Πολλές κοινωνικές αλλαγές έχουν ενταθεί με την πανδημία του Covid-19, αλλά καμιά περισσότερο από τον ψηφιακό μετασχηματισμό. Σε όλο τον κόσμο, επιχειρήσεις μεγάλες και μικρές, συμπεριλαμβανομένων των περισσότερων ασφαλιστών, αναγκάστηκαν να επιλέξουν την εργασία από το σπίτι, σε μια προσπάθεια να μειωθεί η εξάπλωση του κορονοϊού και να προστατεύσουν τους υπαλλήλους και πελάτες τους, βασιζόμενοι σχεδόν αποκλειστικά στις ψηφιακές τεχνολογίες, ώστε να μένουν σε επαφή και να συνεχίσουν τη λειτουργία τους. Τόσο η ικανότητα όσο και η ασφάλεια των συστημάτων πληροφορικής έχουν μπει απότομα στο μικροσκόπιο, με την Europol, την ευρωπαϊκή υπηρεσία επιβολής του νόμου, να αναφέρει ότι η άνευ προηγουμένου μεταβολή στη κυβερνο-δραστηριότητα έχει σημειώσει αντίστοιχη αύξηση της εγκληματικότητας στον κυβερνοχώρο, επισημαίνει σε άρθρο του, στην Ετήσια Έκθεση 2019-2020 της Insurance Europe (δείτε εδώ), ο Nicolas Jeanmart, επικεφαλής Προσωπικής και Γενικής Ασφάλισης της Insurance Europe.

«Αυτό έρχεται σε μια εποχή που οι φορείς της ασφαλιστικής βιομηχανίας, μαζί με τους υπεύθυνους χάραξης πολιτικής της Ε.Ε., εντείνουν ήδη τις προσπάθειές τους για να αντλήσουν οφέλη από την αύξηση της ψηφιοποίησης, περιορίζοντας όσο το δυνατόν περισσότερο τους συναφείς κινδύνους», τονίζει ο Nicolas Jeanmart και συνεχίζει: «Από την πλευρά των υπευθύνων χάραξης πολιτικής της Ε.Ε., η Ευρωπαϊκή Επιτροπή της Ursula von der Leyen, η οποία ανέλαβε  τα καθήκοντά της το Δεκέμβριο του 2019, στη βάση μιας διπλής πλατφόρμας αειφορίας και ψηφιοποίησης, δεσμεύτηκε να ενισχύσει το συνονθύλευμα των κανόνων ασφάλειας στον κυβερνοχώρο στην Ε.Ε. Οι υπεύθυνοι χάραξης  πολιτικής θέλουν να οικοδομήσουν πάνω στο Γενικό Κανονισμό Προστασίας Δεδομένων, ο οποίος γιόρτασε τα δεύτερα γενέθλιά του το Μάιο του 2020, την Οδηγία για την Ασφάλεια Δικτύων και Πληροφοριών, η οποία πρόκειται να  αναθεωρηθεί στα τέλη του 2020 και το νόμο για την ασφάλεια στον κυβερνοχώρο, ο οποίος τέθηκε σε ισχύ τον Ιούνιο του 2019. Ενώ αυτοί οι κανόνες επικεντρώνονται σε επιχειρήσεις που επεξεργάζονται προσωπικά δεδομένα (Γενικός Κανονισμός Προστασίας Δεδομένων), αναλαμβάνουν βασικές  υπηρεσίες (ασφάλεια δικτύων και πληροφοριών) ή θέλουν να πιστοποιήσουν τα προϊόντα, τις διαδικασίες και τις υπηρεσίες τους (νόμος για την ασφάλεια στον κυβερνοχώρο), οι υπεύθυνοι χάραξης πολιτικής εστιάζουν τώρα απευθείας στα χρηματοπιστωτικά ιδρύματα, επιδιώκοντας να αντιμετωπίσουν το ορατό χάσμα στην κυβερνοασφάλεια, καθώς και να αυξήσουν την "ψηφιακή λειτουργική ανθεκτικότητα" του τομέα στο σύνολό του».

Έχοντας αυτά υπόψη, η Επιτροπή πραγματοποίησε διαβουλεύσεις για ένα «πλαίσιο» νέων κανόνων τεχνολογίας πληροφοριών και επικοινωνιών (ΤΠΕ), με στόχο να συγκεντρώσει όλες τις πτυχές της κυβερνοασφάλειας του χρηματοπιστωτικού τομέα στο πλαίσιο μίας νομοθετικής πράξης. Ο στόχος της Επιτροπής είναι να θεσπίσει προαπαιτούμενα για όλους τους οργανισμούς σε ολόκληρο το χρηματοπιστωτικό τομέα, συμπεριλαμβανομένων και των ασφαλιστικών εταιρειών, στους τομείς:

• Διαχείριση κινδύνων ΤΠΕ
• Αναφορά περιστατικών και ανταλλαγή πληροφοριών
• Stress-test της υποδομής ΤΠΕ και
• Επίβλεψη κρίσιμων ΤΠΕ από τρίτους παρόχους

Όχι στην κοινή για όλους προσέγγιση

«Εάν υιοθετηθεί, η προβλεπόμενη προσέγγιση της Επιτροπής θα μπορούσε να αλλάξει το τοπίο της διαχείρισης, αναφοράς και πρόληψης συμβάντων στον κυβερνοχώρο σε ολόκληρο το χρηματοπιστωτικό τομέα της Ε.Ε.», επισημαίνει ακόμη ο κ. Jeanmart. «Για την Insurance Europe, αποτελεί βασικό στοιχείο αυτής της διαδικασίας να ληφθεί υπόψη ότι ο χρηματοπιστωτικός τομέας δεν είναι ομοιόμορφος, καθώς οι οργανισμοί διαφέρουν κατά πολύ – όχι μόνο στον τύπο, το μέγεθος και το προφίλ τους, αλλά και στους κινδύνους στους οποίους εκτίθενται και συστήματα και υπηρεσίες που πρέπει να προστατεύονται και να συντηρούνται. Οι Ευρωπαίοι ασφαλιστές ζητούν επομένως μια προσέγγιση βάσει κινδύνου για την ανθεκτικότητα στον κυβερνοχώρο, κάνοντας διάκριση μεταξύ κρίσιμων και λιγότερο κρίσιμων λειτουργιών».

Ευθυγράμμιση κανόνων

Η Επιτροπή δεν είναι το μόνο όργανο που στοχεύει στην ενίσχυση της ασφάλειας στον κυβερνοχώρο του ασφαλιστικού κλάδου, καθώς η EIOPA θα δημοσιεύσει επίσης κατευθυντήριες γραμμές ανά τομέα για την ασφάλεια και τη διακυβέρνηση των ΤΠΕ, όσον αφορά τον ασφαλιστικό κλάδο.

Ως εκ τούτου, η Insurance Europe ζήτησε την εναρμόνιση μεταξύ των διαφόρων πρωτοβουλιών σε επίπεδο Ε.Ε., προκειμένου να αποφευχθεί ο πολλαπλασιασμός των υποχρεώσεων και απαιτήσεων που επιβάλλονται σε οργανισμούς – οι οποίες όλες αποσκοπούν στην επίτευξη του ίδιου στόχου. Για τον ίδιο λόγο, οι ασφαλιστές θα ήθελαν επίσης τον εξορθολογισμό των απαιτήσεων αναφοράς, σύμφωνα με το Γενικό Κανονισμό Προστασίας Δεδομένων, την Οδηγία για την ασφάλεια δικτύων και πληροφοριών (όπου απαιτείται) και ένα μελλοντικό πλαίσιο ψηφιακής επιχειρησιακής ανθεκτικότητας.

Οι δύο όψεις του ίδιου νομίσματος

Σε αυτόν το χώρο της κυβερνοασφάλειας, η (αντ)ασφαλιστική βιομηχανία κατέχει μία μοναδική θέση, τόσο ως ένας τομέας που βρίσκεται σε όλο και πιο ευάλωτη θέση έναντι των επιθέσεων στον κυβερνοχώρο, όσο και ως ένας τομέας που μπορεί να προσφέρει προστασία μέσω μιας σειράς προϊόντων και υπηρεσιών ασφάλειας στον κυβερνοχώρο.

Η κυβερνο-ασφάλιση έχει να διαδραματίσει βασικό ρόλο, βοηθώντας τις ευρωπαϊκές επιχειρήσεις να καταστούν πιο ανθεκτικές στον κυβερνοχώρο, προσφέροντας πολλές διαφορετικές υπηρεσίες, πριν και μετά από ένα συμβάν. Η ασφάλιση στον κυβερνοχώρο μπορεί επίσης να ενισχύσει την ανταγωνιστικότητα των ευρωπαϊκών επιχειρήσεων – συμβάλλοντας στην προώθηση της όρεξης για καινοτομία σε τομείς της ψηφιακής τεχνολογίας, παρέχοντας ένα δίχτυ ασφαλείας, έτσι ώστε, αν τα πράγματα πάνε στραβά, να μη φέρουν τον κίνδυνο μόνες.

Είναι καλύτερο για τις επιχειρήσεις, ωστόσο, εάν έχουν λιγότερη ανάγκη να επωφεληθούν από την κάλυψη ζημιών ή την εκ των υστέρων υποστήριξη, και οι ασφαλιστές έχουν επίσης ένα βασικό ρόλο να διαδραματίσουν στην πρόληψη-ευαισθητοποίηση των επιχειρήσεων για την πιθανή έκθεσή τους, αξιολογώντας την «υγιεινή» των τεχνολογιών πληροφορικής τους.

Κατά τη διάρκεια της πανδημίας του Covid-19, οι ασφαλιστές δραστηριοποιήθηκαν στον τομέα της πρόληψης και αρκετές εθνικές Ενώσεις διεξήγαγαν εκστρατείες για την ευαισθητοποίηση όσον αφορά τους κινδύνους που συνδέονται με την εργασία από το σπίτι, συμπεριλαμβανομένης της αυξημένης ευαλωτότητας των επιχειρήσεων λόγω της χρήσης ιδιωτικών οικιακών δικτύων και υπολογιστών. Πράγματι, η πανδημία επιβεβαίωσε τη σημασία της ανθεκτικότητας στον κυβερνοχώρο για επιχειρήσεις όλων των μεγεθών και τόνισε το βασικό ρόλο των ασφαλιστών στην πρόληψη, το μετριασμό και τη μεταφορά του κινδύνου στον κυβερνοχώρο.

Τα «ναι» και τα «όχι» όσον αφορά τις πολιτικές

Αν και παραδοσιακά φαίνεται να υστερεί έναντι της αδελφής αγοράς των ΗΠΑ, η ευρωπαϊκή αγορά ασφάλειας στον κυβερνοχώρο αναπτύσσεται χρόνο με το χρόνο, συμβάλλοντας έτσι στην αύξηση της ανθεκτικότητας της Ευρώπης στον κυβερνοχώρο. Τον Οκτώβριο του 2019, η Insurance Europe δημοσίευσε ένα φυλλάδιο που περιέχει συστάσεις (τα «ναι» και τα «όχι») για τους υπεύθυνους χάραξης πολιτικής, στην προσπάθειά τους να ενθαρρύνουν περαιτέρω την ανάπτυξη της αγοράς.

Μεταξύ αυτών των συστάσεων, οι Ευρωπαίοι ασφαλιστές ζητούν υποστήριξη από τους υπεύθυνους χάραξης πολιτικής σε ολόκληρη την Ε.Ε., στον τομέα της ευαισθητοποίησης, της συνεργασίας δημόσιου-ιδιωτικού τομέα και της αυξημένης πρόσβασης σε δεδομένα για συμβάντα στον κυβερνοχώρο.

Όσον αφορά το θέμα των δεδομένων, η Insurance Europe τάσσεται υπέρ της αξιοποίησης των υφιστάμενων δεδομένων για συμβάντα στον κυβερνοχώρο, όπως δεδομένα περιστατικών που συλλέχθηκαν βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων και της Οδηγίας για την ασφάλεια δικτύων και πληροφοριών – και μελλοντικά δεδομένα που τυχόν θα συγκεντρωθούν στο πλαίσιο του Πλαισίου Ψηφιακής Λειτουργικής Ανθεκτικότητας. Για το σκοπό αυτό, από το 2018, η Insurance Europe έχει ήδη αναπτύξει ένα πρότυπο για ειδοποιήσεις παραβιάσεων, βάσει του Γενικού Κανονισμού Προστασίας Δεδομένων, το οποίο θα επέτρεπε τη συλλογή δεδομένων σε ανώνυμη αλλά επαρκώς λεπτομερή μορφή, ώστε να είναι χρήσιμη για τον ασφαλιστικό κλάδο.

Όσον αφορά τα «όχι» των πολιτικών, οι Ευρωπαίοι ασφαλιστές συμβουλεύουν να μην εισαχθεί η πρόωρη τυποποίηση της υποχρεωτικής ασφάλισης για τους κινδύνους στον κυβερνοχώρο, καθώς αυτό θα εμπόδιζε μια αγορά που αναπτύσσεται, αλλά δεν έχει ακόμη φτάσει στην πλήρη της ωριμότητα, υπογραμμίζει ο επικεφαλής Προσωπικής και Γενικής Ασφάλισης της Insurance Europe.