Πρόκληση και ευκαιρία
Η αντιμετώπιση των κυβερνοκινδύνων είναι πιο επίκαιρη από ποτέ και οι ασφαλιστικές εταιρίες έχουν διττό ρόλο, τόσο ως στόχοι των επιθέσεων όσο και ως πάροχοι προστασίας στις βαλλόμενες επιχειρήσεις.
του Nicolas Jeanmart*
Η πανδημία του κορωνοϊού πυροδότησε πολλές αλλαγές στην κοινωνία, με εντονότερη αναμφίβολα αυτή του ψηφιακού μετασχηματισμού. Σε όλον τον κόσμο, μικρές και μεγάλες επιχειρήσεις -περιλαμβανομένων των ασφαλιστικών εταιριών- αναγκάστηκαν να υιοθετήσουν την τηλεργασία, σε μια προσπάθεια να επιβραδύνουν την εξάπλωση του κορωνοϊού και να προστατέψουν τους εργαζόμενους και τους πελάτες τους, βασιζόμενοι σχεδόν αποκλειστικά σε ψηφιακές τεχνολογίες, προκειμένου να επικοινωνούν και να παραμένουν λειτουργικοί. Στο επίκεντρο έχουν βρεθεί οι δυνατότητες, αλλά και η ασφάλεια των συστημάτων ΙΤ και η Europol, η Ευρωπαϊκή Αστυνομική Υπηρεσία, αναφέρει ότι η άνευ προηγουμένου αύξηση της δραστηριότητας στον κυβερνοχώρο έχει προκαλέσει μία αντίστοιχη άνοδο των αξιόποινων πράξεων.
Αυτά συμβαίνουν σε μία περίοδο κατά την οποία οι ασφαλιστικές εταιρίες και οι ιθύνοντες της Ευρωπαϊκής Ένωσης ήδη προέβαιναν σε προσπάθειες προκειμένου να αποκομίσουν τα μέγιστα οφέλη από την αυξανόμενη ψηφιοποίηση και παράλληλα να περιορίσουν κατά το δυνατόν τους κυβερνοκινδύνους.
Από την πλευρά της Ευρωπαϊκής Ένωσης, η Ευρωπαϊκή Επιτροπή με επικεφαλής την Ursula von der Leyen, επιχειρεί να καλύψει το νομοθετικό κενό όσον αφορά την κυβερνοασφάλεια των χρηματοοικονομικών οργανισμών και να αυξήσει τη λειτουργική τους ανθεκτικότητα. Για το λόγο αυτόν σχεδιάζει τη δημιουργία ενός νομοθετικού πλαισίου για τη νέα Τεχνολογία Πληροφορίας και Επικοινωνιών (Information and Communications Technology -ICT). Σκοπός της Επιτροπής είναι να καθιερώσει απαιτήσεις για τις επιχειρήσεις του χρηματοοικονομικού τομέα -συμπεριλαμβανομένων των ασφαλιστικών εταιριών- στους ακόλουθους τομείς:
* ICT διαχείριση κινδύνων
* Αναφορά περιστατικών και κοινοποίηση πληροφοριών
* Stress tests των υποδομών ICT
* Επιτήρηση των εξωτερικών παρόχων υπηρεσιών ICT
Δεν ταιριάζουν όλα σε όλους
Εάν υιοθετηθεί, η προσέγγιση της Επιτροπής μπορεί να αλλάξει το τοπίο στη διαχείριση κυβερνοεπιθέσεων, στην αναφορά περιστατικών και την πρόληψη στον ευρωπαϊκό χρηματοοικονομικό τομέα. Για την Insurance Europe, καθοριστικό σε αυτή τη διαδικασία είναι να ληφθεί υπόψη η πολυμορφία που χαρακτηρίζει τις επιχειρήσεις του χρηματοοικονομικού τομέα, καθώς αυτές διαφέρουν όχι μόνο ως προς το είδος, το μέγεθος και το προφίλ τους, αλλά και ως προς τους κινδύνους στους οποίους εκτίθενται, ως προς τα συστήματα και τις υπηρεσίες που χρήζουν προστασίας και συντήρησης. Ως εκ τούτου, όσον αφορά στην ενίσχυση έναντι των κυβερνοκινδύνων, οι Ευρωπαίοι ασφαλιστές ζητούν να υιοθετηθεί μία προσέγγιση βασισμένη στους κινδύνους, διαχωρίζοντας τις σημαντικές και τις λιγότερο σημαντικές λειτουργίες.
Ευθυγράμμιση των κανόνων
Η Ευρωπαϊκή Επιτροπή δεν είναι το μόνο όργανο που ασχολείται με την ενίσχυση της κυβερνοασφάλειας στον ασφαλιστικό κλάδο, καθώς η ΕΙΟΡΑ αναμένεται να δημοσιοποιήσει κατευθυντήριες οδηγίες ειδικά για τις ασφαλιστικές εταιρίες σχετικά με την ασφάλεια και τη διαχείριση της Τεχνολογίας Πληροφορίας και Επικοινωνιών (ICT). Κατά συνέπεια, η Insurance Europe ζητά για ευθυγράμμιση μεταξύ των διάφορων πρωτοβουλιών σε επίπεδο Ευρωπαϊκής Ένωσης, προκειμένου να αποφευχθεί ο πολλαπλασιασμός των υποχρεώσεων και των προϋποθέσεων που τίθενται στις επιχειρήσεις, για την επίτευξη του ίδιου στόχου. Για τον ίδιο λόγο, οι ασφαλιστές ζητούν την εφαρμογή μίας ενιαίας αναφοράς για τον GDPR, την οδηγία NIS (Network & Information Security) και το μελλοντικό Πλαίσιο Ψηφιακής Λειτουργικής Ανθεκτικότητας (Digital Operational Resilience Framework).
Δύο όψεις του ίδιου νομίσματος
Ο (αντ)ασφαλιστικός κλάδος κατέχει μία μοναδική θέση στον χώρο της κυβερνοασφάλειας, καθώς αφ’ ενός είναι αυξανόμενα ευάλωτος στις κυβερνοεπιθέσεις και αφ’ ετέρου μπορεί να προσφέρει προστασία από τους κυβερνοκινδύνους, μέσα από μία ευρεία γκάμα ασφαλιστικών προϊόντων και υπηρεσιών.
Η ασφάλιση των κυβερνοκινδύνων θα παίξει καθοριστικό ρόλο στην ενίσχυση της ανθεκτικότητας των ευρωπαϊκών επιχειρήσεων, παρέχοντας πολλές και διαφορετικές υπηρεσίες, τόσο πριν όσο και μετά από ένα περιστατικό κυβερνοεπίθεσης. Παράλληλα η ασφάλιση των κυβερνοκινδύνων μπορεί να ενισχύσει την ανταγωνιστικότητα των ευρωπαϊκών επιχειρήσεων, συμβάλλοντας στην προώθηση της καινοτομίας στον τομέα της ψηφιακής τεχνολογίας, καθώς παρέχει ένα δίχτυ ασφαλείας, έτσι ώστε, αν τα πράγματα πάνε στραβά, η επιχείρηση να μην αντιμετωπίσει τους κινδύνους μόνη.
Ωστόσο οι επιχειρήσεις δε θα πρέπει να εστιάζουν περισσότερο στην κάλυψη των ζημιών που θα προκληθούν από μία κυβερνοεπίθεση. Οι ασφαλιστές μπορούν να παίξουν πολύ σημαντικό ρόλο στην πρόληψη, ενημερώνοντας τις επιχειρήσεις για τους κινδύνους στους οποίους πιθανόν να εκτεθούν, μετά από αξιολόγηση της «υγιεινής» των ΙΤ συστημάτων τους.
Κατά τη διάρκεια της πανδημίας, οι ασφαλιστές έχουν δραστηριοποιηθεί ιδιαίτερα στον τομέα της πρόληψης και πολλές εθνικές ενώσεις έχουν δημιουργήσει καμπάνιες για την αύξηση της επίγνωσης των κινδύνων που σχετίζονται με την τηλεργασία, συμπεριλαμβανομένης της αυξημένης έκθεσης των επιχειρήσεων λόγω της χρήσης ιδιωτικών δικτύων και υπολογιστών. Η πανδημία έχει όντως επιβεβαιώσει τη σπουδαιότητα της ανθεκτικότητας των επιχειρήσεων κάθε μεγέθους έναντι των κυβερνοκινδύνων και έχει υπογραμμίσει τον καθοριστικό ρόλο των ασφαλιστών στην πρόληψη, τον μετριασμό και τη μεταφορά του κυβερνοκινδύνου.
Τα ναι και τα όχι
Αν και παραδοσιακά η ευρωπαϊκή αγορά ασφάλισης κυβερνοκινδύνων υστερεί από αυτή των Ηνωμένων Πολιτειών, σταδιακά αναπτύσσεται, συμβάλλοντας στην ενίσχυση της ανθεκτικότητας της Ευρώπης έναντι των κυβερνοκινδύνων. Τον Οκτώβριο του 2019 η Insurance Europe εξέδωσε ένα εγχειρίδιο, το οποίο περιελάμβανε συστάσεις -τα ναι και τα όχι- προς τους ιθύνοντες, προκειμένου αυτοί να ενισχύσουν την ανάπτυξη της αγοράς.
Μεταξύ άλλων, οι Ευρωπαίοι ασφαλιστές ζητούν την υποστήριξη της Ευρωπαϊκής Ένωσης στον τομέα της ενίσχυσης της επίγνωσης, στη συνεργασία δημόσιου και ιδιωτικού τομέα και στην προσβασιμότητα των δεδομένων που αφορούν περιστατικά κυβερνοεπιθέσεων.
Όσον αφορά στα δεδομένα, η Insurance Europe είναι υπέρ της αξιοποίησης των υπαρχόντων δεδομένων σχετικά με περιστατικά κυβερνοεπιθέσεων, όπως αυτά που έχουν συλλεχθεί για τον GDPR και την Οδηγία NIS και αυτά που θα συλλεχθούν μελλοντικά από το Πλαίσιο Ψηφιακής Λειτουργικής Ανθεκτικότητας. Προς αυτή την κατεύθυνση, ήδη από το 2018 η Insurance Europe ανέπτυξε ένα μοντέλο για τον εντοπισμό παραβιάσεων του GDPR προς χρήση από τον ασφαλιστικό κλάδο, το οποίο δίνει τη δυνατότητα για συλλογή δεδομένων ανώνυμα αλλά με επαρκείς λεπτομέρειες.
Όσον αφορά τα «όχι», οι Ευρωπαίοι ασφαλιστές είναι κατά της πρώιμης τυποποίησης ή της υποχρεωτικής ασφάλισης των κυβερνοκινδύνων, καθώς κάτι τέτοιο θα στεκόταν εμπόδιο σε μία αγορά που αναπτύσσεται αλλά δεν έχει φτάσει ακόμη στην πλήρη της ωριμότητα.
Οι συστάσεις της Insurance Europe για τη διαμόρφωση πολιτικής με σκοπό την αντιμετώπιση των κυβερνοκινδύνων
ΝΑΙ
* Προωθήστε την ενίσχυση της επίγνωσης, η οποία αποτελεί το κλειδί για την ανθεκτικότητα έναντι των κυβερνοκινδύνων.
* Στηρίξτε τη συνεργασία δημόσιου και ιδιωτικού τομέα στους καταστροφικούς κινδύνους.
* Παροτρύνετε τα κράτη-μέλη να δράσουν για να αυξήσουν την κυβερνοασφάλεια.
* Στηρίξτε τις προσπάθειες για την εύκολη πρόσβαση στα δεδομένα που αφορούν περιστατικά κυβερνοεπιθέσεων.
ΟΧΙ
* Μην εφαρμόσετε πρώιμη τυποποίηση κινδύνων, η οποία μπορεί να βλάψει τόσο τους πελάτες όσο και τους ασφαλιστές.
* Μην επιβάλετε υποχρεωτική ασφάλιση έναντι των κυβερνοκινδύνων, η οποία θα μπορούσε να αποβεί αντιπαραγωγική.
!!!!!!!!!!!!
* O Nicolas Jeanmart είναι επικεφαλής του τομέα Ατομικής και Γενικής Ασφάλισης της Insurance Europe.
