Επικρατεί μια λάθος αντίληψη ότι οι επιθέσεις στον κυβερνοχώρο είναι πρόβλημα μόνο των μεγάλων επιχειρήσεων. Και αυτό γιατί οι κυβερνοεπιθέσεις στις μεγάλες επιχειρήσεις τραβούν την προσοχή των μέσων μαζικής ενημέρωσης, γίνονται γνωστές στους πελάτες τους και οι κυβερνοεγκληματίες τις τοποθετούν στο επίκεντρο των επιθέσεων καθώς μπορούν να κερδίσουν περισσότερα χρήματα από τον κυβερνοεκβιασμό σε σχέση με τις μικρότερες εταιρίες.

Καθημερινά όμως, χιλιάδες μικρές επιχειρήσεις διεθνώς υφίστανται περιστατικά παραβίασης ως αποτέλεσμα κυβερνοεπιθέσεων.

Ποιοι είναι οι κίνδυνοι που συνήθως αντιμετωπίζουν οι εταιρίες;

Το ransomware, λογισμικό που κλειδώνει τα εταιρικά συστήματα και απαιτείται πληρωμή λύτρων για την απόκτηση πρόσβασης στα εταιρικά συστήματα, καθώς και η κλοπή εταιρικών κεφαλαίων, αποτελούν καθημερινούς κινδύνους και για τις μικρές και μεσαίες εταιρίες.

Επιπροσθέτως, ο εκβιασμός και οι παραβιάσεις δεδομένων που συνήθως ξεκινούν με ένα ανθρώπινο λάθος ή μια παράβλεψη, όπως για παράδειγμα η απώλεια ενός φορητού υπολογιστή ή ένα κλικ σε έναν σύνδεσμο ενός Phishing email, επιτρέπουν στους εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση στα εταιρικά συστήματα.

Σύμφωνα με μελέτες, το μέσο κόστος των περιστατικών ransomware σε μικρομεσαίες επιχειρήσεις ανέρχεται σε €75.000 (το κόστος αυτό μεταβάλλεται ανάλογα με το ποσό των λύτρων που καταβάλλεται στους κυβερνοεγκληματίες). Ο μέσος χρόνος για την επαναφορά της εταιρίας στην προηγούμενη κατάσταση που ήταν πριν πέσει θύμα περιστατικού ransomware, ανέρχεται σε 50 ημέρες. Ένα μεγάλο ποσοστό εταιριών μετά από ένα περιστατικό ransomware, οδηγούνται σε χρεωκοπία και αν πληρώσουν τα λύτρα στους κυβερνοεγκληματίες, πέφτουν ξανά θύματα των κυβερνοεγκληματιών.

Γιατί όμως οι μικρές επιχειρήσεις αποτελούν στόχο των κυβερνοεγκληματιών;

1. Οι μικρές επιχειρήσεις είναι πιο ευάλωτες λόγω έλλειψης εκπαίδευσης του ανθρώπινου δυναμικού τους και λόγω έλλειψης επενδύσεων στην κυβερνοασφάλεια:

Οι κυβερνοεγκληματίες αναζητούν τον πιο εύκολο και γρήγορο τρόπο για να βγάλουν κέρδος. Οι μικρές επιχειρήσεις έχουν συνήθως λιγότερους πόρους και χρόνο για να εκπαιδεύσουν το προσωπικό τους σχετικά με τους κινδύνους στον κυβερνοχώρο, γεγονός που τις καθιστά πιο επιρρεπείς σε επιθέσεις ransomware. Επιπλέον, είναι πιο πιθανό να πληρώσουν λύτρα όταν αισθάνονται ότι δεν έχουν τη γνώση, τις υποδομές και την κατάλληλη υποστήριξη για την αντιμετώπιση ενός περιστατικού κυβερνοασφάλειας.

2. Οι μικρές επιχειρήσεις μπορούν να δώσουν στους κυβερνοεγκληματίες δυνατότητα πρόσβασης σε συστήματα μεγαλύτερων εταιριών με τις οποίες συνεργάζονται:

Πολλές μικρές και μεσαίες εταιρίες συνδέονται με τα συστήματα πληροφορικής μεγαλύτερων οργανισμών στους οποίους παρέχουν υπηρεσίες. Έτσι, όταν οι κυβερνοεγκληματίες προσπαθούν να διεισδύσουν σε μεγαλύτερους και πιο ασφαλείς οργανισμούς, συχνά στοχεύουν τους προμηθευτές τους.

3. Οι μικρές επιχειρήσεις μπορεί να πέσουν θύματα κυβερνοεπιθέσεων που προέρχονται από οργανισμούς που τους παρέχουν υπηρεσίες τεχνολογίας:

Μια κυβερνοεπίθεση σε έναν πάροχο υπηρεσιών τεχνολογίας με τον οποίο συνεργάζεται μια μικρομεσαία επιχείρηση μπορεί να προκαλέσει διακοπή των εργασιών της, παραβιάσεις δεδομένων, ακόμη και βλάβη της φήμης της εξαιτίας του περιστατικού.

Τι ζητάνε οι ασφαλιστές από τις επιχειρήσεις για να τις ασφαλίσουν;

Οι ασφαλιστικές εταιρίες ζητούν από τους πιθανούς πελάτες να υιοθετήσουν τεχνικά μέτρα ασφαλείας για την πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά εξελιγμένα περιστατικά παραβίασης ασφάλειας.

Πιο συγκεκριμένα, τα ζητούμενα μέτρα είναι τα ακόλουθα:

1.‘Eλεγχος πρόσβασης του χρήστη μέσω ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση.

Η επιβολή χρήσης ισχυρής πολιτικής κωδικών πρόσβασης, η απαίτηση της χρήσης ελέγχου ταυτότητας πολλαπλών παραγόντων, η εκπαίδευση των εργαζομένων σχετικά με επιθέσεις phishing που έχουν σχεδιαστεί για την κλοπή διαπιστευτηρίων σύνδεσης και η χρήση Εικονικού Ιδιωτικού Δικτύου (VPN) για απομακρυσμένη πρόσβαση στα εταιρικά συστήματα είναι όλα κρίσιμα στοιχεία της στρατηγικής ασφάλειας στον κυβερνοχώρο ενός οργανισμού.Μη ύπαρξη MFA σημαίνει μη ασφαλίσιμη εταιρία.

2. Εκπαίδευση ευαισθητοποίησης του ανθρώπινου δυναμικού στον κυβερνοχώρο.

Ο πιο δημοφιλής τρόπος διάδοσης κακόβουλου λογισμικού ransomware είναι τα μηνύματα ηλεκτρονικού ψαρέματος (phishing). ‘Oταν ο χρήστης κάνει κλικ σε ένα σύνδεσμο ή ανοίγει ένα συνημμένο κακόβουλο λογισμικό, οι εγκληματίες του κυβερνοχώρου μπορούν να αποκτήσουν πρόσβαση στον υπολογιστή του χρήστη και στο εταιρικό δίκτυο. Η έλλειψη εκπαίδευσης ευαισθητοποίησης για την ασφάλεια στον κυβερνοχώρο είναι ζωτικής σημασίας για την προστασία του οργανισμού από το ransomware. Το μεγαλύτερο ποσοστό περιστατικών παραβίασης ασφάλειας οφείλεται σε ανθρώπινο λάθος και τουλάχιστον ένας στους τρείς ανεκπαίδευτους χρήστες πέφτουν θύματα περιστατικών ransomware.

3.‘Υπαρξη αντίγραφου ασφαλείας δεδομένων και ελεγμένες διαδικασίες ανάκτησής τους.

Ο στόχος του ransomware είναι να αναγκάσει την εταιρία-θύμα να πληρώσει λύτρα, προκειμένου να αποκτήσει ξανά πρόσβαση στα κρυπτογραφημένα δεδομένα της. Η βιομηχανία του ransomware δεν αρκείται πλέον μόνο στο κλείδωμα των αρχείων αλλά και στην απειλή δημοσίευσης των δεδομένων που έχουν παραβιαστεί πριν την εκδήλωση του εκβιασμού. Μια σωστή διαδικασία δημιουργίας αντιγράφων ασφαλείας δεδομένων με ελεγμένη διαδικασία ανάκτησής τους είναι ένας αποτελεσματικός τρόπος για να μετριαστεί ο κίνδυνος μιας επίθεσης ransomware.

4. Εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων.

Η εγκατάσταση ενημερώσεων διορθώσεων προγραμμάτων, ειδικά εκείνων που χαρακτηρίζονται ως κρίσιμες, μπορεί να συμβάλει στον περιορισμό των ευπαθειών ενός οργανισμού που τον καθιστούν ευάλωτο σε επιθέσεις ransomware.

5. Ύπαρξη πλάνου για την αντιμετώπιση περιστατικών παραβίασης ασφάλειας

Η ύπαρξη ενός Πλάνου Αντιμετώπισης Περιστατικών βοηθά την εταιρία στην αντιμετώπιση περιστατικών και ο συνδυασμός του με την ασφάλιση Cyber Insurance το κάνει πιο αποτελεσματικό.  Μέσω τις ασφάλισης, η εταιρία αποκτά πρόσβαση σε εξειδικευμένους παρόχους με εμπειρία στην διαχείριση περιστατικών παραβίασης ασφάλειας.

Γιατί οι μικρές επιχειρήσεις δεν ασφαλίζονται;

Λόγω της έλλειψη γνώσης σχετικά με τους κινδύνους που απειλούν την ασφάλεια των πληροφοριακών συστημάτων μιας εταιρίας, πολλά στελέχη και ιδιοκτήτες έχουν λανθασμένη εικόνα για την ασφάλιση. Για την κατανόηση των πλεονεκτημάτων που προσφέρει η ασφάλιση στη διαχείριση περιστατικών παραβίασης ασφάλειας, καθοριστικός είναι ο ρόλος του ασφαλιστικού διαμεσολαβητή.

Οι πιο συνήθεις αντιρρήσεις για την μη απόκτηση ασφάλισης Cyber Insurance είναι οι ακόλουθες:

Δεν χρειαζόμαστε ασφάλιση Cyber Insurance. Επενδύουμε στην ασφάλεια των πληροφοριακών συστημάτων μας...

Mια επιχείρηση εγκαθιστά κάμερες ασφαλείας και συστήματα πυρόσβεσης αλλά εξακολουθεί να αγοράζει ασφάλιση περιουσίας για την περίπτωση που αυτά τα προληπτικά μέτρα αποτύχουν. Η ασφάλεια στον κυβερνοχώρο λειτουργεί με τον ίδιο τρόπο.

Η ασφάλεια πληροφοριακών συστημάτων είναι προληπτικό μέτρο, αλλά αυτό δεν σημαίνει ότι οι κυβερνοεγκληματίες δεν μπορούν να αποκτήσουν πρόσβαση και να προκαλέσουν ζημιά στα εταιρικά συστήματα. Το κυβερνοέγκλημα εξελίσσεται συνεχώς και η προστασία των εταιρικών συστημάτων απαιτεί επενδύσεις. Ακόμη και οι μεγάλες εταιρίες που ξοδεύουν τεράστια ποσά για την ασφάλεια των συστημάτων εξακολουθούν να πέφτουν θύματα των κυβερνοεγκληματιών τακτικά.

Ανεξάρτητα από το πόσο επενδύει στην ασφάλεια πληροφορικών συστημάτων, μια εταιρία δεν θα είναι ποτέ 100% ασφαλής.

Η ασφάλεια στον κυβερνοχώρο είναι εκεί για να προσθέσει άλλο ένα επίπεδο προστασίας και να βοηθήσει την επιχείρηση να ανταποκριθεί σε περίπτωση που συμβεί ένα απρόβλεπτο περιστατικό.

Αναθέτουμε σε εξωτερικούς συνεργάτες το σύνολο των δραστηριοτήτων του IT μας, επομένως δεν κινδυνεύουμε...

Η ανάθεση σε τρίτους της λειτουργίας του τμήματος πληροφορικής δεν σημαίνει οτι η εταιρία δεν κινδυνεύει από περιστατικά παραβίασης ασφάλειας. Εάν αναθέσει σε τρίτους την αποθήκευση δεδομένων της και αυτό το τρίτο μέρος πέσει θύμα περιστατικού παραβίασης ασφάλειας, η επιχείρηση εξακολουθεί να είναι υπεύθυνη για την απώλεια των δεδομένων των πελατών της, για την ειδοποίηση των επηρεαζόμενων ατόμων και την αντιμετώπιση επιβολής προστίμων από τις ρυθμιστικες αρχές.

Πολλές επιχειρήσεις βασίζονται σε τρίτα μέρη για κρίσιμες λειτουργίες τους. Το ενδεχόμενο περιστατικού παραβίασης ασφαλείας στα συστήματα αυτών των παρόχων θα μπορούσε να έχει καταστροφικές επιπτώσεις στην ικανότητά τους να συναλλάσονται με τους πελάτες τους και να οδηγήσει στην διακοπή των εργασιών τους.

Δεν συλλέγουμε ευαίσθητα δεδομένα, επομένως δεν χρειαζόμαστε ασφάλιση...

Δεν χρειάζεται να συλλέγει ευαίσθητα δεδομένα μια επιχείρηση για να είναι εκτεθειμένη στον κυβερνοκίνδυνο. Κάθε επιχείρηση που χρησιμοποιεί ένα πληροφοριακό σύστημα για την λειτουργία της κινδυνεύει να πέσει θύμα των κυβερνοεγκληματιών. Δύο από τις πιο κοινές και δαπανηρές αιτίες ζημιών στον κυβερνοχώρο είναι τα περιστατικά ransomware και η απάτη μεταφοράς χρημάτων σε κυβερνοεγληματίες. Η απάτη μεταφοράς χρημάτων συχνά πραγματοποιείται από εγκληματίες που χρησιμοποιούν δόλια μηνύματα ηλεκτρονικού ταχυδρομείου για να εκτρέψουν νόμιμες μεταφορές κεφαλαίων στους δικούς τους λογαριασμούς, ενώ το ransomware μπορεί να συμβεί σε οποιοδήποτε οργανισμό ανεξαρτήτως μεγέθους κρυπτογραφώντας ή καταστρέφοντας κρίσιμα αρχεία και μπορεί να οδηγήσει σε διακοπή εταιρικής δραστηριότητας για αρκετές ημέρες. Ο αριθμός των ημερών διακοπής δραστηριότητας είναι άμεσα συνδεδεμένος με το πόσο σωστά προετοιμασμένη είναι κάθε επιχείρηση στην αντιμετώπισή του κυβερνοκινδύνου. Κανένα από αυτά τα είδη συμβάντων δεν χρειάζεται να περιλαμβάνει παραβίαση δεδομένων, αλλά και τα δύο μπορεί να οδηγήσουν σε σοβαρές οικονομικές απώλειες που είναι ασφαλίσιμες στο πλαίσιο της ασφάλισης Cyber Insurance.

Είμαστε ασφαλισμένοι, έχουμε συμβόλαια περιουσίας και αστικών ευθυνών...

Τα κλασικά ασφαλιστήρια περιουσίας και αστικής ευθύνης δεν παρέχουν ασφαλιστική κάλυψη για κυβερνοκινδύνους γιατί δεν σχεδιάστηκαν για αυτόν το σκοπό  και για να υπάρχει σωστή τιμολόγηση του κινδύνων που καλύπτουν έχουν πλέον εξαιρέσεις κάλυψης αυτών. Τα ασφαλιστήρια συμβόλαια Cyber Insurance έχουν σχεδιαστεί για να καλύπτουν τα κενά που αφήνουν τα παραδοσιακά ασφαλιστήρια συμβόλαια για άυλους κινδύνους και, εκτός από την ομαλή συνέχιση των εργασιών μια επιχείρησης, προσφέρουν πρόσβαση σε ειδικούς στη διαχείριση περιστατικών παραβίασης ασφάλειας οι οποίοι θα βοηθήσουν την επιχείρηση να αντιμετωπίσει αποτελεσματικά τις συνέπειες του περιστατικού, μειώνοντας τις οικονομικές ζημιές και προστατεύοντας την εταιρική φήμη.

Ο ρόλος του ασφαλιστικού διαμεσολαβητή

Στόχος του ασφαλιστικού διαμεσολαβητή που θέλει να προσφέρει μια υπηρεσία προστιθέμενης αξίας είναι η εκπαίδευση του υποψήφιου πελάτη στην κατανόηση των κυβερνοκινδύνων που απειλούν την επιχείριση του και η παρουσίαση των δυνατοτήτων που προσφέρει στην αντιμετώπισή τους η χρήση ενός ασφαλιστηρίου Cyber Insurance.

Οι προτάσεις ασφάλισης που χρησιμοποιούν οι ασφαλιστικές εταιρίες για τον έλεγχο της δυνατότητας ασφάλισης είναι ένα εργαλείο διάγνωσης των τεχνικών και οργανωτικών μέτρων που έχει υλοποίησει μια εταιρία για την αντιμετώπιση και τη διαχείριση των κυβερνοκινδύνων. Ο ασφαλιστικός διαμεσολαβητής με τη χρήση της πρότασης ασφάλισης μπορεί να ενημερώσει τον υποψήφιο πελάτη για τυχόν κενά που υπάρχουν (σύμφωνα με τις απαντήσεις που έχει δώσει ο υποψήφιος στην πρόταση που έχει συμπληρώσει). Ο ασφαλιστικός διαμεσολαβητής παρουσιάζει στον υποψήφιο πελάτη τις δυνατότητες που του προσφέρει ενα ασφαλιστήριο Cyber Insurance, τόσο στην κάλυψη των οικονομικών συνεπειών που μπορεί να έχει μια επιχείρηση όσο και στην δυνατότητα πρόσβασης που έχει σε εξειδικευμένους στην διαχείριση περιστατικών παραβίασης ασφάλειας παρόχους, οι οποίοι θα βοηθήσουν την επιχείρηση να αντιμετωπίσει αποτελεσματικά τις συνέπειές τους.

Το μεγαλύτερο πρόβλημα για την αγορά ασφάλισης Cyber Insurance είναι η έλλειψη γνώσης των κινδύνων και η κατανόηση των δυνατοτήτων που προσφέρει ένα ασφαλιστήριο. Αυτό το πρόβλημα καλείται να λύσει ο ασφαλιστικός διαμεσολαβητής με την εκπαίδευση των υποψήφιων πελατών του.