Δείτε εδώ την αποκλειστική μας συνεργασία

Οι κυβερνοεπιθέσεις και πώς θα γλιτώσετε τον... λογαριασμό

Τα ανώτατα στελέχη των επιχειρήσεων έχουν ευθύνη σε περίπτωση απώλειας εμπιστευτικών πληροφοριών λόγω κυβερνοεπίθεσης. Τι πρέπει να ξέρουν και πώς θα αυξήσουν τα επίπεδα προστασίας. Τα δεδομένα στην Ελλάδα. Γράφει ο Νίκος Γεωργόπουλος.

  • Του Νίκου Γεωργόπουλου
Οι κυβερνοεπιθέσεις και πώς θα γλιτώσετε τον... λογαριασμό

Οι παραβιάσεις συστημάτων και η κυβερνοασφάλεια είναι μία πηγή ανησυχίας κάθε εταιρίας δεδομένης της φύσης των πληροφοριών που διαχειρίζεται. Όπως αποδεικνύεται από πρόσφατες παραβιάσεις συστημάτων, το πώς ένας οργανισμός χειρίζεται μια κρίση παίζει σημαντικό ρόλο στο κατά πόσο ο Διευθύνων Σύμβουλος και τα ανώτατα στελέχη (CIO, COO, CΜΟ, CRO, CFO κ.λπ.) παραμένουν στη θέση τους.

Στο σχετικό διάγραμμα φαίνεται η κατάταξη της ευθύνης που έχουν τα στελέχη της μιας εταιρίας σε περίπτωση παραβίασης συστημάτων και απώλειας δεδομένων, σύμφωνα με έρευνα NYSE Government Services.

Πηγή: A 2015 SURVEY Cybersecurity in the Boardroom

Η πρόσβαση στον κυβερνοχώρο έχει δημιουργήσει νέες επιχειρηματικές ευκαιρίες για τις εταιρίες γιατί προσφέρει δυνατότητα αποτελεσματικής επικοινωνίας με τα δίκτυα διανομής, τον τελικό πελάτη, απλοποιεί τις διαδικασίες λειτουργίας τους και δίνει τη δυνατότητα πρόσβασης σε νέα τμήματα της αγοράς με προϊόντα και υπηρεσίες χαμηλότερου κόστους.

Αυτό άλλωστε είναι και το σημαντικότερο πλεονέκτημα από τη χρήση του κυβερνοχώρου. Όμως σε αυτόν δραστηριοποιούνται και κυβερνοεγκληματίες οι οποίοι έχουν στόχο να υποκλέψουν δεδομένα και εμπιστευτικές πληροφορίες που διατηρούν οι εταιρίες όπως: οικονομικές εκθέσεις, μισθοδοσίες υπαλλήλων, Βάσεις δεδομένων πελατών, κωδικούς πρόσβασης, εμπορικά μυστικά, σχέδια μάρκετινγκ, σχέδια δημιουργίας νέων προϊόντων και υπηρεσιών, συμβάσεις συνεργασίας με τα δίκτυα διανομής, δεδομένα υγείας,,αριθμούς των πιστωτικών καρτών και τραπεζικών λογαριασμών, περιουσιακά στοιχεία πελάτη, προσωπικά οικονομικά στοιχεία πελατών.

Επίσης μπορούν να δημιουργηθούν προβλήματα στην ομαλή λειτουργία και διαθεσιμότητα των συστημάτων της εταιρίας μέσω κυβερνοεπιθέσεων που οδηγούν σε άρνηση παροχής υπηρεσίας (DDoS) των συστημάτων εξυπηρέτησης και αλλοίωση της ποιότητας των δεδομένων της εταιρίας.

Το ωριαίο κόστος σε περίπτωση άρνησης παροχής (DDoS) υπηρεσίας υπολογίζεται σε $40.000 κατα μέσο όρο και μπορεί να φθάσει και τις $500.000 σύμφωνα με μελέτη της Incapsula και δεν περιορίζεται στο τμήμα μηχανογράφησης αλλα επηρεάζει συνολικά την εταιρία ή δε διαρκεια ενος τέτοιου περιστατικού μπορεί να είναι από μερικες ώρες μέχρι αρκετές ημέρες. Πιο συγκεκριμένα σύμφωνα με την ίδια έρευνα εδειξε οτι η διαρκεια αυτων των επιθέσεων στα 2/3 των περιπτώσεων ξεπερασε τις 6 ώρες, το 8% μία εως 7 ημέρες και το 4% πάνω από 7 ημέρες.

Η χρήση του κυβερνοχώρου δημιουργεί σημαντικό λειτουργικό κίνδυνο στις εταιρίες για την διαχείριση του οποίου εκτός από τις λύσεις που προσφέρει η τεχνολογία, οι πολιτικές ασφάλειας και διαδικασίες που ακολουθεί κάθε εταιρία απαραίτητο εργαλείο είναι η ασφάλιση.

Mε την εφαρμογή της νέας ευρωπαϊκής νομοθεσίας για την προστασία των προσωπικών δεδομένων, οι εταιρίες που δε θα καταφέρουν να διατηρήσουν την ασφάλεια των δεδομένων τους κινδυνεύουν με διοικητικά πρόστιμα για παραβίαση των κανόνων που φθάνουν έως 2% του ετήσιου παγκόσμιου κύκλου εργασιών της εταιρείας.

Σε μελέτη του Ponemon Institute το 2014 διαπιστώθηκε ότι οι παραβιάσεις συστημάτων και η διαρροή εμπιστευτικών πληροφοριών είναι ένα από τα τρία κορυφαία περιστατικά που μπορούν να επηρεάσουν την φήμη της εταιρίας και σε συνδυασμό με την κακή εξυπηρέτηση πελάτων και την πολιτική προστασίας του περιβάλλοντος που ακολουθεί να οδηγήσουν σε απώλεια πελατών.

Παράγοντες που επηρεάζουν την εταιρική φήμη

Επίσης στη μελέτη της NetDiligence "Cyber Claims Study 2015" μπορούμε να δούμε από περιστατικά παραβίασης συστημάτων ασφαλισμένων Αμερικανικών εταιριών την κατανομή των αιτίων που οδήγησαν σε παραβίαση συστημάτων και απώλεια εμπιστευτικών πληροφοριών.

Πιο αναλυτικά το 31% οφείλεται σε hacking, το 10% σε απώλεια εταιρικών συσκευών που περιέχουν εταιρικά δεδομένα (tablets, κινητά τηλέφωνα), 14% από malware/virus, το 11% σε περιστατικά κακόβουλων εργαζομένων, το 11% σε λάθη εργαζομένων, το 5% σε προβλήματα συστημάτων, το 3% σε κλοπή hardware (δίσκοι backup, usb), το 1% σε κλοπή χρημάτων και το 7% σε διάφορους παράγοντες.

Πηγή: Netdiligence Cyber Claims Study 2015

Ειδικότερα για την Ελλάδα, σύμφωνα με μελέτη που εκπόνησε η αγορά των Lloyd's σε συνεργασία με το Κέντρο Μελετών Κινδύνων του Πανεπιστημίου του Κέμπριτζ, το κόστος των κυβερνοεπιθεσεων που θα δεκτούν επιχειρήσεις και οργανισμοί την επόμενη δεκααετία (2015-2025) ανέρχεται σε $1.06 δισ. δολλάρια του εκτιμώμενου Α.Ε.Π της Ελλάδας. Το πόσο οποίο υπολείπεται ελάχιστα σε σχέση με τα σε $1.07 δισ. δολλάρια του εκτιμώμενου Α.Ε.Π που βρίσκονται σε κίνδυνο λόγω σεισμού

Για την αντιμετώπιση των επιπτώσεων ενός περιστατικού παραβίασης (data breach) , αποτελεσματικό εργαλείο διαχείρισης αποτελεί η ασφάλιση Cyber Insurance η οποία εκτός από τις χρηματικές αποζημιώσεις, προσφέρει πρόσβαση σε ομάδα ειδικών (δικηγόροι, επικοινωνιολόγοι, forensic investigators κλπ) οι οποίοι έχουν αντιμετωπίσει πλήθος περιστατικών και μπορούν σε συνεργασία με την Ομαδα Διαχείρισης Περιστατικών Παραβίασης Συστημάτων της εταιρίας να διαχειριστούν αποτελεσματικά τα περιστατικά παραβίασης να περιορίσουν τις χρηματοοινομικές επιπτώσεις τους και να προστατεύσουν την εταιρική φήμη.

Σε κάθε περίπτωση, ο Διευθύνων Σύμβουλος για την αντιμετώπιση αυτών των περιστατικών θα πρέπει να έχει στην διάθεσή του μέγιστη δυνατή και ακριβή πληροφόρηση για το περιστατικό.

Είναι αναγκαίο ο Διευθύνων Σύμβουλος να έχει πλήρη εικόνα: για τις πληροφορίες που συλλέγει και επεξεργάζεται η εταιρία του, για τις ευθύνες που έχει σε περίπτωση περιστατικού παραβίασης συστημάτων, για τα συστήματα και τις υποδομές της και μια Εκπαιδευμένη Ομάδα Αντιμετώπισης & Διαχείρισης Περιστατικών Παραβίασης Συστημάτων στην διαθεσή του η οποία συνεργαζόμενη με την ασφαλιστική εταιρία που προσφέρει την ασφάλιση cyber insurance μπορεί να διαχειριστεί αποτελεσματικά τα περιστατικά παραβίασης περιορίζοντας τις χρηματοοικονομικές επιπτώσεις και να προστατεύσει την φήμη της εταιρίας του.

Λαμβάνοντας υπόψη τις ανάγκες των επιχειρήσεων η Beazley δημιούργησε το Beazley Global Breach Solution το οποίο αποτελεί μια συνολική λύση αποτελεσματικής διαχείρισης των κινδύνων παραβίασης συστημάτων και απώλειας δεδομένων, επιτρέπει στις επιχειρήσεις, να διαχειριστούν περιστατικά παραβιασης συστημάτων και να μετριάσουν τον κίνδυνο να θιγεί η εταιρική φήμη τους και προσφέρεται στην Ελλάδα από την Cromar (www.cromar.gr).

Το Beazley Global Breach Solution προσφέρει εκτός από την κάλυψη των χρηματοοικονομικών επιπτώσεων της εταιρίας πρόσβαση στην Ομάδα Διαχείρισης Περιστατικών, η οποία βραβεύθηκε από την Advisen ως η καλύτερη ομάδα για το 2015 και έχει αντιμετωπίσει άνω των 3.000 περιστατικών παγκοσμίως.

*Νίκος Γεωργόπουλος , ΜΒΑ, CyRM, Cyber Risk Advisor

Ο Νίκος Γεωργόπουλος είναι Cyber Risks Advisors της Cromar Coverholder at Lloyd's και
απόφοιτος του ALBA Graduate Business School και του Τμήματος Φυσικής του Πανεπιστημίου Πάτρας.

Διαθέτει 22 έτη εργασιακή εμπειρία στον χρηματοοικονομικό τομέα (XIOSBANK, Alpha Trust, Generali Hellas) στους τομείς Marketing, Πωλήσεων και Εναλλακτικών Δικτύων και εχει συνεργασθεί με ελληνικές εταιρίες για την δημιουργία εφαρμογών τηλεματικής.

Eίναι μέλος του International Association of Privacy Professionals, & του (ISC)2 Hellenic Chapter, εξειδικευμένος σύμβουλος στην παροχή ασφαλιστικών λύσεων Cyber Insurance & Data Breach Management, και πιστοποιημένος Cyber Insurance Risk Manager. Εχει συμμετάσχει σαν ομιλητής σε συνέδρια.

Δημιούργησε το πρώτο συνέδριο που έγινε στην Ελλάδα με θέμα "Privacy & Διαχείρηση περιστατικών παραβίασής της" (www.databreach.gr) και το πρώτο σε σεμινάριο στο Ελληνικό Ινστιτούτο Ασφαλιστικών Σπουδών με θέμα "Cyber Risks Management & Cyber Insurance".

Είναι δημιουργός του "Cyber Risks Advisors" LinkedIn Group, και των ιστοσελίδων
www.privacyrisksadvisors.com και www.cyberinsurancegreece.com

ΣΧΟΛΙΑ ΧΡΗΣΤΩΝ

blog comments powered by Disqus