεψε τη φήμη της εταιρίας.

3. Ασφαλιστική εταιρία-θύμα κατηγορείται πως δεν αντέδρασε άμεσα

Οργανισμός:
Μια εταιρία ασφαλιστικών και χρηματοπιστωτικών εταιριών που ειδικεύεται στην εξυπηρέτηση ηλικιωμένων.

Σενάριο:
Οι χάκερς εκμεταλλεύτηκαν ευάλωτο λογισμικό στους server εταιριών και έκλεψαν στοιχεία πιστωτικών καρτών από περισσότερους από 93.000 πελατών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων και μη-κρυπτογραφημένους κωδικούς ασφαλείας καρτών.

Οι χάκερς και το κίνητρό τους:
Οι διαδικτυακοί εγκληματίες κυνηγούσαν στοιχεία πιστωτικών καρτών για να τα πουλήσουν στη μαύρη αγορά και να διαπράξουν παράνομες συναλλαγές.

Οι τεχνικές που χρησιμοποιούσαν:
Εντοπίστηκαν τα ευάλωτα σημεία στο σύστημα και στο λογισμικό της εταιρίας και έτσι οι εγκληματίες απέκτησαν πρόσβαση σε πληροφορίες καρτών πληρωμής.

Επιπτώσεις στην επιχείρηση:
Η εταιρία αφαίρεσε αμέσως τα ευάλωτα στοιχεία στο σύστημά της και αναγκάστηκε να δώσει επίσημη απολογία. Επίσης πρόσφερε δωρεάν παρακολούθηση έναντι σε απάτες στους πελάτες που έπεσαν θύματα των εγκληματιών. Ωστόσο η εταιρία έχει επικριθεί έντονα για τη χρήση μη-κρυπτογραφημένων κωδικών ασφαλείας, κάτι το οποίο είναι θέμα μη-συμμόρφωσης σύμφωνα με το Payment Card Industry Data Security Standard (PCI DSS), και για το γεγονός ότι δεν ανέφερε τη παραβίαση στους πελάτες της νωρίτερα.

Συνοψίζοντας, είναι σημαντικό να τονίσουμε για ακόμη μια φορά την καταλυτική σημασία της τεχνολογίας στην καθημερινότητα μας. Τα παραπάνω παραδείγματα προς αποφυγή είναι μια καλή ευκαιρία να προβληματιστούμε όχι για την ένταξη της τεχνολογίας στις καθημερινές μας δραστηριότητές αλλά για τη σωστή χρήση της στις λειτουργίες μιας εταιρίας. Χρησιμοποιώντας σωστά τη τεχνολογία μειώνουμε το κόστος και αυξάνουμε την αποτελεσματικότητα. Επίσης απ’ότι φαίνεται οι ηλεκτρονικοί “εγκληματίες” ενδιαφέρονται περισσότερο για τις προσωπικές πληροφορίες που συλλέγει μια Ασφαλιστική εταιρία παρά για τα στοιχεία πιστωτικών καρτών. Όποια και να είναι τα κίνητρα τους, το πλήγμα στη φερεγγυότητα της εταιρείας – ειδικά στις μέρες μας που τα νέα διαδίδονται τόσο γρήγορα – μπορεί να δημιουργήσει πολλά προβλήματα σε όλες τις λειτουργίες της και ακόμα περισσότερο στην εμπιστοσύνη του καταναλωτή.

*Έρευνα της Deloitte για τις Διαδικτυακές Επιθέσεις στην Παγκόσμια Ασφαλιστική Αγορά.

Πηγή:www.insurancedaily.gr

 

Ο ρόλος του Διευθύνοντος Συμβούλου και των ανώτατων στελεχών σε περιστατικά παραβίασης εταιρικών συστημάτων ασφαλιστικών εταιριών.

09/07/2015 21:40

Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε ασφαλιστικής εταιρίας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από αρκετές πρόσφατες παραβιάσεις συστημάτων, το πώς ένας οργανισμός  χειρίζεται μια κρίση παίζει σημαντικό ρόλο στο κατά πόσο ο Διευθύνων Σύμβουλος  και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CROCFO κ.λπ.) παραμένουν στη θέση τους.

 

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις ασφαλιστικές εταιρίες γιατί προσφέρει δυνατότητα αποτελεσματικής επικοινωνίας με τον ασφαλιστικό διαμεσολαβητή, τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει την δυνατότητα πρόσβασης σε νέα τμήματα της αγοράς με προϊόντα και υπηρεσίες χαμηλότερου κόστους.

 

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι ασφαλιστικές εταιρίες όπως: οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, Βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά (π.χ, συμβάσεις συνεργασίας με παρόχους υπηρεσιών υγείας), σχέδια μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με ασφαλιστικούς διαμεσολαβητέςδεδομένα υγείας των ασφαλισμένωνδεδομένα συνταξιοδοτικών προγραμμάτων, αριθμούς των πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά στοιχεία πελάτη, προσωπικά οικονομικά στοιχεία πελατών.  

 

Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία της ασφαλιστικής εταιρίας μέσω κυβερνοεπιθέσεων που οδηγούν σε άρνηση παροχής υπηρεσίας (DDos) των συστημάτων εξυπηρέτησης πελατών και διαμεσολαβητών και αλλοίωση της ποιότητας των δεδομένων της ασφαλιστικής εταιρίας.

 

Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στις ασφαλιστικές εταιρίες ο οποίος θα μπορούσε να εκφραστεί ώς ποσοστό επί των ακαθάριστων εγγεγραμμένων ασφαλίστρων. Οι κίνδυνοι που συνδέονται με την χρήση του κυβερνοχώρου (Cyber Risks) πρέπει να αντιμετωπιστούν όπως όλοι οι κίνδυνοι και μετα την ανάλυσή τους να αποφασιστεί τι ποσοστό μπορεί να αναλάβει η ασφαλιστική εταιρία και τι ποσοστό θα μεταφερθεί σε  εξειδικευμένους ασφαλιστές ή αντασφαλιστές  

 

Οι μηχανισμοί προστασίας των δεδομένων που εφαρμόζαμε μέχρι σήμερα μπορούν εύκολα να παρακαμφθούν ακόμη και από μια απροσεξία ενός εργαζόμενου που μπήκε σε μια μολυσμένη ιστοσελίδα ή απάντησε σε ένα e-mail phishing.

 

Τα αποτελέσματα μιας μελέτης που διεξήχθη το 2014 από την εταιρία Corporate Board Member & FTI Consulting, Inc και έλαβαν μέρος, σχεδόν 500 διευθυντές εταιριών και μέλη διοικητικού συμβουλίου έδειξαν ότι οι κίνδυνοι του κυβερνοχώρου και η διαχείρισή τους  αποτελεί μια από τις κορυφαίες  ανησυχίες.

Τα μέλη του διοικητικού συμβουλίου και τα ανώτερα στελέχη πρέπει να δίνουν ύψιστη προτεραιότητα στην ασφάλεια στον κυβερνοχώρο και στην προστασία των δεδομένων της επιχείρησης

Ο λόγος για αυτή την ανησυχία είναι ότι υπάρχουν πολλές επιχειρηματικές άμεσες και έμμεσες ζημιές που σχετίζονται με το έγκλημα στον κυβερνοχώρο και την απώλεια δεδομένων.

Άμεσες ζημιές οι οποίες περιλαμβάνουν επαγγελματικές αμοιβές εξειδικευμένων συμβούλων διαχείρισης περιστατικών παραβάσης συστημάτων, πρόστιμα και έξοδα όπως:

  • αμοιβές εξειδικευμένου δικηγόρου
  • υπηρεσίες ειδικών ψηφιακής εγκληματολογίας (forensics)
  • υπηρεσίες δημοσίων σχέσεων και επικοινωνίας
  • υπηρεσίες τηλεφωνικού κέντρου
  • υπηρεσίες ελεγκτών
  • Credit Monitoring – Υπηρεσία Παρακολούθησης χρήσης δεδομένων που έχουν κλαπεί για την πραγματοποίηση παράνομων χρηματοοικονομικών συναλλαγών
  • έξοδα αντικατάστασης στοιχείων ενεργητικού α) αντικατάσταση της πιστωτικής κάρτας του πελάτη β) αντικατάσταση υλικού hardware ή software κ.λπ.
  • έκτακτα έξοδα οπως:α) αναγκαία έξοδα ταξιδίου και διαμονής για ομάδες  ειδικών διαχείρισης περιστατικών β) τα έξοδα αποστολής, ενημερωτικών επιστολών σε πελάτες, κ.λπ.,
  • πρόστιμα για μη τήρηση της νομοθεσίας περί προσωπικών δεδομένων
  • έξοδα για την επίτευξη  επιχειρησιακής συνέχειας
  • έξοδα εγκατάστασης νέων συστημάτων ασφάλειας

 

Οι Έμμεσες απώλειες μπορεί να είναι ακόμα πιο σημαντικές, συμπεριλαμβανομένων:

  • μείωσης της φήμης της εταιρίας
  • πτώσης των εσόδων
  • χαμένων  επιχειρηματικών  ευκαιριών
  • απώλεια πελατών
  • απώλεια συνεργατών
  • καθυστερήσεις  έργων και λανσαρίσματος νέων προϊόντων
  • αύξηση των αμοιβών των υπηρεσιών τρίτων παρόχων
  • κόστη εκπαίδευσης και  ευαισθητοποίησης σε θέματα ασφάλειας πληροφοριών του ανθρώπινου δυναμικού της εταιρίας
  • επαναλαμβανόμενα έξοδα για τακτικούς ελέγχους ασφάλειας.

 

Δυστυχώς, πολλές από αυτές τις άμεσες και έμμεσες δαπάνες είναι απρογραμμάτιστες και δεν υπάρχουν προβλέψεις στον προϋπολογισμό. Τα περιστατικά παραβίασης συστημάτων και απώλειας εμπιστευτικών πληροφοριών  μπορεί να έχουν αρνητική επίπτωση στην ρευστότητα και τις ταμειακές ροές της ασφαλιστικής εταιρίας.

 

Το Ponemon Institute στο Report ”2014 – Cost of Data Breach Study Global” αναφέρει ότι  το μέσο κόστος της παραβίασης συστημάτων και απώλειας δεδομένων στην Αμερική ήταν $5,85 εκατ.

      

US: Ηνωμένες Πολιτείες, DΕ: Γερμανία, FR: Γαλλία, UK: Ηνωμένο Βασίλειο, ΑΒ: Αραβικά Εμιράτα, IT: Ιταλία, AU: Αυστραλία, JP: Ιαπωνία, BZ: Βραζιλία, ID: Ινδία.

 

Το κόστος απώλειας δεδομένων ανά record και ανά κατηγορία επιχειρηματικής δραστηριότητας σύμφωνα με τα στοιχεία της έρευνας  του Ponemon institute στην Αμερική φαίνονται στο διάγραμμα που ακολουθεί.

Πηγή 2014 – Cost of Data Breach Study Global – Ponemon Institute Research Report

Για την αντιμετώπιση των χρηματοικονομικών επιπτώσεων, αποτελεσματικό εργαλείο διαχείρισης των περιστατικών παραβίασης αποτελεί η ασφάλιση Cyber Insurance, δίνοντας εκτός από τις χρηματικές αποζημιώσεις και πρόσβαση σε ομάδες ειδικών οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών.

Ενώ η ασφάλιση δεν μπορεί να αποτρέψει ένα περιστατικό παραβίασης, όπως αυτή της Sony που συνέβη πρόσφατα, μπορεί να βοηθήσει ελαχιστοποιώντας την οικονομική καταστροφή και τη βλάβη της φήμης που μπορεί να συντελεστεί σε σύντομο χρονικό διάστημα.

 

Πρέπει να τονιστεί ότι αύξηση των χρηματοοικονομικών επιπτώσεων θα έχουμε με την εφαρμογή της προτεινόμενης ευρωπαικής νομοθεσίας για την προστασία των προσωπικών δεδομένων. Η νομοθεσία αυτή που παρουσιάστηκε τον  Ιανουάριο του 2013 από την Επίτροπο Δικαιοσύνης της ΕΕ, κα  Viviane Reding, προβλέπει την αναθεώρηση των  νόμων περί προστασίας δεδομένων της ΕΕ και αναμένεται να ενσωματωθεί στο ευρωπαικό δίκαιο. Πριν μερικές ημέρες οριστικοποιήθηκε και αναμένεται η τελική έγκρισή της εντός του 2015.

 

Σύμφωνα με τη νέα νομοθεσία, οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν μέχρι €100εκ ή έως 2 % του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας, όποιο από τα δύο είναι μεγαλύτερο.

Ένα ακόμη μεγάλο πρόβλημα που έχει να αντιμετωπίσει ένας Διευθύνων Σύμβουλος είναι η βλάβη που μπορεί να υποστεί η φήμη της εταιρίας του.

 

Όπως περίφημα είπε ο Warren Buffett:

"Χρειάζονται 20 χρόνια για να χτιστεί η φήμη μιας εταιρίας και μόνο πέντε λεπτά για να καταστραφεί."

 

Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Παράγοντες που επηρεάζουν την εταιρική φήμη

ΠηγήThe Aftermath of a data breach Consumer Sentiment. Ponemon Institute Report

 

Δυστυχώς, υπάρχουν αρκετά παραδείγματα παραβιάσεων συστημάτων επιχειρήσεων που δεν ήταν επαρκώς προετοιμασμένες και δεν κατάφεραν να διαχειριστούν αποτελεσματικά τα εκδηλωθέντα περιστατικά.

 

Το μεγαλύτερο λάθος που κάνουν οι εταιρίες στην αντιμετώπιση αυτών των περιστατικών είναι ότι δεν έχουν προετοιμάσει την επικοινωνιακή στρατηγική τους. Θεωρούν δεδομένο ότι μπορούν να αντιμετωπίσουν μια κρίση που μπορεί να προέλθει από περιστατικά παραβίασης συστημάτων γιατί έχουν την καλύτερη ομάδα ΙΤ. Ακόμα χειρότερα γιατί θεωρούν οτι μπορούν να χειριστούν την κρίση την στιγμή που συμβαίνει χωρίς προηγούμενη προετοιμασία.

 

Οι ασφαλιστικές εταιρίες θα πρέπει να είναι προετοιμασμένες για κάθε πιθανή κατάσταση. Δεν έχει σημασία πόσο μακρινό φαίνεται αυτό το ενδεχόμενο. Ο σχεδιασμός της αντιμετώπισης της κρίσης  μετά την εκδηλωσή της και χωρίς καμμία αρχική πρετοιμασία οδηγεί σε σφάλματα που οφείλονται σε ανακριβείς πληροφορίες, πανικό, και μη σωστό καθορισμό προτεραιοτήτων. 

Αυτό που παρατηρείται επίσης είναι ότι οι εταιρείες είτε ανταποκρίνονται πολύ γρήγορα σε μια κρίση, ή πολύ αργά. Ο συγχρονισμός είναι ζωτικής σημασίας για την αντιμετώπιση της κρίσης.

 

Αν για το περιστατικό παραβίασης βγεί κάποια ανακοίνωση πολύ γρήγορα, ίσως να μην γνωρίζουμε την πλήρη έκταση της ζημίας, κατι που σε δεύτερο χρόνο θα μας αναγκάσει πιθανόν να την αναθεωρήσουμε. Αν αυτό γίνει πάρα πολύ αργά θα φαίνεται ότι προσπαθούμε να αποφύγουμε την ευθύνη και λόγω  αυτής της καθυστέρησης και οι πελάτες της εταιρίας μπορούν να επηρεάστουν περισσότερο από το περιστατικό.

 

Οι  Δημόσιες σχέσεις μπορούν να μετριάσουν σημαντικά την ζημιά σε μια κατάσταση κρίσης. Η μη άμεση ανταπόκριση μπορεί να ενισχύσει την κατάσταση και να προκαλέσει  πρόσθετη ζημία σε μια εταιρεία σε μια κατάσταση κρίσης. Πάντοτε πρέπει να έχουμε ένα σχέδιο αντιμετώπισης τέτοιων περιστατικών.

 

Για το λόγο αυτό θα πρέπει σε κάθε εταιρία να έχει δημιουργηθεί μια Ομάδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων η οποία αποτελείται από ανώτατα στελέχη της εταιρίας από τα τμήματα:

  • Information Security
  • IT
  • Νομικής υπηρεσία
  • Κανονιστικής Συμμόρφωσης
  • Δημοσίων Σχέσεων & Επικοινωνίας
  • Εξυπηρέτησης Πελατών
  • Οικονομικής Διεύθυνση
  • Business Continuity
  • Risk Management
  • HR
  • Marketing

και εξειδικευμένους εξωτερικούς συμβούλους όπως: δικηγόρους , επικοινωνιολόγους, ερευνητές ψηφιακής εγκληματολογίας.

 

Η ομάδα πρέπει να συνεδριάζει σε τακτικά χρονικά διαστήματα και να εκπονεί ασκήσεις προσομοίωσης διάφορων σεναρίων ώστε τα μέλη της να είναι σε ετοιμότητα για την αντιμετώπιση περιστατικών.

 

Η ομάδα αυτή πρέπει να συντονίζεται από  τον Cyber Breach Coach ο οποίος θα φροντίζει για την συνεχή ετοιμότητά της και θα δίνει την κατάλληλη πληροφόρηση στον Διευθύνντα Σύμβουλο κατά την εξέλιξη ενός περιστατικού παραβίασης. Όταν συμβεί παραβίαση συστημάτων και διαρροή δεδομένων, θα πρέπει να παρθούν γρήγορα αποφάσεις και πολλές φορές χωρίς δυνατότητα αναίρεσης ακόμα. Σε πολλές περιπτώσεις οι αποφάσεις αυτές πρέπει να παρθούν χωρίς τα στελέχη της εταιρίας να έχουν στην διαθεσή τους όλη την σχετική πληροφόρηση.

 

Περιστατικά παραβίασης συστημάτων και απώλειας δεδομένων καταγράφονται καθημερινά σε Ασφαλιστικές Εταιρίες όπως η Anthem από την οποία χάθηκαν 80 εκ records και οι μεχρι σήμερα εκτιμήσεις ορίζουν το κόστος αντιμετώπισης του περιστατικού αυτού σε $100 εκ. H εταιρία είχε ασφαλιστήριο συμβόλαιο και ένα τμήμα του κόστους θα αντιμετωπιστεί το υπόλοιπο θα επιβαρύνει τον ισολογισμό της εταιρίας

 

Ασφαλιστικές εταιρίες που εχουν υποστεί data breach

    

Η ασφάλιση Cyber Insurance, δίνει εκτός από τις χρηματικές αποζημιώσεις, πρόσβαση σε ομάδες ειδικών (δικηγόροι, επικοινωνιολόγοι, forensics investigators κλπ) οι οποίες έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους  και να προστατεύσουν την   εταιρική φήμη. Η ασφάλιση Cyber Insurance αποτελεί ένα αποτελεσματικό εργαλείο αντιστάθμισης κινδύνου.  

 

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος  για  την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό. Είναι αναγκαίο ο Διευθύνων Σύμβουλος  να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του.

 

 

Νίκος Γεωργόπουλος , ΜΒΑ, CyRM.

Cyber Risk Advisor

CROMAR Coverholder at LLOYD΄S

Email: nikos.georgopoulos@cromar.gr



Read more: https://www.cyberinsurancegreece.com/news/o-rolos-toy-dieythynontos-symvoyloy-kai-ton-anotaton-stelechon-se-peristatika-paraviasis-etairikon-systimaton-asfalistikon-etairion/

Ασφαλιστικές Εταιρίες

Γιατί οι χάκερς βάζουν… στο μάτι τις ασφαλιστικές; 

Τα προσωπικά δεδομένα του κλάδου της Υγείας εξελίσσονται στον πιο «καυτό» στόχο των κακοποιών του διαδικτύου σήμερα. Πάνω από 1 δισ. δολάρια εκτιμάται ότι θα κοστίσουν οι απαιτούμενες ασφαλίσεις.

Ο θρυλικός ληστής Jesse James έλεγε: «Κλέβω τράπεζες γιατί εκεί βρίσκεται όλο το χρήμα». Παραφράζοντας τα λόγια του ίσως μπορούμε να «δικαιολογήσουμε» τον συνεχώς αυξανόμενο αριθμό επιθέσεων χάκερς σε ασφαλιστικές. «Γιατί εκεί βρίσκονται όλες οι πολύτιμες πληροφορίες».

Γιατί πολύτιμες; Διότι σήμερα, έχει στηθεί ένας χορός δισεκατομμυρίων στη… σκοτεινή πλευρά του διαδικτύου, που στηρίζεται στην εμπορία και διακίνηση προσωπικών δεδομένων ασφαλισμένων. Αποτέλεσμα αυτού είναι η αξία των αριθμών κοινωνικής ασφάλισης που αποτελούν προϊόν υποκλοπής να καταγράφει ανοδική πορεία, δίνοντας έξτρα κίνητρο στους χάκερς να «χτυπήσουν» ασφαλιστικές εταιρείες και φορείς του κλάδου της Υγείας.

Γιατί, όμως, οι χάκερς επιλέγουν τις ασφαλιστικές και δεν στοχεύουν κατευθείαν στην πηγή των χρημάτων, ήτοι στις τράπεζες; Με άλλα λόγια, αν μπορούν μέσω διαδικτύου να παραβιάσουν τραπεζικούς λογαριασμούς και στοιχεία καρτών, γιατί επιλέγουν την υποκλοπή πληροφοριών ασφαλισμένων;

Ειδικοί της κυβερνοασφάλειας εξηγούν ότι συλλέγοντας ονόματα χρηστών και κωδικούς ασφαλείας, οι χάκερς αυξάνουν τις πιθανότητες να εισβάλλουν και σε άλλες επιχειρήσεις που διαθέτουν ακόμη πιο σημαντικές πληροφορίες που αναζητούν. Αποκτώντας πρόσβαση σε μία ασφαλιστική, ελπίζουν ότι θα μπορέσουν να κινηθούν με άνεση και ίσως να χτυπήσουν ακόμη μεγαλύτερες εταιρείες σε πιο «ευαίσθητους» κλάδους, όπως της αμυντικής βιομηχανίας.

Ενδεικτικό του ενδιαφέροντος, είναι το γεγονός ότι οι κλεμμένοι αριθμοί κοινωνικής ασφάλισης αξίζουν στο «darknet» (ανώνυμο δίκτυο παράλληλο με το internet, όπου οργιάζει η παράνομη δραστηριότητα) 10 έως 20 φορές περισσότερο από τους αριθμούς πιστωτικών καρτών.

Και ενώ οι επιθέσεις σε ασφαλιστικές δεν «πουλάνε» στα πρωτοσέλιδα το ίδιο με τις επιθέσεις σε τράπεζες ή σε μεγάλες πολυεθνικές, μόνο σπάνιες δεν είναι, κάτι που αποδεικνύεται από τους αριθμούς που… προκαλούν ίλιγγο.

Μόνο στις ΗΠΑ, τον τελευταίο χρόνο έχουν διαρρεύσει ή κινδυνεύσει προσωπικά δεδομένα περίπου 100 εκατ. ασφαλισμένων, ενώ σύμφωνα με στοιχεία του αμερικανικού υπουργείου Υγείας, το τελευταίο πεντάμηνο έχουν σημειωθεί 17 κυβερνοεπιθέσεις σε εταιρείες ή φορείς του κλάδου ιατροφαρμακευτικής περίθαλψης.

Ιστορικά, έχουν αναφερθεί πάνω από 1.000 επιθέσεις χάκερς σε πάροχους υγειονομικής περίθαλψης, ασφαλιστικές και άλλες επιχειρήσεις του κλάδου της Υγείας από τις αρχές του 2000, προσβάλλοντας εκατομμύρια ανθρώπους.

Η γιγαντιαία επίθεση κατά της Anthem, της δεύτερης μεγαλύτερης εταιρείας ασφαλειών Ζωής στις ΗΠΑ, τον περασμένο Φεβρουάριο, κατά την οποία διέρρευσαν στοιχεία 80 εκατ. ασφαλισμένων και εργαζομένων, υποδεικνύει ότι το ενδιαφέρον των χάκερς για ιατρικά δεδομένα αυξάνεται σε απειλητικό βαθμό. Η πρόσφατη κυβερνοεπίθεση κατά των Premera Blue Cross και LifeWise που επηρέασε σχεδόν 11 εκατ. πελάτες και εργαζομένους ήρθε να επιβεβαιώσει την τάση.

Το FBI έχει προειδοποιήσει από το περασμένο καλοκαίρι ότι οι ασφαλιστικές έχουν μπει για τα καλά στο στόχαστρο των χάκερς. Οι ειδικοί υποστηρίζουν πως αυτό που κάνει τις ιατρικές πληροφορίες να είναι πιο πολύτιμες από τις πιστωτικές κάρτες, είναι το γεγονός ότι σε αντίθεση με τις πιστωτικές – που ο κάτοχος το αντιλαμβάνεται σχετικά άμεσα και τις ακυρώνει – η χρήση τους μπορεί να γίνεται για χρόνια χωρίς να το αντιληφθεί ο πάροχος ή ο ασφαλισμένος.

Πολλοί είναι αυτοί που πιστεύουν ότι πίσω από τις επιθέσεις τόσο κατά της Anthem, όσο και κατά των Premera και LifeWise, κρύβονται Κινέζοι χάκερς. Υποστηρίζουν πως το ενδιαφέρον των Κινέζων για απόρρητες πληροφορίες αμερικανικών επιχειρήσεων είναι δεδομένο και επομένως μία επιτυχημένη παραβίαση θα μπορούσε να τους δώσει τη δυνατότητα να «μολύνουν» με ιούς εταιρικά δίκτυα και να αποσπάσουν πολύτιμη πληροφόρηση.

Και ενώ οι επιθέσεις σε ασφαλιστικές δεν «πουλάνε» στα πρωτοσέλιδα το ίδιο με τις επιθέσεις σε τράπεζες ή σε μεγάλες πολυεθνικές, μόνο σπάνιες δεν είναι

Για να αποτραπούν νέες επιθέσεις στο μέλλον, ίσως θα έπρεπε να εξεταστούν ενδελεχώς οι κυβερνοεπιθέσεις που σημειώνονται σε όλους τους κλάδους – και όχι μόνο στις ασφαλιστικές – και να υπάρξει συνεργασία μεταξύ κρατικών υπηρεσιών και ιδιωτικού τομέα για τον εντοπισμό των δυνητικών απειλών.

Οι τράπεζες έχουν καταλάβει τον κίνδυνο και δαπανούν τεράστια ποσά για την ηλεκτρονική τους ασφάλεια, κάτι που αναμένεται να αναγκαστούν να κάνουν και οι ασφαλιστικές, από τη στιγμή που διαχειρίζονται μεγάλες βάσεις ευαίσθητων δεδομένων.

Σημαντική ευκαιρία ανάπτυξης

Η υπόθεση της Anthem ίσως σηματοδοτεί την απαρχή μίας νέας περιόδου, κατά την οποία η κυβερνοασφάλεια αποτελεί τον μεγαλύτερο και πιο συστημικό κίνδυνο στον κλάδο των ασφαλειών.

Το ρόλο ασπίδας κατά των κυβερνοεπιθέσεων θέλουν να παίξουν οι εξειδικευμένες ασφαλίσεις που διατίθενται πλέον διεθνώς και προσφέρουν ευρεία γκάμα καλύψεων. Οι εκτιμήσεις αναφέρουν ότι οι απαιτούμενες ασφαλίσεις κατά κυβερνοεπιθέσεων θα φτάσουν άμεσα στα 1 δισ. δολάρια.

Για να γίνει κατανοητός ο οικονομικός αντίκτυπος, αξίζει να σημειωθεί ότι οι χάκερς που «εισέβαλαν» στην Anthem, κατάφεραν να φύγουν με σχεδόν 1 δισεκατομμύριο αριθμούς πιστωτικών καρτών.

Σε πρόσφατη έκθεσή του, ο οίκος αξιολόγησης Fitch εκτιμά ότι οι ασφαλίσεις κατά κυβερνοεπιθέσεων αποτελούν μία σημαντική ευκαιρία ανάπτυξης για την παγκόσμια ασφαλιστική αγορά.

Παρόλα αυτά, η Fitch προειδοποιεί ότι από τη στιγμή που οι κίνδυνοι του κυβερνοχώρου μπορούν να προκαλέσουν σημαντικές ζημιές και οι κυβερνοεπιθέσεις γίνονται όλο και πιο εξελιγμένες, η ικανότητα ασφάλισης κατά ορισμένων κινδύνων είναι αμφισβητήσιμη.

Εκτιμά δε, πως δεδομένου του δυνητικού μεγέθους των απωλειών, οι κυβερνήσεις αναπόφευκτα θα αναγκαστούν να ενισχύσουν το ρόλο που παίζουν στην αποτροπή και αποζημίωση των παγκόσμιων κυβερνοεπιθέσεων. Όμως και οι ασφαλιστικές θα έχουν σημαντικό ρόλο να διαδραματίσουν παράλληλα με τις κρατικές πρωτοβουλίες.

Η ικανότητα του κλάδου στην παρακολούθηση και μοντελοποίηση των κυβερνοκινδύνων θα συνεχίσει να εξελίσσεται βραχυπρόθεσμα, ανοίγοντας νέες ευκαιρίες για την κάλυψη της ζήτησης. Η Fitch προβλέπει ότι καθώς οι ασφαλιστικές θα χτίζουν εσωτερικές δομές προστασίας κατά των κινδύνων του διαδικτύου, θα αυξάνεται και η εξειδίκευσή τους στην προστασία των πελατών, από τη στιγμή που ασφαλιστικές και ασφαλιζόμενοι στην ουσία αντιμετωπίζουν τους ίδιους κινδύνους.

hackers-infographic

Πηγή :https://www.asfalistikomarketing.gr/