Cyber Insurance – Μύθος! Οι μικρομεσαίες επιχειρήσεις δεν αποτελούν στόχο κυβερνοεγκληματιών

02/02/2023 07:37

Υπάρχει μια λάθος αντίληψη ότι οι επιθέσεις στον κυβερνοχώρο είναι πρόβλημα των μεγάλων επιχειρήσεων γιατί οι κυβερνοεπιθέσεις στις μεγάλες επιχειρήσεις τραβούν την προσοχή των μέσων μαζικής ενημέρωσης, γίνονται γνωστές στους πελάτες τους και οι κυβερνοεγκληματίες ασχολούνται με αυτές γιατί μπορούν να κερδίσουν πολλά χρήματα από κυβερνοεκβιασμό σε σχέση με τις μικρές εταιρίες.

Καθημερινά όμως χιλιάδες μικρές επιχειρήσεις διεθνώς, υφίστανται περιστατικά παραβίασης ως αποτέλεσμα κυβερνοεπιθέσεων.

Ποιοί είναι οι κίνδυνοι που συνήθως αντιμετωπίζουν οι εταιρίες;   

Το ransomware, λογισμικό που κλειδώνει τα εταιρικά συστήματα και απαιτείται η πληρωμή λύτρων για την απόκτηση πρόσβασης στα εταιρικά συστήματα και η κλοπή εταιρικών κεφαλαίων, αποτελούν καθημερινούς κινδύνους που πρέπει να αντιμετωπίσουν οι μικρές και μεσαίες εταιρίες.

Ο εκβιασμός και οι παραβιάσεις δεδομένων που συνήθως ξεκινούν με ένα ανθρώπινο λάθος ή μια παράβλεψη, όπως η απώλεια ενός φορητού υπολογιστή ή ένα κλικ σε έναν σύνδεσμο ενός Phishing email, επιτρέπουν στους εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση στα εταιρικά συστήματα.

Σύμφωνα με μελέτες, το μέσο κόστος των περιστατικών ransomware σε μικρομεσαίες επιχειρήσεις ανέρχεται σε €75.000 (το κόστος αυτό μεταβάλλεται ανάλογα με το ποσό των λύτρων που καταβάλλεται στους κυβερνοεγκληματίες). Ο μέσος χρόνος για την επαναφορά της εταιρίας στην προηγούμενη κατάσταση που ήταν πριν πέσει θύμα περιστατικού ransomware, ανέρχεται σε 50 ημέρες. Ένα μεγάλο ποσοστό εταιριών μετά από ένα περιστατικό ransomware, οδηγούνται σε χρεωκοπία και αν πληρώσουν τα λύτρα στους κυβερνοεγκληματίες, πέφτουν ξανά θύματα των κυβερνοεγκληματιών

Γιατί όμως οι μικρές επιχειρήσεις αποτελούν στόχο των κυβερνοεγκληματιών;

1. Οι μικρές επιχειρήσεις είναι πιο ευάλωτες λόγω έλλειψης εκπαίδευσης του ανθρώπινου δυναμικού τους και επενδύσεων στην κυβερνοασφάλεια:

Οι κυβερνοεγκληματίες αναζητούν τον πιο εύκολο και γρήγορο τρόπο για να βγάλουν κέρδος. Οι μικρές επιχειρήσεις έχουν συνήθως λιγότερους πόρους και χρόνο για να εκπαιδεύσουν το προσωπικό σχετικά με τους κινδύνους της κυβερνοασφάλειας, γεγονός που τις καθιστά πιο επιρρεπείς σε επιθέσεις  ransomware και είναι πιο πιθανό να πληρώσουν λύτρα όταν αισθάνονται ότι δεν έχουν τη γνώση, τις υποδομές και τους ανθρώπους που μπορούν να τους βοηθήσουν στην αντιμετώπιση ενός περιστατικού.

2.Οι μικρές επιχειρήσεις μπορούν να δώσουν  δυνατότητα πρόσβασης στους κυβερνοεγκληματίες σε συστήματα μεγαλύτερων εταιριών με τις οποίες συνεργάζονται:

Πολλές μικρές και μεσαίες εταιρείες συνδέονται με τα συστήματα πληροφορικής μεγαλύτερων οργανισμών στους οποίους παρέχουν υπηρεσίες. Έτσι, όταν οι κυβερνοεγκληματίες προσπαθούν να διεισδύσουν σε μεγαλύτερους και πιο ασφαλείς οργανισμούς, συχνά στοχεύουν τους προμηθευτές τους.

3.Οι μικρές επιχειρήσεις μπορεί να πέσουν θύματα κυβερνοεπιθέσεων που προέρχονται από οργανισμούς που τους παρέχουν υπηρεσίες τεχνολογίας:

Σε περίπτωση μιας επιτυχημένης κυβερνοεπίθεσης σε ένα πάροχο υπηρεσιών τεχνολογίας με τον οποίο συνεργάζονται μπορεί να δημιουργήσει διακοπή εργασιών της επιχείρησης, παραβιάσεις δεδομένων ή ακόμη και βλάβη της φήμης τους.

Τι ζητάνε οι ασφαλιστές από τις επιχειρήσεις για να τις ασφαλίσουν;

Οι ασφαλιστικές εταιρίες ζητούν από τους πιθανούς πελάτες να υιοθετήσουν τεχνικά μέτρα  ασφαλείας για την πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά εξελιγμένα περιστατικά παραβίασης ασφάλειας.

Πιο συγκεκριμένα τα ζητούμενα μέτρα είναι τα ακόλουθα:

1. Eλεγχος πρόσβασης του χρήστη μέσω ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση.

Η επιβολή χρήσης ισχυρής πολιτικής κωδικών πρόσβασης, η απαίτηση της χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων, η εκπαίδευση των εργαζομένων σχετικά με επιθέσεις phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων σύνδεσης και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση στα εταιρικά συστήματα είναι όλα κρίσιμα στοιχεία της στρατηγικής ασφάλειας στον κυβερνοχώρο ενός οργανισμού. Μη ύπαρξη MFA σημαίνει μη ασφαλίσιμη εταιρία.

2.Εκπαίδευση ευαισθητοποίησης του Ανθρώπινου Δυναμικού στον κυβερνοχώρο.

Ο πιο δημοφιλείς τρόπος διάδοσης κακόβουλου λογισμικού ransomware είναι τα μηνύματα ηλεκτρονικού ψαρέματος (phishing). ‘Oταν ο χρήστης κάνοντας κλικ σε έναν σύνδεσμο ή να ανοίξει ένα συνημμένο κακόβουλο λογισμικό, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του χρήστη και στο εταιρικό δίκτυο. Η έλλεψη  εκπαίδευσης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο είναι ζωτικής σημασίας για την προστασία του οργανισμού από το ransomware. Το μεγαλύτερο ποσοστό περιστατικών παραβίασης ασφάλειας οφείλεται σε ανθρώπινο λάθος και τουλάχιστον ένας στους τρείς ανεκπαίδευτους χρήστες πέφτουν θύματα περιστατικών ransomware.

3.‘Υπαρξη αντίγραφου ασφαλείας δεδομένων και ελεγμένες διαδικασίες ανάκτησής τους .

Ο στόχος του ransomware είναι να αναγκάσει την εταιρία θύμα να πληρώσει λύτρα προκειμένου να αποκτήσει ξανά πρόσβαση στα κρυπτογραφημένα δεδομένα του. Η βιομηχανία του ransomware πλέον δεν αρκείται μόνο στο κλείδωμα των αρχείων αλλά και στην απειλή δημοσίευσης των δεδομένων που έχουν έρθει στην κατοχή τους πριν την εκδήλωση του εκβιασμού. Για να καταβάλλει μία εταιρία θύμα θα πρέπει να μην έχει δυνατότητα πρόσβασης σε αυτά. Μια σωστή διαδικασία δημιουργίας  αντιγράφων ασφαλείας δεδομένων με ελεγμένη διαδικασία ανάκτησής της είναι ένας αποτελεσματικός τρόπος για να μετριαστεί ο κίνδυνος μιας επίθεσης ransomware.

4.Εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων.

Η εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων ειδικά εκείνων που χαρακτηρίζονται ως κρίσιμες μπορεί να συμβάλει στον περιορισμό των ευπαθειών ενός οργανισμού σε επιθέσεις ransomware.

5.Ύπαρξη Πλάνου Αντιμετώπισης Περιστατικών Παραβίασης Ασφάλειας

Η ύπαρξη ενός Πλάνου Αντιμετώπισης Περιστατικών βοηθά την εταιρία στην αντιμετώπιση περιστατικών και ο συνδυασμός του με την ασφάλιση Cyber Insurance το κάνει πιο αποτελεσματικό γιατί μέσω τις ασφάλισης η εταιρία αποκτά πρόσβαση σε εξειδικευμένους παρόχους με εμπειρία στην διαχείριση περιστατικών παραβίασης ασφάλειας. 

Γιατί οι μικρές επιχειρήσεις δεν ασφαλίζονται; 

Λόγω της έλλειψη γνώσης σχετικά με τους κινδύνους που απειλούν την ασφάλεια των πληροφοριακών συστημάτων μιας εταιρίας πολλα στελέχη και ιδιοκτήτες έχουν λανθασμένη εικόνα για την ασφάλιση. Για την κατανόηση των πλεονεκτημάτων που προσφέρει η ασφάλιση στην διαχείριση περιστατικών παραβίασης ασφάλειας καθοριστικός είναι ο ρόλος του ασφαλιστικού διαμεσολαβητή.

Οι πιο συνήθεις αντιρρήσεις για την μη αγορά ασφάλισης Cyber Insurance είναι οι ακόλουθες:

Δεν χρειαζόμαστε ασφάλιση Cyber Insurance. Επενδύουμε στην ασφάλεια των πληροφοριακών συστημάτων μας... 

Όπως όταν μια επιχείρηση εγκαθιστά κάμερες ασφαλείας και συστήματα πυρόσβεσης, εξακολουθεί να αγοράζει ασφάλιση περιουσίας για την περίπτωση που αυτά τα προληπτικά μέτρα αποτύχουν. Η ασφάλεια στον κυβερνοχώρο λειτουργεί με τον ίδιο τρόπο.

Η ασφάλεια πληροφοριακών συστημάτων είναι προληπτικό μέτρο, αλλά αυτό δεν σημαίνει ότι οι κυβερνοεγκληματίες δεν μπορούν ακόμα να αποκτήσουν πρόσβαση και να προκαλέσουν ζημιά στα εταιρικά συστήματα. Το κυβερνοέγκλημα εξελίσσεται συνεχώς και η προστασία των εταιρικών συστημάτων απαιτεί επενδύσεις, ακόμη και οι μεγάλες εταιρείες που ξοδεύουν τεράστια ποσά για την ασφάλεια των συστημάτων εξακολουθούν να πέφτουν θύματα των κυβερνοεγκληματιών τακτικά.

Ανεξάρτητα από το πόσο επενδύει στην ασφάλεια πληροφορικών συστημάτων, μια εταιρεία, δεν θα είναι ποτέ 100% ασφαλής.

Η ασφάλεια στον κυβερνοχώρο είναι εκεί για να προσθέσει άλλο ένα επίπεδο προστασίας και να ανταποκριθεί σε περίπτωση που συμβεί το χειρότερο

Αναθέτουμε σε εξωτερικούς συνεργάτες όλο το IT μας, επομένως δεν κινδυνεύουμε....

Η ανάθεση σε τρίτους της λειτουργίας του τμήματος πληροφορικής δεν σημαίνει οτι η εταιρία δεν κινδυνεύει από περιστατικά παραβίασης ασφάλειας. Εάν αναθέσει σε τρίτους την αποθήκευση δεδομένων της και αυτό το τρίτο μέρος πέσει θύμα περιστατικού παραβίασης ασφάλειας, δεν σημαίνει οτι δεν εξακολουθεί η επιχείρηση να είναι υπεύθυνη για την απώλεια των δεδομένων των πελατών της, για την ειδοποίηση των επηρεαζόμενων ατόμων και την αντιμετώπιση επιβολής προστίμων από τις ρυθμιστικες αρχές.

Επιπλέον, πολλές επιχειρήσεις βασίζονται σε τρίτα μέρη για κρίσιμες για τις επιχειρήσεις λειτουργίες και σε περίπτωση που αυτοί οι πάροχοι αντιμετωπίσουν κάποιο περιστατικό παραβίασης ασφάλειας  συστήματος, θα μπορούσε να έχει καταστροφικές επιπτώσεις στην ικανότητά τους να συναλλάσονται με τους πελάτες τους  και να οδηγήσει στην διακοπή εργασιών της επιχείρησης.

Δεν συλλέγουμε ευαίσθητα δεδομένα, επομένως δεν χρειαζόμαστε ασφάλιση.....

Δεν χρειάζεται να συλλέγει ευαίσθητα δεδομένα μια επιχείριση για να έχει έκθεση στον κυβερνοκίνδυνο. Κάθε επιχείρηση χρησιμοποιεί ένα πληροφοριακό σύστημα για την λειτουργία της κινδυνεύει να πέσει θύμα των κυβερνοεγκληματιών. Δύο από τις πιο κοινές και δαπανηρές αιτίςες ζημιών στον κυβερνοχώρο είναι τα περιστατικά ransomware και η απάτη μεταφοράς χρημάτων σε κυβερνοεγληματίες. Η απάτη μεταφοράς χρημάτων συχνά πραγματοποιείται από εγκληματίες που χρησιμοποιούν δόλια μηνύματα ηλεκτρονικού ταχυδρομείου για να εκτρέψουν νόμιμες μεταφορές κεφαλαίων στους δικούς τους λογαριασμούς, ενώ το ransomware μπορεί να συμβεί σε οποιοδήποτε οργανισμό ανεξαρτήτως μεγέθους κρυπτογραφώντας ή καταστρέφοντας κρίσιμα αρχεία και να οδηγήσει σε διακοπή εταιρικής δραστηριότητας για αρκετές ημέρες. Ο αριθμός των ημερών διακοπής δραστηριότητας είναι άμεσα συνδεδεμένος με το πόσο σωστά προετοιμασμένη είναι κάθε επιχείρηση στην αντιμετώπισή του. Κανένα από αυτά τα είδη συμβάντων δεν χρειάζεται να περιλαμβάνει παραβίαση δεδομένων, αλλά και τα δύο μπορεί να οδηγήσουν σε σοβαρές οικονομικές απώλειες που είναι ασφαλίσιμες στο πλαίσιο της ασφάλισης Cyber Insurance.

Είμαστε ασφαλισμένοι , έχουμε συμβόλαια περιουσίας και αστικών ευθυνών...

Τα κλασικά ασφαλιστήρια περιουσίας και αστικής ευθύνης δεν παρέχουν ασφαλιστική κάλυψη για κυβερνοκινδύνους γιατί δεν σσχεδιάστηκαν για αυτό το λόγο και για να υπάρχει σωστή τιμολόγηση του κινδύνων που καλύπτουν έχουν πλέον εξαιρέσεις κάλυψης αυτών. Τα ασφαλιστήρια συμβόλαια Cyber Insurance  έχουν σχεδιαστεί για να καλύπτουν τα κενά που αφήνουν τα παραδοσιακά ασφαλιστήρια συμβόλαια για άυλους κινδύνους και, εκτός από την ομαλή συνέχιση των εργασιών μια επιχείρησης προσφέρουν πρόσβαση σε ειδικούς στην διαχείριση περιστατικών παραβίασης ασφάλειας οι οποίοι θα βοηθήσουν την επιχείρηση να αντιμετωπίσει αποτελεσματικά τις συνέπειες μειώνοντας τις οικονομικές ζημιές και προστατεύοντας την εταιρική φήμη.

Ο ρόλος του ασφαλιστικού διαμεσολαβητή

Στόχος του ασφαλιστικού διαμεσολαβητή που θέλει να προσφέρει μια υπηρεσία προστιθέμενης αξίας είναι η εκπαίδευση του υποψήφιου πελάτη στην κατανόηση των κυβερνοκινδύνων που απειλούν την επιχείριση του και η παρουσίαση των δυνατοτήτων που προσφέρει στην στην αντιμετώπισή τους η χρήση ενός ασφαλιστηρίου Cyber Insurance. 

Οι Προτάσεις Ασφάλισης που χρησιμοποιούν οι ασφαλιστικές εταιρίες για τον έλεγχο της δυνατότητας ασφάλισης είναι ένα εργαλείο διάγνωσης των τεχνικών και οργανωτικών μέτρων που έχει υλοποίησει μια εταιρία για την αντιμετώπιση και διαχείριση των κυβερνοκινδύνων. Ο ασφαλιστικός διαμεσολαβητής με την χρήση της πρότασης ασφάλισης μπορεί να ενημερώσει τον υποψήφιο πελάτη για τυχόν κενά που υπάρχουν (σύμφωνα με τις απαντήσεις που έχει δώσει ο υποψήφιος στην Πρόταση που έχει συμπληρώσει). Ο ασφαλιστικός διαμεσολαβητής θα παρουσίασει στον υποψήφιο πελάτη τις δυνατότητες που του προσφέρει ενα ασφαλιστήριο Cyber Insurance τόσο στην κάλυψη των οικονομικών συνεπειών που μπορεί να έχει μια επιχείρηση όσο και στην δυνατότητα πρόσβασης που έχει σε εξειδικευμένους στην διαχείριση περιστατικών παραβίασης ασφάλειας παρόχους οι οποίοι θα βοηθήσουν την επιχείρηση να αντιμετωπίσει αποτελεσματικά τις συνέπειές τους. 

Το μεγαλύτερο πρόβλημα για την αγορά ασφάλισης Cyber Insurance είναι η έλλειψη γνώσης των κινδύνων και η κατανόηση των δυνατοτήτων που προσφέρει ενα ασφαλιστήριο, αυτό το πρόβλημα καλείται να λύσει ο ασφαλιστικός διαμεσολαβητής με την εκπαίδευση των υποψήφιων πελατών του.  

 

Νίκος Γεωργόπουλος |MBA| CCRS |CNCSE| CyRM |DPO Executive | Co-Founder of DPO Academy|

Cyber, Tech, Information Risks Insurance Broker – Cromar Insurance Brokers SA

www.cyberinsurancegreece.com

LinkedIn Profile https://www.linkedin.com/in/nikos-georgopoulos/

 

Ο Νίκος Γεωργόπουλος, βοηθά τις επιχειρήσεις να κατανοήσουν, να διαχειριστούν και να ασφαλίσουν τους κινδύνους που σχετίζονται με την διαχείριση περιστατικών παραβίασης ασφάλειας και τις ευθύνες που προκύπτουν από την επαγγελματική τους δραστηριότητα. Εξειδικεύεται στις ασφαλίσεις εταιριών τεχνολογίας. 

Είναι συνιδρυτής και διαπιστευμένος εκπαιδευτής της DPO Academy, του πρώτου φορέα στην Ελλάδα που ξεκίνησε να προσφέρει εκπαίδευση και εξειδικευμένη τεχνογνωσία στους Data Protection Officers σε θέματα του GDPR και της Ασφάλειας Πληροφοριών.

Ο Νίκος Γεωργόπουλος είναι απόφοιτος του ALBA Graduate Business School και του Τμήματος Φυσικής του Πανεπιστημίου Πάτρας. Επίσης είναι κατέχει Πιστοποιητικά Επιμόρφωσης σε θέματα Cyber Risk, Cyber Security & Digital Marketing.

Διαθέτει πολυετή εμπειρία στο χρηματοοικονομικό τομέα, είναι μέλος του International Association of Privacy Professionals (Ιapp), του (ISC)2 Hellenic Chapter,  πιστοποιημένος Cyber Insurance Risk Manager (cyRM) και Μεσίτης Ασφαλειών.