Την Παρασκευή 9 Απριλίου, στο πλαίσιο του 7ου Οικονομικού Φόρουμ των Δελφών με τίτλο “New Realities”, που πραγματοποιήθηκε από τις 6 έως τις 9 Απριλίου στη πόλη των Δελφών, ο Τάσος Χαζτηθεοδοσίου, Γενικός Διευθυντής της Mega Brokers, συμμετείχε στις εργασίες του συνεδρίου στο πάνελ “Why Does Cyber Security Matter More than ever”.
Μαζί του στο πάνελ, ο Εκτελεστικός Διευθυντής του Οργανισμού Κυβερνοασφάλειας της Ευρωπαϊκής Ένωσης (ENISA) Juhan Lepassaar, ο Διευθύνων Σύμβουλος & συν-ιδρυτής της εταιρείας Obrela που ειδικεύεται σε θέματα κυβερνοασφάλειας, Γιώργος Πάτσης & η Υπεύθυνη Δημόσιας Πολιτικής & Πολιτικής Κυβερνοασφάλειας της META, Artemis Seaford.
Στην ερώτηση του συντονιστή του πάνελ, Βαγγέλη Παπακωσταντίνου, Καθηγητή Νομικής & Εγκληματολογίας στο Πανεπιστήμιο Vrije των Βρυξελλών, σχετικά με την κυβερνοασφάλεια και πως επιρεάζει τις επιχειρήσεις, ο κ. Χατζηθεοδοσίου, σχολίασε ότι:
“Αρχικά, πρέπει να προσεγγίσουμε το cyber risk ως έναν business κίνδυνο και όχι σαν έναν ΙΤ κίνδυνο. Όπως αν μια εταιρεία καταστραφεί από μια πυρκαγιά δεν μπορεί να λειτουργήσει την επόμενη μέρα, έτσι και αν χακαριστεί δεν μπορεί να λειτουργήσει την επόμενη μέρα”, εγείροντας όμως τον προβληματισμό του σχετικά με τα προσωπικά δεδομένα των πελατών που είτε μπορεί να χαθούν, είτε να διαρεύσουν αν χακαριστεί, δημιουργόντας – σε αντίθεση με την πυρκαγιά – δισαρέσκια στον κόσμο. Ένα ρίσκο για τη φήμη της εταιρείας που στις συγκεκριμένες περιπτώσεις μπορεί να είναι μεγαλύτερο και από το οικονομικό.
Ο κ. Χατζηθεοδοσίου συνέχισε την τοποθέτηση του λέγοντας ότι αν κλαπούν στοιχεία εμπορικών συμφωνιών, τιμολογήσεων, πατέντες και πελατολόγιο και αυτά κυκλοφορήσουν στο διαδίκτυο, εγκυμονεί ο κίνδυνος μια εταιρεία να χάσει το ανταγωνιστικό της πλεονέκτημα. Σε σχέση με φυσικά πρόσωπα, μπορούν επίσης να επηρεαστούν και οι περιπτώσεις:
- Όταν ένας ιδιοκτήτης ή δημιουργός μια εταιρείας έχει το όνομα του με την επιχείρηση εδώ και πολλά χρόνια, όταν ακουστεί ότι αυτή η επιχείρηση έχει χακαριστεί, επηρεάζεται αρνητικά και το όνομα του ιδιοκτήτη.Έτσι θα χρειαστεί ένα PR campaign για τόσο για την επιχείρηση όσο και για τον ιδιοκτήτη.
- Μια δεύτερη περίπτωση που πιθανά επηρεάζονται άτομα είναι μέσω του Internet of Things. Η αύξηση της χρήσης τεχνολογίας μέσω των smart cars που είναι συνδεδεμένα στο διαδίκτυο αλλά και μέσω των smart devices δεν έχουμε εικόνα αν θα μπορούν να χακαριστούν και τι επιπτώσεις θα έχει αυτό. Αυτό που χρειάζεται στους ιδιώτες είναι αύξηση του awareness. Όπως δηλαδή διασχίζουν έναν δρόμο με προσοχή, με τον ίδιο τρόπο να πλοηγούνται και στο διαδίκτυο.
Σε δεύτερη ερώτηση σχετικά με τις προκλήσεις των ασφαλιστικών εταιρειών σε ότι αφορά την ασφάλιση κινδύνων στον κυβερνοχώρο, ο κ. Χατζηθεοδοσίου δήλωσε:
Η αγωνία των Ασφαλιστικών Εταιρειών είναι η ίδια με την αγωνία των επιχειρηματιών. Οι Ασφαλιστικές εταιρείες δεν μπορούν να κάνουν underwriting τον συγκεκριμένο κίνδυνο γιατί υπάρχουν παράγοντες που δεν είναι μετρήσιμοι. Όταν οι ασφαλιστές κάνουν pricing τον σεισμό, μπορούν να δουν με ποιόν αντισεισμικό κανονισμό έχει φτιαχτεί το κτίριο, ποια είναι η σεισμικότητα της περιοχής και πότε έγινε ο τελευταίος σεισμός. Γιατί ξέρουμε ότι αν σε μια περιοχή γίνει ένας σεισμός σήμερα δεν θα γίνει ξανά σε μια εβδομάδα. Τα παραπάνω είναι απλοί κανόνες underwriting οι οποίοι δεν μπορούν να εφαρμοστούν στο cyber insurance. Δηλαδή δεν έχει διαφορά αν η εταιρεία είναι στην Αθήνα ή στη Θεσσαλονίκη, αν μια εταιρεία είχε ένα incident την προηγούμενη εβδομάδα μπορεί να έχει και την επόμενη (και μάλιστα είναι και σύνηθες γιατί έχουν ανακαλύψει μια αδυναμία οι hackers που μπορεί να μην μπορεί να διορθωθεί την επόμενη μέρα) και τέλος ότι υπάρχει καινούριο firewall και antivirus είναι προαπαιτούμενο για να ασφαλιστεί ένας κίνδυνος αλλά δεν σημαίνει ότι δεν θα μπουν οι hackers. Έχουμε όλοι δει multimillion εταιρείες με συστήματα, διαδικασίες και security να γίνονται hacked. Όταν έρθει το email με attachment payroll.xls όσα training και να έχεις κάνει στο προσωπικό όλοι θα το ανοίξουν για να μάθουν τι μισθό παίρνει ο διπλανός. Αυτή είναι και η αγωνία για επιχειρηματίες και ασφαλιστές. Ότι και να κάνουμε δεν μπορούμε να προστατευτούμε 100%.
Για να κάνουν οι εταιρείες address το συγκεκριμένο ζήτημα πρέπει:
- Να υπάρχει awareness μέσω training.
- Επένδυση σε συστήματα cyber security και διαδικασίες.
- Να διενεργούνται τακτικά penetration and vulnerability tests.
- Τέλος, τελευταία γραμμή άμυνας είναι το ασφαλιστήριο συμβόλαιο.
Όταν όλα τα υπόλοιπα αποτυγχάνουν εκεί έρχεται το ασφαλιστήριο συμβόλαιο να περιορίσει το οικονομικό αντίκτυπο. Ωστόσο, για να είναι ένας κίνδυνος ασφαλίσιμος πρέπει να υπάρχουν οι δομές που αναφέραμε δηλαδή εκπαίδευση, συστήματα και διαδικασίες.
Στην τελευταία ερώτηση του συντονιστή του πάνελ, σχετικά με τις λύσεις που δίνει ο κλάδος στις προκλήσεις του cyber insurance, ο κ. Χατζηθεοδοσίου δήλωσε:
Ένα cyber attack είναι πολυδιάστατο και η ασφαλιστική αγορά προσπαθεί να καλύψει όλες τις διαστάσεις του τόσο κατά την προετοιμασία όσο και κατά την περίπτωση μιας ζημιάς. Κατά τη διάρκεια της προετοιμασίας, η ασφαλιστική αγορά προσφέρει εκπαίδευση και vulnerability reports. Στην περίπτωση μιας ζημιάς, η ασφαλιστική αγορά προσφέρει:
- Υποστήριξη στα οικονομικά έξοδα του γεγονότος που είναι:
-
- Διαπραγμάτευση και πληρωμή των λύτρων
- Κόστη διακοπής εργασιών
- Νομικά έξοδα
- Έξοδα αγοράς λογισμικού και νέων συστημάτων
- Πιθανά πρόστιμα λόγω διαρροής προσωπικών δεδομένων
- Υποστήριξη στα διαδικαστικά της αποκατάστασης της ζημιάς.
- Μετατροπή των χρημάτων του πελάτη σε bitcoin για να πληρώσει τους χάκερς.
- Νομική υποστήριξη
- Υποστήριξη δημοσίων σχέσεων
- Υποστήριξη πληροφορικής για να κάνει τα ΙΤ audit.
- Prostima px apo arxi prosopikwn dedomenwn
Το σημαντικότερο κατά τη δική μου εκτίμηση είναι ότι οι πελάτες σε μια στιγμή που βρίσκονται σε αχαρτογράφητα νερά έχουν υποστήριξη από ένα σύνολο επαγγελματιών για να αντιμετωπίσουν την κατάσταση.
