Η τρομερή ανάπτυξη που σημειώνεται το τελευταίο διάστημα σε ότι αφορά τη χρήση του διαδικτύου (τηλεργασία, τραπεζικές συναλλαγές κ.α.) έχει επιφέρει μεγάλη αύξηση των εγκλημάτων στον κυβερνοχώρο. Ενδεικτικά το FBI ανέφερε πως το 2020 υπήρξε αύξηση κατά 400% των κυβερνοεπιθέσεων, εν μέρει λόγω της αύξησης της εξ αποστάσεως εργασίας λόγω της πανδημίας.

Μεταξύ άλλων επιθέσεων δυο σημαντικές παραβιάσεις δεδομένων ήταν αυτές που τάραξαν την κοινή γνώμη, στη SolarWinds και την FireEye! Αμφότερες οι εταιρείες αυτές ήταν τεχνολογικοί συνεργάτες τρίτων που προσλήφθηκαν για να προστατεύσουν τους πελάτες τους από παραβιάσεις δεδομένων, αλλά εν τούτοις έγιναν οι ίδιες θύματα.

Το FBI σημείωσε πως οι επιθέσεις με ransomware αποτελούσαν περίπου το 85% όλων των περιστατικών το 2020, που ονομάστηκε «Έτος της Ψηφιακής Πανδημίας», μια τάση που είναι ολοένα αυξανόμενη το 2021 χωρίς σημάδια ύφεσης.

Σε ότι έχει να κάνει με τον ασφαλιστικό κλάδο, οι ασφαλιστές έχουν αρχίσει να επικεντρώνονται στην προστασία από τον κίνδυνο των ransomware, παρόλο που συνεχώς προκύπτουν νέες ευπάθειες λόγω της εξ αποστάσεως εργασίας. Η νέα κατηγορία εγκλημάτων θα μπορούσε να οδηγήσει σε αξιώσεις τεράστιων αποζημιώσεων, που ξεπερνούν κατά πολύ αυτές των ransomware. Τα πρόσφατα στατιστικά δείχνουν μια ανησυχητική αύξηση των ransomware και του phishing, των επιθέσεων σε διαδικτυακές εφαρμογές και συνεχώς προκύπτουν νέες τακτικές ηλεκτρονικού εγκλήματος. Ενδεικτικό της ανησυχητικής κατάστασης που έχει προκύψει, είναι πως η κυβέρνηση Μπάιντεν ανακοίνωσε μια οδηγία εθνικής ασφάλειας για την ενίσχυση της άμυνας από επιθέσεις ransomware σε κρίσιμες υποδομές.

Η νέα προσέγγιση στην πρόληψη των κινδύνων του κυβερνοχώρου

Οι ασφαλιστικές εταιρείες μπορούν να θωρακιστούν έναντι των κινδύνων στον κυβερνοχώρο με ισχυρές διαδικασίες διαχείρισης, όπως επιγραμματικά τις αναφέρουμε παρακάτω:

• Συνεχής αξιολόγηση των κινδύνων
• Προτεραιότητα αντιμετώπισης των πλέον επικίνδυνων καταστάσεων
• Επιλογή των ορθών στρατηγικών αντιμετώπισης του κινδύνου
• Αφοσίωση στην εφαρμογή των στρατηγικών αυτών
• Αξιολόγηση του υπολειπόμενου κινδύνου

Η διαχείριση του κινδύνου στον κυβερνοχώρο ακολουθεί την ίδια βασική διαδικασία και αρχές όπως η διαχείριση οποιουδήποτε άλλου κινδύνου. Ωστόσο, τα καλύτερα σχέδια διαχείρισης είναι τόσο ισχυρά όσο και ο πιο αδύναμος κρίκος τους. Όσον αφορά την ασφάλεια στον κυβερνοχώρο, αυτός ο αδύναμος κρίκος είναι συχνά ένας τρίτος προμηθευτής μιας επιχείρησης. Για αυτό η πρόσληψη ενός εξωτερικού συμβούλου, η αγορά λογισμικού προστασίας με κωδικό πρόσβασης, η δημιουργία αντιγράφων ασφαλείας των αρχείων σας και η δυνατότητα ελέγχου ταυτότητας πολλαπλών παραγόντων είναι μερικοί γρήγοροι και εύκολοι τρόποι για μια ασφαλιστική εταιρεία (και για οποιοδήποτε τύπο εταιρείας) για να «κλειδώσει την πόρτα» στους εγκληματίες του κυβερνοχώρου. Όμως, καθώς οι επιθέσεις ransomware συνεχώς αυξάνονται και δημιουργούνται παράλληλα κι άλλοι τρόποι επίθεσης, εταιρείες όλων των μεγεθών θα πρέπει να εφαρμόσουν πρόσθετα και πολυεπίπεδα μέτρα ασφαλείας αν θέλουν να θωρακιστούν στο έπακρο.

Για το λόγο αυτό οι ασφαλιστές θα πρέπει να ενημερώσουν τους πελάτες τους ότι θα πρέπει να κάνουν μια διεξοδική εκτίμηση του προσωπικού και των επιπέδων προστασίας που έχουν και να δώσουν προτεραιότητα ποιοι κίνδυνοι μπορούν να βλάψουν περισσότερο τον δικό τους τύπο επιχείρησης. Ιδανικά θα πρέπει να αναπτύξουν ένα σχέδιο αντιμετώπισης της οποιαδήποτε επίθεσης. Για την κάλυψη ζημιών όταν συμβεί αναπόφευκτα ένα συμβάν, οι εταιρείες θα πρέπει να έχουν ασφαλιστήρια συμβόλαια ασφάλειας στον κυβερνοχώρο, αλλά και να απαιτούν από τους εξωτερικούς τους συνεργάτες να έχουν κι αυτοί, ώστε να μπορούν να καλύψουν τις όποιες ζημιές προκύψουν.

Συνεχής επαγρύπνηση

Ως ασφαλιστές δεν πρέπει να εφησυχάζετε καθόλου σε ότι έχει να κάνει με την κυβερνοασφάλεια, μιας και νέοι κίνδυνοι αναδύονται συνεχώς. Αυτό που μας δίδαξε η Ψηφιακή Πανδημία είναι πως κανείς και καμία επιχείρηση δεν έχει την απαραίτητη άμυνα από μια τέτοιους είδους επίθεση. Οι εταιρείες πρέπει να θωρακιστούν και να είναι ασφαλισμένες, ενώ το ίδιο θα πρέπει να απαιτούν κι από τον εκάστοτε συνεργάτη τους, ώστε να αποκλείεται μια πιθανή παραβίαση. Οι παραβιάσεις δεδομένων είναι αναπόφευκτες, αλλά οι επιχειρήσεις μπορούν και πρέπει να προστατευτούν, αλλά και να προστατεύσουν τους πελάτες τους από κινδύνους τρίτων, επαληθεύοντας ότι τα συμβόλαια ασφάλειας στον κυβερνοχώρο είναι ενεργά και ικανοποιούν κατάλληλα τις ανάγκες της εκάστοτε εταιρείας.