Σήµερα η ασφάλιση έναντι των απειλών του κυβερνοχώρου καθίσταται αναγκαίο µετρο προληψης για κάθε επιχείρηση που θέλει να ελαχιστοποιήσει τις οικονοµικές επιπτώσεις σε περίπτωση παραβίασης κρίσιµων συστηµάτων και δεδοµένων της. Αρκεί να προσέξει και τα ψιλά γράµµατα στο ασφαλιστήριό της.
Του Brian Greenberg
Όσο απίστευτο κι αν φαίνεται, οι άνθρωποι ασφαλίζονται εδώ και χιλιάδες χρόνια. Ο Κώδικας του Χαµουραµπί, που γράφτηκε το 1755 π.Χ., είναι το πρώτο γνωστό νοµικό κείµενο που περιγράφει την έννοια της ασφάλισης. Σήµερα ιδιώτες και εταιρείες ασφαλίζονται για να προστατευτούν από οικονοµικές απώλειες. Είναι ένας τρόπος διαχείρισης των καθηµερινών κινδύνων – όπως η ασφάλεια αυτοκινήτου για τα τροχαία ή η ασφάλεια υγείας για τις ασθένειες. Οι εταιρείες ασφαλίζονται για να διαχειριστούν τους κινδύνους που απορρέουν από τη λειτουργία µιας επιχείρησης – όπως σε περίπτωση πυρκαγιάς µε την ασφάλιση εµπορικής περιουσίας ή εργατικού ατυχήµατος που προβλέπει αποζηµίωση για τον εργαζόµενο. Η ασφάλιση είναι ένα εργαλείο για να αντισταθµιστεί ο κίνδυνος σοβαρών ζηµιών. Σήµερα οι εταιρείες συνάπτουν ασφαλιστήρια συµβόλαια για τον κυβερνοχώρο περισσότερο απ' όσο θα ήθελε ή θα µπορούσε να φανταστεί κανείς.
Τι είναι η ασφάλιση στον κυβερνοχώρο;
Η ασφάλιση στον κυβερνοχώρο είναι ένα ειδικό είδος ασφάλισης που προστατεύει τους οργανισµούς από το κόστος των κινδύνων που προκύπτουν από την τεχνολογία, όπως το ransomware (λυτρισµικό), οι χάκερ, οι παραβιάσεις δεδοµένων κ.λπ. Αυτού του είδους οι απειλές συνήθως δεν περιλαµβάνονται στα παραδοσιακά ασφαλιστήρια συµβόλαια.
Ένα ασφαλιστήριο συµβόλαιο για τον κυβερνοχώρο θα πρέπει να περιλαµβάνει κάλυψη για hacking, κλοπή και καταστροφή δεδοµένων, επιθέσεις DoS, καθώς και προστασία έναντι ζηµιών που προκαλούνται σε άλλα µέρη, συµπεριλαµβανοµένων των δαπανών για δηµόσιες σχέσεις, ελέγχους ασφαλείας και έρευνες. Η κυβερνοασφάλιση έρχεται να προστεθεί στα υπόλοιπα µέτρα που οφείλει να λαµβάνει µια επιχείρηση για την προστασία των ψηφιακών περιουσιακών της στοιχείων. Για να πληρούν τις προϋποθέσεις και να ασφαλιστούν στον κυβερνοχώρο, οι εταιρικοί οργανισµοί πρέπει συνήθως να συµπληρώσουν έναν κατάλογο ελέγχου των κυβερνο-αµυντικών τους µέτρων, όπως δηλώνουν τους ανιχνευτές καπνού και τους συναγερµούς πυρανίχνευσης όταν υποβάλλουν αίτηση για ασφάλιση σε περίπτωση πυρκαγιάς.
Τι καλύπτει;
Συνήθως οι ασφαλιστικές εταιρείες συντάσσουν συµβόλαια µε βάση συγκεκριµένες καταστάσεις: µια πληµµύρα ή πυρκαγιά ή πώς πρέπει ένας εργαζόµενος να χειρίζεται ένα µηχανοκίνητο όχηµα. Έτσι, οι ασφαλιστές µπορούν να καλύπτουν συγκεκριµένους κινδύνους βάσει πιθανοτήτων και να προσφέρουν συµβόλαια όπου µπορούν να προβλέψουν σε σηµαντικό βαθµό το ύψος τυχόν αποζηµιώσεων. Αντιθέτως, η ασφάλιση στον κυβερνοχώρο δεν έχει οριστεί µε συνεκτικό τρόπο, καθώς το τεχνολογικό περιβάλλον και οι επακόλουθες απειλές εξελίσσονται διαρκώς.
Εκτεθειµένες σε "Ηµέρες Μηδέν", όπου η ζηµιά έχει αποκαλυφθεί αλλά όχι αποκατασταθεί, οι εταιρείες δεν µπορούν να εκµηδενίσουν την πιθανότητα να χάσουν δεδοµένα ή να διακοπεί η λειτουργία των δραστηριοτήτων τους. Κάθε οντότητα θα πρέπει να επιλέξει µια κυβερνοασφάλιση ως µια υγιή εταιρική πρακτική, όπως η ασφάλιση πυρός. Η πρόκληση έγκειται στην κατανόηση της γλώσσας του ασφαλιστηρίου συµβολαίου για να συνειδητοποιήσουν οι εταιρείες από ποιους τύπους εγκλήµατος στον κυβερνοχώρο καλύπτονται. Υπάρχουν τέσσερις µεγάλες κατηγορίες πιθανών ζηµιών λόγω παραβίασης της κυβερνοασφάλειας: το κόστος από την παύση δραστηριοτήτων ώσπου να αποκατασταθεί η ζηµιά, τα λύτρα, οι νοµικές ευθύνες και οι αγωγές σε βάρος του εταιρικού οργανισµού.
Είναι σηµαντικό να υπάρχει ειδική διατύπωση για τις δαπάνες αποκατάστασης και την απώλεια εισοδηµάτων σε περιστατικά ransomware. Ένα ασφαλιστήριο συµβόλαιο µπορεί να καλύπτει µόνο το τίµηµα των λύτρων, το οποίο µπορεί να είναι ελάχιστο σε σύγκριση µε τις απώλειες της επιχείρησης εξαιτίας διαταραχών στη λειτουργία της ή στην προσπάθεια ανάκτησης των συστηµάτων της.
Υπάρχουν ασφαλιστικές που αρνούνται να ασφαλίσουν;
Ένα σωστά διατυπωµένο κυβερνοασφαλιστήριο θα ορίζει µε σαφήνεια κάθε κατηγορία που καλύπτεται, θα αναλύει και θα αξιολογεί τους κινδύνους και θα διευκρινίζει ποιοι είναι οι απαραίτητοι έλεγχοι και τα συστήµατα που συνάδουν µε το συµβόλαιο, καθώς και τυχόν εξαιρέσεις. Υπάρχουν, ωστόσο, περιπτώσεις που µπορεί να οδηγήσουν µια ασφαλιστική να αρνηθεί να καλύψει ένα συµβάν κυβερνοασφάλειας.
"Σφάλµα συντήρησης": Αντικείµενο σύγχυσης σε µια ασφάλιση στον κυβερνοχώρο είναι ο ακριβής καθορισµός των όρων και προϋποθέσεων για να είναι έγκυρο το συµβόλαιο. Τα παραδοσιακά συµβόλαια για την ασφάλιση πυρός περιγράφουν συγκεκριµένα τον εξοπλισµό και τις διαδικασίες για τη δοκιµή και την πιστοποίησή του όσον αφορά την πρόληψη πυρκαγιάς. Ωστόσο η ασφάλιση στον κυβερνοχώρο είναι ένας τοµέας που εξελίσσεται συνεχώς. Λόγω των διαρκώς νέων τρόπων επίθεσης από τους χάκερ, είναι δύσκολο να καθοριστούν οι ελάχιστες απαιτήσεις για την πρόληψη. Ως εκ τούτου, ένας ασφαλιστής µπορεί να επικαλεστεί οποιαδήποτε εξαίρεση ως "σφάλµα συντήρησης" και να αρνηθεί την κάλυψη. Υπάρχει άλλη µία πρόκληση για τις επιχειρήσεις όπου όντως δεν έχουν παραβιαστεί τα συστήµατά της από κάποιο "σφάλµα συντήρησης". Ήδη έχουν ασκηθεί αγωγές εναντίον επιχειρήσεων όταν οι πελάτες τους ανακάλυψαν πως υπήρχαν κενά ασφαλείας που δεν είχαν αποκατασταθεί. Εκτός και αν το είδος του συµβάντος καλύπτεται σύµφωνα µε ρητή αναφορά στο ασφαλιστήριο, ένα συµβόλαιο για ασφάλιση στον κυβερνοχώρο δεν θα καλύψει αποζηµιώσεις που σχετίζονται µε τις αγωγές.
"Πράξη πολέµου": Οι πολιτικές συγκρούσεις µπορεί να επηρεάσουν µια επιχείρηση µε διάφορους απροσδόκητους τρόπους. Μια "πράξη πολέµου" επιδέχεται πολλές ερµηνείες, δηµιουργώντας χώρο για µια άλλη πιθανή ρήτρα εξαίρεσης που οδηγεί σε άρνηση κάλυψης από µια ασφαλιστική. Αυτή η ρήτρα, και η έλλειψη σαφούς ορισµού της για την ασφάλεια στον κυβερνοχώρο, µπορεί να επικαλεστεί ότι µια παραβίαση ήταν πράξη πολέµου, εάν οι χάκερ σχετίζονται µε δραστηριότητες που υποστηρίζονται από κρατικούς µηχανισµούς. Το σκεπτικό αυτό µπορεί επίσης να εφαρµοστεί εάν η οµάδα που ζητά λύτρα διατηρεί ενδεχοµένως ύποπτους δεσµούς µε τροµοκρατικούς κύκλους, καθιστώντας παράνοµη την πληρωµή των λύτρων από τις ασφαλιστικές, καθώς θα παρέβαιναν τη νοµοθεσία κατά της χρηµατοδότησης τροµοκρατικών οργανώσεων.
Η ασφάλιση στον κυβερνοχώρο θα πρέπει να είναι ακόµα ένα στοιχείο στη λίστα ελέγχου κάθε εταιρείας δίπλα στα αντίγραφα ασφαλείας, καθώς οι εγκληµατίες του κυβερνοχώρου χρησιµοποιούν πιο εξελιγµένες µεθόδους για να αποκτήσουν πρόσβαση στα ψηφιακά περιουσιακά στοιχεία των οργανισµών. Με αυτόν τον τρόπο, θα µπορούν να διασφαλίσουν ότι, εάν και όταν τα κρίσιµα για την επιχείρησή τους συστήµατα και πληροφορίες εκτεθούν σε κίνδυνο, θα έχουν τις κατάλληλες διασφαλίσεις για να ελαχιστοποιήσουν τις οικονοµικές επιπτώσεις οποιασδήποτε παραβίασης της ασφάλειας.
