Η προστασία μιας εταιρείας από τον λεγόμενο διαδικτυακό κίνδυνο το 2024 αποτελεί έναν από τους πιο καίριους σταθμούς υλοποίησης μιας μακρόπνοης στρατηγικής, που στόχο έχει τη μελλοντική της βιωσιμότητα και πρωτοπορία. Η πρόοδος της τεχνολογίας και της ΑΙ έχει καταστήσει όλο και πιο περίπλοκη τη δημιουργία και τη συνεχή ενημέρωση ενός πλέγματος προστασίας προς όφελος των επιχειρήσεων, γεγονός που έχει θορυβήσει αλλά και θέσει σε μηχανισμούς εγρήγορσης τα διοικητικά συμβούλια ακόμη και μεγάλων ομίλων της Ελλάδας και του εξωτερικού.
του Χρήστου Γαβαλά (Αναδημοσίευση από τον ΟΔΗΓΟ ΑΣΦΑΛΙΣΗΣ της ΚΑΘΗΜΕΡΙΝΗΣ που κυκλοφόρησε στις 24/11/2024)
Οι ασφαλιστικές δεν θα μπορούσαν παρά να αποτελούν κύριο εκφραστή αυτής της τάσης, ως οντότητες που καλούνται να προστατεύσουν τους πελάτες τους, αλλά και επειδή είναι εξίσου ευάλωτες σε κυβερνοεπιθέσεις παντός είδους. Πώς μπορεί αυτό το πρόβλημα από τη μία να αποτυπωθεί και από την άλλη να τεθεί σε τροχιά, αν όχι πλήρους επίλυσης, τουλάχιστον ελέγχου; Σίγουρα βοηθητική και καταλυτική ως προς αυτή την κατεύθυνση είναι η σύναψη ασφαλιστηρίου συμβολαίου με προδιαγραφές κάλυψης cyber. Και αυτό διότι παροχές όπως η φυσική καταστροφή δεδομένων, η καταστροφή τους λόγω hacking, η διακοπή εργασιών λόγω συμβάντων παραβίασης συστημάτων, αλλά ακόμη και η απώλεια εταιρικών πληροφοριών ή η μετάδοση ιών (ως αστική ευθύνη έναντι τρίτων), μόνο σε τέτοιου είδους συμβόλαια μπορούν να αποζημιωθούν ξεκάθαρα. Σε συμβόλαια περιουσίας, αστικής ευθύνης και απώλειας χρημάτων, είτε δεν καλύπτονται καθόλου είτε μόνο ενδεχομένως.
Ποιοι αγοράζουν ασφάλιση cyber
Οι κυριότεροι κλάδοι που αγοράζουν ασφάλιση cyber στην Ελλάδα είναι οι χρηματοοικονομικές υπηρεσίες, δηλαδή οι τράπεζες και τα χρηματοπιστωτικά ιδρύματα, που αποτελούν και πρωταρχικούς στόχους κυβερνοεπιθέσεων και, ως εκ τούτου, δίνουν προτεραιότητα σε ισχυρά μέτρα κυβερνοασφάλειας. Παράλληλα, συναντάμε και κλάδους υγειονομικής περίθαλψης, καθώς με τα ευαίσθητα δεδομένα των ασθενών να βρίσκονται σε κίνδυνο, οι πάροχοι υγειονομικής περίθαλψης επενδύουν όλο και περισσότερο στην ασφάλιση στον κυβερνοχώρο. Αλλά και οι τηλεπικοινωνίες, ως πάροχοι κρίσιμων υποδομών, εστιάζουν σε μεγάλο βαθμό στην ασφάλεια στον κυβερνοχώρο. Επιπρόσθετα, εκτός από τους παραπάνω κλάδους, ασφάλιση αγοράζουν εταιρείες που συμμετέχουν σε έργα στα οποία η κατοχή της είναι αναγκαία για τη συμμετοχή τους σε αυτά. Επικοινωνήσαμε με τον κ. Νίκο Γεωργόπουλο, Digital Risks Insurance Broker στην Cromar Insurance Brokers SA και Co-Founder της DPO Academy, ένα στέλεχος με μεγάλη εμπειρία στη διαχείριση περιστατικών cyber στον ασφαλιστικό χώρο.
Προσεγγίζει μάλιστα με διορατικότητα τη συζήτηση όχι μόνο σχετικά με τη σημαντικότητα αυτής καθ’ εαυτήν της ασφάλισης cyber (κάτι σχετικά πλέον αυταπόδεικτο), αλλά και σχετικά με το πώς οι σημερινές εξελίξεις μπορούν να επηρεάσουν τη μελλοντική δυναμική της ασφαλιστικής βιομηχανίας. Μας εξήγησε ότι για τη σωστή συμμόρφωση με τους κανονισμούς (NIS2, GDPR, DORA) και τις οδηγίες που αυτοί απαιτούν, οι εταιρείες υποχρεώνονται πλέον να εφαρμόσουν αυστηρά πρότυπα κυβερνοασφάλειας. «Η εφαρμογή των μέτρων ασφαλείας που απορρέουν από τη συμμόρφωση διασφαλίζει ότι οι ασφαλισμένοι είναι ασφαλίσιμοι», τονίζει. Αυτή ακριβώς είναι και μία εκ των πλέον βασικών ανησυχιών που διέπουν τους risk managers, σύμφωνα με νέα μελέτη της FERMA (Ομοσπονδία Ευρωπαϊκών Συνδέσμων Διαχείρισης Κινδύνων) σε συνεργασία με την PwC, η οποία είδε πολύ πρόσφατα το φως της δημοσιότητας. Το 53% των ερωτηθέντων εκτιμά πως επιχειρηματικές δραστηριότητες- κλειδιά και τοποθεσίες θα είναι μη ασφαλίσιμες στο μέλλον – ένα ποσοστό που βρισκόταν στο 41% δύο χρόνια νωρίτερα. Προσδιορίζοντας μάλιστα περαιτέρω τις πηγές κινδύνων που πιθανώς θα είναι μη ασφαλίσιμοι, οι διευθυντές επέλεξαν σε ποσοστό 73% τις φυσικές καταστροφές και την κλιματική αλλαγή και αμέσως μετά, σε ποσοστό 55%, τις κυβερνοεπιθέσεις. Άκρως αναμενόμενο σε αυτό το κλίμα το ότι δεν έχει συμπληρωθεί ούτε μήνας που το ελληνικό Υπουργείο Ψηφιακής Διακυβέρνησης έθεσε σε δημόσια ηλεκτρονική διαβούλευση το σχέδιο νόμου για την ενσωμάτωση της ευρωπαϊκής οδηγίας (ΕΕ) 2022/2555, γνωστής ως οδηγίας NIS 2, που αφορά μέτρα για την ενίσχυση της κυβερνοασφάλειας σε ολόκληρη την Ευρωπαϊκή Ένωση, στην ελληνική νομοθεσία.
Ουσιαστικά, οι ασφαλιστικές αποζητούν κρίσιμες δικλίδες που θα πιστοποιούν τη δυνατότητα της εκάστοτε εταιρείας να προστατεύεται αποτελεσματικά από κινδύνους στον κυβερνοχώρο και έτσι να θεωρείται καλή επένδυση ασφαλιστικά. Σύμφωνα με τον κ. Γεωργόπουλο, η συνεργασία ασφαλιστικών και εταιρειών κυβερνοασφάλειας είναι απαραίτητη, καθώς οι δεύτερες παρέχουν εμπειρογνωμοσύνη στον εντοπισμό των ευπαθειών και στην αξιολόγηση των κινδύνων, γεγονός που βοηθά τους ασφαλιστές να αναλάβουν κινδύνους που πληρούν τις προϋποθέσεις ασφάλισης που ζητούν, ενώ παράλληλα σε περίπτωση περιστατικών παραβίασης ασφάλειας, «οι εταιρείες κυβερνοασφάλειας προσφέρουν υπηρεσίες αντιμετώπισης περιστατικών οι οποίες βοηθούν τους ασφαλιστές να ελαχιστοποιούν τις ζημίες και να περιορίζουν τον χρόνο αποκατάστασης». Οι ασφαλιστικές εταιρείες, ωστόσο, δεν χορηγούν μόνο συμβόλαια σε εξωτερικούς πελάτες. Χρειάζεται και οι ίδιες να θωρακιστούν έναντι τέτοιων κινδύνων.
H αύξηση επιθέσεων έφερε αύξηση ζήτησης για ασφάλιση
Ποιες όμως είναι οι προοπτικές ανάπτυξης της ασφάλισης στον κυβερνοχώρο στην Ελλάδα και παγκοσμίως; Σε παγκόσμιο επίπεδο, εκτιμά ο κ. Γεωργόπουλος, η αγορά ασφάλισης στον κυβερνοχώρο αναμένεται να συνεχίσει να αναπτύσσεται με διπλάσιους ρυθμούς. «Η αύξηση των επιθέσεων ransomware έχει αυξήσει σοβαρά τη ζήτηση για ασφαλιστήρια συμβόλαια cyber insurance. Οι εταιρείες αναζητούν κάλυψη όχι μόνο για περιστατικά παραβιάσεων ασφάλειας που οδηγούν σε απώλεια δεδομένων, αλλά και για έξοδα διακοπής εργασιών και κυβερνοεκβιασμού», επισημαίνει. Και συνεχίζει: «Οι απαιτήσεις συμμόρφωσης στις οδηγίες και στους κανονισμούς (GDPR, NIS2, DORA κ.λπ.) ωθούν τις επιχειρήσεις και τους οργανισμούς να επενδύσουν στην ασφάλιση cyber, για να αυξήσουν το ποσοστό διαχειρισιμότητας του κινδύνου και να αντιμετωπίσουν τις οικονομικές επιπτώσεις ενός περιστατικού παραβίασης ασφάλειας. Ο ψηφιακός μετασχηματισμός, η ανάπτυξη της τεχνητής νοημοσύνης και ο πολλαπλασιασμός των συσκευών του Διαδικτύου των Πραγμάτων (IoT) θα ενισχύσουν περαιτέρω τη ζήτηση για ασφάλιση στον κυβερνοχώρο».
Πιο συγκεκριμένα, το 2023, η παγκόσμια αγορά ασφαλίσεων στον κυβερνοχώρο αποτιμήθηκε σε περίπου 16,66 δισ. δολάρια και αναμένεται να φτάσει στα 120,47 δισ. δολάρια έως το 2032, αυξανόμενη με μέσο ετήσιο ρυθμό ανάπτυξης της τάξεως του 24,5%. Στην Ελλάδα, από την άλλη, τα πράγματα δείχνουν πιο ήπια –με σαφή τάση ανόδου– καθώς, σύμφωνα με τα στοιχεία της Ένωσης Ασφαλιστικών Εταιρειών Ελλάδος, το 2023 τα ενεργά εταιρικά συμβόλαια cyber insurance ήταν 1.446, με μόλις 26 ζημίες να έχουν δηλωθεί (όλα εμπορικών πελατών). Πληρώθηκαν συνολικά 50.830 ευρώ, με απόθεμα εκκρεμών ζημιών στις 565.657 ευρώ. Μάλιστα, είναι χαρακτηριστικό ότι το 74% των καλύψεων αφορούσε ποσά έως 500.000 ευρώ, όχι παραπάνω. Η τάση ανόδου, πάντως, πιστοποιείται από το γεγονός ότι τα αντίστοιχα στοιχεία που δημοσιεύτηκαν το 2022 ανέφεραν μόλις 927 συμβόλαια, κάτι που σημαίνει ότι η ετήσια αύξηση ήταν της τάξης του 36%. Είναι προφανές βέβαια ότι ακόμη δεν έχει παγιωθεί πλήρως ο ρόλος των ασφαλιστικών ως κύριων θεματοφυλάκων της ασφάλειας των επιχειρήσεων στον κυβερνοχώρο και πως ένα μέρος του κενού καλύπτεται από τις ελληνικές τράπεζες, οι οποίες προσφέρουν ήδη ασφάλιση cyber κινδύνων, αλλά και από την ασφαλιστική διαμεσολάβηση της Cromar ή της Howden Hellas. Από την άλλη, οι σημερινές συνθήκες στην αγορά ασφάλισης για κινδύνους κυβερνοχώρου όχι μόνο επιβάλλουν πολύ αυστηρά κριτήρια για την ανάληψη των κινδύνων, αλλά και αυξάνουν σημαντικά το κόστος των ασφαλίστρων. Και αυτό γιατί η ραγδαία αύξηση στις επιθέσεις ransomware, καθώς και σε άλλες μορφές παραβιάσεων και επιθέσεων, ανεβάζει το κόστος των αποζημιώσεων.
Ευκαιρία η Ευρώπη να ηγηθεί στην κυβερνοανθεκτικότητα
Παράλληλα, γίνεται όλο και περισσότερο εμφανές ότι οι συμπράξεις δημόσιου – ιδιωτικού τομέα είναι απαραίτητες για την αντιμετώπιση της πολυπλοκότητας και της κλίμακας των κυβερνοαπειλών. Ιδιαίτερα σε τομείς όπως ο κυβερνοπόλεμος και οι συστημικοί κίνδυνοι, που μπορούν να προκαλέσουν ευρείας κλίμακας διαταραχές, οι ασφαλιστικές δεν φαίνεται να μπορούν να αναλάβουν εξ ολοκλήρου το ρίσκο. Έτσι, η μελέτη της Ομοσπονδίας Ευρωπαϊκών Συνδέσμων Διαχείρισης Κινδύνων, που έγινε πέρυσι με τη συνδρομή ευρωπαϊκών ασφαλιστών και αντασφαλιστών με ορίζοντα τη φετινή χρονιά, έφερνε ξεκάθαρα στην επιφάνεια την ανάγκη στενότερης συνεργασίας δημόσιου και ιδιωτικού τομέα, προκειμένου να αναπτυχθούν λύσεις που εξισορροπούν τα συμφέροντα ασφαλιστικών και επιχειρήσεων.
Επισημάνθηκε πως η Ευρώπη έχει μια μοναδική ευκαιρία να ηγηθεί της παγκόσμιας προόδου στην κυβερνοανθεκτικότητα, χάρη στο ισχυρό ρυθμιστικό της πλαίσιο και στην ταχέως αναπτυσσόμενη αγορά ασφάλισης κυβερνοχώρου, ενώ προτάθηκε η ανάπτυξη κοινών προτύπων ασφαλείας στον κυβερνοχώρο, ειδικά για τις μικρομεσαίες επιχειρήσεις, οι οποίες είναι πιο ευάλωτες λόγω της έλλειψης πόρων, ώστε η Ευρώπη να ηγηθεί της αντιμετώπισης των κινδύνων εκείνων που δεν μπορούν να καλυφθούν από την ιδιωτική ασφαλιστική αγορά. Η συνεργασία αυτή θεωρείται επίσης σημαντική για τη διαχείριση συστημικών κινδύνων, όπως οι επιθέσεις σε κρίσιμους εθνικούς τομείς, για παράδειγμα στην εθνική άμυνα, ή σε ολόκληρους κλάδους, με τις κυβερνήσεις να καλούνται να συμβάλουν σε πρωτοβουλίες κοινής κατανομής κινδύνου, όπως τα λεγόμενα «government backstops», τα οποία θα βοηθήσουν τις ασφαλιστικές να καλύψουν μεγάλες απώλειες και να διασφαλίσουν τη βιωσιμότητα της αγοράς.
Υπογραμμίζεται, δε, και η σημασία της ανταλλαγής δεδομένων και της συνεργασίας μεταξύ κυβερνήσεων, ασφαλιστικών και επιχειρήσεων για την οικοδόμηση ανθεκτικότητας και τη βελτίωση των πρακτικών ανάληψης κινδύνων, κάτι που εκτιμάται ότι θα συμβάλει στην ανάπτυξη πιο στοχευμένων ασφαλιστικών προϊόντων, ακόμη και σε χώρες όπως η Ελλάδα, όπου φαίνεται πως η αγορά βρίσκεται σε πρώιμο στάδιο. •
