Οι διαδικτυακές επιθέσεις στον τομέα των ασφαλίσεων αυξάνονται εκθετικά καθώς οι ασφαλιστικές εταιρίες αρχίζουν να χρησιμοποιούν όλο και περισσότερο τα ψηφιακά κανάλια ώστε να δημιουργήσουν στενότερες πελατειακές σχέσεις, να προσφέρουν νέα προϊόντα και να επεκτείνουν το μερίδιο τους στα οικονομικά χαρτοφυλάκια των πελατών τους. Αυτή η μετατόπιση αυξάνει τις επενδύσεις σε παραδοσιακά πληροφοριακά συστήματα (π.χ , συστήματα συμβολαίων και αποζημιώσεων) καθώς και σε πλατφόρμες υψηλού βαθμού ολοκλήρωσης όπως portals ασφαλιστικών εταιριών, online εφαρμογές συμβολαίων και εφαρμογές κινητών τηλεφώνων για υποβολή αποζημιώσεων. Αν και αυτές οι ψηφιακές επενδύσεις παρέχουν νέες στρατηγικές δυνατότητες, παρουσιάζουν και νέους διαδικτυακούς κινδύνους, ειδικά σε εταιρίες που έχουν μικρή εμπειρία στην αντιμετώπιση προκλήσεων σε τέτοια περιβάλλοντα. Επιπλέον, οι προκλήσεις αυτές πιθανώς να γίνουν πιο περίπλοκες δεδομένου ότι οι Ασφαλιστικές Εταιρείες εξοικειώνονται με big data και advanced analytics που απαιτούν τη συλλογή και το χειρισμό τεραστίων ποσοτήτων πληροφοριών. Καθώς οι Ασφαλιστικές Εταιρίες βρίσκουν νέους και καινοτόμους τρόπους για ανάλυση δεδομένων, πρέπει επίσης να βρουν τρόπους να προστατεύσουν τα δεδομένα από διαδικτυακές επιθέσεις.
Οι “εγκληματίες” του διαδικτύου έχουν αρχίσει να καταλαβαίνουν ότι οι Ασφαλιστικές Εταιρείες κατέχουν μεγάλες ποσότητες προσωπικών πληροφοριών των πελατών τους, οι οποίες είναι πολύ ελκυστικές για εκμετάλευση προσωπικών δεδομένων. Σε μερικές περιπτώσεις, οι ασφαλιστικές εταιρίες κατέχουν σημαντικά στοιχεία πληρωμής και πιστωτικών καρτών. Ωστόσο, υπάρχει τουλάχιστον μια περίπτωση στον τομέα των ασφαλίσεων όπου τα θύματα της ηλεκτρονικής επίθεσης δεν είχαν ακόμα πελάτες που να έχουν πληρώσει, αλλά απλά καταναλωτές οι οποίοι είχαν ζητήσει προσφορές. (περίπτωση #1)
Οι διαδικτυακοί “εγκληματίες” που στοχεύουν ασφαλιστικές εταιρίες συχνά έχουν σημαντικούς πόρους. Αυτό τους επιτρέπει να σχεδιάζουν εξελιγμένες επιθέσεις που συνδυάζουν προηγμένο λογισμικό με άλλες τεχνικές όπως social engineering. (περίπτωση #2)
Επιθέσεις σε ασφαλιστικές εταιρίες μπορούν να οδηγήσουν σε σημαντικές ζημιές όπως πρόστιμα, νομικά έξοδα, αγωγές και κόστη προστασίας από απάτες. Ωστόσο, μια λιγότερη προφανής, αλλά εξίσου σημαντική επίπτωση μπορεί να είναι η απώλεια εμπιστοσύνης, που προέρχεται από την ανησυχία των πελατών για το αν τα δεδομένα τους είναι πραγματικά ασφαλή. (περίπτωση #3) Δεδομένου ότι η αγορά της ασφάλισης κινείται με βάση την εμπιστοσύνη, μια μεγάλη παραβίαση μπορεί να έχει μια πολύ σημαντική επίδραση στο όνομα της ασφαλιστικής εταιρίας και στην αξία της στην αγορά.
Αξίζει να σημειωθεί πως οι περισσότερες παραβιάσεις που έχουν αναφερθεί από ασφαλιστικές εταιρίες έως τώρα έχουν χαρακτηριστεί ως βραχυπρόθεσμες επιθέσεις, με διαδικτυακούς “εγκληματίες” να επιτίθενται σε ένα σύστημα, να κλέβουν συγκεκριμένες πληροφορίες και στη συνέχεια να προχωράνε γρήγορα στην επόμενη επίθεση. Στην πραγματικότητα, η έρευνά μας δεν εντόπισε καμία τεκμηριωμένη περίπτωση μακροχρόνιας ηλεκτρονικής επίθεσης στον ασφαλιστικό κλάδο. Παρ’ όλα αυτά πιστεύουμε πως ο αριθμός των μακροχρόνιων επιθέσεων μπορεί να αυξάνεται σιωπηλά καθώς οι χάκερς συχνά ξεφεύγουν απαρατήρητοι και δημιουργούν μια επίμονη, συνεχή παρουσία σε σημαντικά περιβάλλοντα πληροφορικής.
Τα τελευταία χρόνια, πολλές ασφαλιστικές εταιρίες έχουν επενδύσει πολλά χρήματα σε προστασία και διαδικασίες που μπορεί να παρέχουν μια ψευδή αίσθηση ασφάλειας. Καθώς οι διαδικτυακοί εγκληματίες μαθαίνουν να αξιοποιούν την κρυπτογράφηση και άλλες προηγμένες τεχνικές επίθεσης, οι παραδοσιακές μέθοδοι προστασίας όπως firewalls, λογισμικά antivirus, συστήματα ανίχνευσης εισβολών (IDS) και συστήματα πρόληψης εισβολών (IPS) είναι λιγότερο αποτελεσματικά. Ως αποτέλεσμα, πολλές ασφαλιστικές εταιρίες μπορεί να κατανέμουν λάθος τους περιορισμένους πόρους τους για την αντιμετώπιση απειλών που αναγνωρίζονται εύκολα ενώ ταυτόχρονα αγνοούν τελείως μακροπρόθεσμες απειλές που μπορεί τελικά να είναι πιο επιζήμιες.
1. Οι χάκερς κλέβουν προσωπικά δεδομένα πελατών – και δυνητικών πελατών
Οργανισμός:
Μεγάλος οργανισμός σημαντικών ασφαλιστικών εταιριών και εταιριών παροχής χρηματοοικονομικών υπηρεσιών
Σενάριο:
Διαδικτυακοί εγκληματίες παραβίασαν τη βάση δεδομένων της εταιρίας και έκλεψαν πληροφορίες για περισσότερους από ένα εκατομμύριο πελάτες και μελλοντικούς πελάτες, συμπεριλαμβανομένων στοιχείων αδειών οδήγησης και αριθμούς κοινωνικής ασφάλισης.
Οι χάκερς και το κίνητρό τους:
Οι διαδικτυακοί εγκληματίες κυνηγούσαν προσωπικές πληροφορίες προκειμένου να τις πουλήσουν στη μαύρη αγορά.
Οι τεχνικές που χρησιμοποιούσαν:
Μέρος του δικτύου που χρησιμοποιούσαν τα μέλη του οργανισμού παραβιάστηκε από τους διαδικτυακούς εγκληματίες από όπου και έκλεψαν στοιχεία πελατών.
Επιπτώσεις στην επιχείρηση:
Ο οργανισμός ήταν υποχρεωμένος να παρέχει στους πελάτες των οποίων κλάπηκαν τα στοιχεία δωρεάν παρακολούθηση για ένα χρόνο, και να δώσει αποζημιώσεις για τις παραβιάσεις. Εκτός από τα χρηματικά κόστη, τα οποία ήταν σημαντικά, ο οργανισμός υπέστη σημαντικές ζημιές από απώλεια εμπιστοσύνης.
2. Ακόμα και μικρές παραβιάσεις μπορούν να έχουν σημαντικές επιπτώσεις και απαιτούν διορθωτικές ενέργειες
Οργανισμός:
Μια πολύ μεγάλη επενδυτική και ασφαλιστική εταιρία
Σενάριο:
Η επίθεση έγινε σε εργαζόμενους της εταιρίας με αποστολή e-mail που περιείχαν κακόβουλο λογισμικό το οποίο μπορούσε να κρατήσει εμπιστευτικά δεδομένα, όπως αριθμούς τραπεζικών λογαριασμών, αριθμούς κοινωνικής ασφάλισης, λογαριασμούς χρηστών, κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών. Οι χάκερς χρησιμοποιούσαν αυτές τις πληροφορίες για να έχουν πρόσβαση σε διάφορους servers, ακόμα και σε servers που χρησιμοποιούσαν οι εργαζόμενοι για να έχουν πρόσβαση στα πληροφοριακά συστήματα της εταιρίας.
Οι χάκερς και το κίνητρό τους:
Οι χάκερς απέσπασαν στοιχεία από λογαριασμούς online banking προκειμένου να διαπράξουν οικονομικές απάτες.
Οι τεχνικές που χρησιμοποιούσαν:
Η επίθεση έγινε σε εργαζόμενους της εταιρίας με αποστολή e-mail που περιείχαν κακόβουλο λογισμικό το οποίο μπορούσε να κρατήσει εμπιστευτικά δεδομένα, όπως αριθμούς τραπεζικών λογαριασμών, αριθμούς κοινωνικής ασφάλισης, λογαριασμούς χρηστών, κωδικούς πρόσβασης και αριθμούς πιστωτικών καρτών.
Επιπτώσεις στην επιχείρηση:
Παρά το γεγονός ότι η επίθεση έγινε σε μικρό αριθμό εργαζομένων, και σε ακόμα λιγότερους πελάτες, τράβηξε το ενδιαφέρον των ΜΜΕ και κατέστρεψε τη φήμη της εταιρίας.
3. Ασφαλιστική εταιρία-θύμα κατηγορείται πως δεν αντέδρασε άμεσα
Οργανισμός:
Μια εταιρία ασφαλιστικών και χρηματοπιστωτικών εταιριών που ειδικεύεται στην εξυπηρέτηση ηλικιωμένων.
Σενάριο:
Οι χάκερς εκμεταλλεύτηκαν ευάλωτο λογισμικό στους server εταιριών και έκλεψαν στοιχεία πιστωτικών καρτών από περισσότερους από 93.000 πελατών, συμπεριλαμβανομένων ονομάτων, διευθύνσεων και μη-κρυπτογραφημένους κωδικούς ασφαλείας καρτών.
Οι χάκερς και το κίνητρό τους:
Οι διαδικτυακοί εγκληματίες κυνηγούσαν στοιχεία πιστωτικών καρτών για να τα πουλήσουν στη μαύρη αγορά και να διαπράξουν παράνομες συναλλαγές.
Οι τεχνικές που χρησιμοποιούσαν:
Εντοπίστηκαν τα ευάλωτα σημεία στο σύστημα και στο λογισμικό της εταιρίας και έτσι οι εγκληματίες απέκτησαν πρόσβαση σε πληροφορίες καρτών πληρωμής.
Επιπτώσεις στην επιχείρηση:
Η εταιρία αφαίρεσε αμέσως τα ευάλωτα στοιχεία στο σύστημά της και αναγκάστηκε να δώσει επίσημη απολογία. Επίσης πρόσφερε δωρεάν παρακολούθηση έναντι σε απάτες στους πελάτες που έπεσαν θύματα των εγκληματιών. Ωστόσο η εταιρία έχει επικριθεί έντονα για τη χρήση μη-κρυπτογραφημένων κωδικών ασφαλείας, κάτι το οποίο είναι θέμα μη-συμμόρφωσης σύμφωνα με το Payment Card Industry Data Security Standard (PCI DSS), και για το γεγονός ότι δεν ανέφερε τη παραβίαση στους πελάτες της νωρίτερα.
Συνοψίζοντας, είναι σημαντικό να τονίσουμε για ακόμη μια φορά την καταλυτική σημασία της τεχνολογίας στην καθημερινότητα μας. Τα παραπάνω παραδείγματα προς αποφυγή είναι μια καλή ευκαιρία να προβληματιστούμε όχι για την ένταξη της τεχνολογίας στις καθημερινές μας δραστηριότητές αλλά για τη σωστή χρήση της στις λειτουργίες μιας εταιρίας. Χρησιμοποιώντας σωστά τη τεχνολογία μειώνουμε το κόστος και αυξάνουμε την αποτελεσματικότητα. Επίσης απ’ότι φαίνετε οι ηλεκτρονικοί “εγκληματίες” ενδιαφέρονται περισσότερο για τις προσωπικές πληροφορίες που συλλέγει μια Ασφαλιστική εταιρία παρά για τα στοιχεία πιστωτικών καρτών. Όποια και να είναι τα κίνητρα τους, το πλήγμα στη φερεγγυότητα της εταιρείας – ειδικά στις μέρες μας που τα νέα διαδίδονται τόσο γρήγορα – μπορεί να δημιουργήσει πολλά προβλήματα σε όλες τις λειτουργίες της και ακόμα περισσότερο στην εμπιστοσύνη του καταναλωτή.
*Έρευνα της Deloitte για τις Διαδικτυακές Επιθέσεις στην Παγκόσμια Ασφαλιστική Αγορά.