Οι επενδύσεις ενός οργανισμού στην ασφάλεια πληροφοριακών συστημάτων για την ενίσχυση της άμυνας έναντι των ηλεκτρονικών και διαδικτυακών κινδύνων, μπορεί να δημιουργήσει μια ψευδή αίσθηση ασφάλειας.
Των Καθηγητή Κωνσταντίνου Ζοπουνίδη, Πολυτεχνείο Κρήτης, Ακαδημαϊκού, Βασιλική Ακαδημία Οικονομικών και Χρηματοοικονομικών, Ακαδημαϊκού, Βασιλική Ευρωπαϊκή Ακαδημία των Διδακτόρων – Distinguished Research Professor, Audencia Business School (EQUIS, AMBA, AACSB), France & Επίκουρου Καθηγητή Ευστράτιου Λιβάνη, Πανεπιστήμιο Μακεδονίας, Νευρωνικά Συστήματα με έμφαση στις Χρηματοοικονομικές Καταστάσεις, Τμήμα Λογιστικής και Χρηματοοικονομικής
Τα τελευταία χρόνια αρκετά περιστατικά παραβίασης έχουν δείξει ότι όσα χρήματα και αν έχει επενδύσει ένας οργανισμός για τη διαδικτυακή ασφάλεια, ακόμα και αν έχει αναπτύξει κάποιο σχέδιο πρόληψης και αντιμετώπισης ενός συμβάντος, είναι πολύ πιθανό να παραμένει κάποιο κενό στη διαδικτυακή ασφάλεια και στην προστασία της ιδιωτικότητας. Η συνειδητοποίηση λοιπόν από την πλευρά της διοίκησης ενός οργανισμού ότι κάποιοι από αυτούς τους κινδύνους δεν μπορούν να εξαλειφθούν, τους στρέφει στη χρήση ενός εργαλείου για το μετριασμό των χρηματοοικονομικών και μη επιπτώσεων ενός περιστατικού παραβίασης. Το εργαλείο αυτό είναι η ασφάλιση διαδικτυακών κινδύνων.
Η ασφάλιση διαδικτυακών κινδύνων αποτελεί μια αναδυόμενη αγορά η οποία χαρακτηρίζεται από σημαντική διαφοροποίηση τόσο των καλύψεων όσο και των ασφαλίστρων από εταιρεία σε εταιρεία. Το γεγονός αυτό οφείλεται σε σημαντικό βαθμό στις διαφορές που υπάρχουν όσον αφορά τον τρόπο αξιολόγησης από την πλευρά των ασφαλιστών των διαδικτυακών κινδύνων που αντιμετωπίζει ο κάθε ασφαλισμένος.
Ιστορική αναδρομή
H σημερινή ασφάλιση διαδικτυακών κινδύνων έχει τις ρίζες της στην ασφάλιση λαθών και παραλείψεων. Στα τέλη της δεκαετίας του ’90 άρχισαν να προσφέρονται ασφάλειες για λάθη και παραλείψεις σε σχέση με την αναδυόμενη και διαρκώς εξελισσόμενη αγορά της πληροφορικής. Ωστόσο περιορίζονταν σε αποτυχίες ασφαλείας των πληροφοριακών συστημάτων του ασφαλισμένου και κάλυπταν μόνο απαιτήσεις τρίτων για περιστατικά παραβίασης προερχόμενα από φορείς εκτός του οργανισμού. Στις ΗΠΑ εξελίχθηκε σε προϊόν μετά τα μέσα της δεκαετίας του ’90. Συγκεκριμένα το πρώτο ασφαλιστικό προϊόν αυτής της μορφής δημιουργήθηκε από τον Steve Haase της AIG το 1997.
Το 1999 η ανησυχία για τον “ιό του 2000” (Y2K) συνέβαλε στο να εστιάσει η αγορά στους τεχνολογικούς κινδύνους και να αρχίσει να γίνεται αντιληπτή η περιορισμένη προστασία που παρέχονταν από τα παραδοσιακά ασφαλιστικά προϊόντα. Ακολούθησε η εποχή των “dot-com” και πλέον από τις αρχές του 2000 αρχίζει ουσιαστικά η πρώτη φάση ανάπτυξης της ασφάλισης διαδικτυακών κινδύνων. Αυτήν τη δεκαετία έχουμε την εμφάνιση ασφαλιστικών προϊόντων πιο κοντά στα σημερινά είδη ασφάλισης διαδικτυακών κινδύνων με την κάλυψη απαιτήσεων ασφαλισμένου αλλά και κάλυψη απαιτήσεων έναντι τρίτων.
Στην περαιτέρω ανάπτυξη της συγκεκριμένης ασφαλιστικής αγοράς συνέβαλε η ψήφιση νόμων ή/και η έκδοση κανονιστικών αποφάσεων σχετικά με την παραβίαση δεδομένων αλλά και τα ολοένα αυξανόμενα περιστατικά παραβίασης.
Προβλήματα προσδιορισμού ασφαλίστρου
Καθώς δεν υπάρχει ακόμα κάποια κοινά αποδεκτή μεθοδολογία για την αξιολόγηση του προφίλ κινδύνου ενός οργανισμού στον κυβερνοχώρο τόσο οι ασφαλιστικές εταιρείες όσο και οι ίδιοι οργανισμοί μπορεί να υποεκτιμήσουν ή να υπερεκτιμήσουν αυτό τον κίνδυνο. Και οι δύο αυτές περιπτώσεις μπορεί να είναι καταστροφικές τόσο για τους οργανισμούς όσο και για τις ασφαλιστικές εταιρείες. Αν ένας οργανισμός υποεκτιμήσει τον κίνδυνο κυβερνοχώρου δεν θα μπορέσει να προετοιμαστεί κατάλληλα και είτε δεν θα αγοράσει ασφάλιση κινδύνων κυβερνοχώρου είτε δεν θα αγοράσει την κατάλληλη ασφαλιστική κάλυψη. Υποεκτίμηση του προφίλ κινδύνου ενός οργανισμού στον κυβερνοχώρο από μια ασφαλιστική εταιρεία μπορεί να τις επιφέρει σημαντικές ζημίες στην περίπτωση παρουσίασης ενός περιστατικού παραβίασης. Από την άλλη, υπερεκτίμηση του κινδύνου κυβερνοχώρου από έναν οργανισμό θα έχει ως αποτέλεσμα την επιβάρυνση του προϋπολογισμού της με μεγαλύτερες δαπάνες από ότι χρειάζεται όπως π.χ. την πληρωμή ενός υψηλότερου τιμήματος για την ασφαλιστική κάλυψη. Για την ασφαλιστική εταιρεία υπερεκτίμηση του προφίλ κινδύνου ενός οργανισμού στον κυβερνοχώρο θα την οδηγήσει στο να τιμολογήσει υψηλότερα τις προσφερόμενες ασφαλιστικές της καλύψεις – οδηγώντας δυνητικούς πελάτες της σε ανταγωνίστριες εταιρίες – ή ακόμα να αποφύγει να προσφέρει ασφαλιστική κάλυψη.
Η ύπαρξη μιας εύρωστης ασφαλιστικής αγοράς για τους κινδύνους του κυβερνοχώρου είναι καθοριστική για την αποτελεσματική διαχείρισή τους. Ωστόσο, υπάρχουν κάποιοι παράγοντες που λειτουργούν ανασταλτικά στη διαδικασία αποδοχής ή όχι της κάλυψης κινδύνων κυβερνοχώρου, του καθορισμού της τιμής του ασφαλίστρου και του προσδιορισμού των περιπτώσεων για τις οποίες η ασφαλιστική εταιρεία καλύπτει το συγκεκριμένο κίνδυνο. Ένας από αυτούς τους παράγοντες είναι η σχετική έλλειψη αναλογιστικών δεδομένων. Βέβαια τα τελευταία χρόνια έχει αυξηθεί ο αριθμός των ερευνών που αναφέρονται σε περιστατικά παραβίασης και στο κόστος τους καθώς και ο αριθμός των ιστοσελίδων που έχουν καταγεγραμμένα περιστατικά παραβίασης. Άλλο ένα πρόβλημα για τη σωστή τιμολόγηση των ασφαλίστρων αλλά και γενικότερα για την αποτελεσματική διαχείριση των κινδύνων του κυβερνοχώρου αποτελεί η ίδια η φύση αυτών των κινδύνων. Η τεχνολογία που χρησιμοποιείται στα περιστατικά παραβίασης διαρκώς εξελίσσεται οπότε οι ασφαλιστικές εταιρείες κατά την εκτίμηση του προφίλ κινδύνου ενός οργανισμού δεν μπορούν να βασίζονται στα υπάρχοντα υποδείγματα εκτίμησης του κινδύνου και προσδιορισμού του κόστους εάν αυτά δεν επικαιροποιούνται. Δεν είναι όμως μόνο η τεχνολογική εξέλιξη που καθιστά ευμετάβλητο και απρόβλεπτο το περιβάλλον διαχείρισης αυτών των κινδύνων. Σε προηγούμενο άρθρο μας (Διαχείριση κινδύνων κυβερνοχώρου: Η νέα πρόκληση για τους CEOs και CFOs) έχει αναφερθεί ότι στους φορείς αυτών των κινδύνων είναι και τα λάθη, παραλείψεις ή κακόβουλες ενέργειες ανθρώπων που εργάζονται ή εργάζονταν στον ίδιο τον οργανισμό. Αυτός εδώ ο ανθρώπινος παράγοντας δεν μπορεί πάντοτε να προβλεφθεί ιδίως εάν ο οργανισμός δεν έχει αναπτύξει τις κατάλληλες διαδικασίες στα πλαίσια διαχείρισης των κινδύνων κυβερνοχώρου.
