Γράφει ο Νίκος Γεωργόπουλος

Ας υποθέσουμε ότι μία επίθεση ransomware διέκοπτε τη λειτουργία των καταστημάτων μιας εταιρίας λιανεμπορίου στις ΗΠΑ και σε άλλες Ευρωπαϊκές χώρες που είχε παρουσία. Αν η εταιρεία είναι εισηγμένη σε Χρηματιστήριο των ΗΠΑ, οι συνέπειες θα ήταν εκτεταμένες, επηρεάζοντας την οικονομική της σταθερότητα, την εταιρική φήμη τις σχέσεις με τους μετόχους και θα προκαλούσε άμεση ενημέρωση των ρυθμιστικών αρχών.

Οικονομικές επιπτώσεις

Στις ΗΠΑ, οι οικονομικές επιπτώσεις μιας επίθεσης ransomware σε μια εισηγμένη εταιρεία θα μεγεθύνονταν. Η εκτιμώμενη ζημία θα ήταν πολύ μεγαλύτερη από την ζημιά μιας Ευρωπαϊκής εταιρίας λόγω των υψηλότερων λειτουργικών δαπανών, των νομικών εξόδων και των πιθανών προστίμων.

Επιπλέον συνέπειες ενός περιστατικού ransomware:

- Πτώση της τιμής της μετοχής: Οι εισηγμένες στο χρηματιστήριο εταιρείες συχνά βιώνουν άμεση πτώση των τιμών των μετοχών μετά την αποκάλυψη περιστατικών στον κυβερνοχώρο. Η εμπιστοσύνη των επενδυτών θα κλονιζόταν, οδηγώντας σε πιθανή πώληση μετοχών. Αν η διαχείριση του συμβάντος ήταν αποτελεσματική η πτώση της τιμής των μετοχών θα ήταν πολύ μικρή.

- Διαταραχές εταιρικών λειτουργιών: Σημαντικό ρόλο παίζει η χρονική στιγμή της επίθεσης, αν γινόταν λίγο πριν από τη Black Friday, θα επιδείνωνε τις απώλειες κατά τη διάρκεια μιας κρίσιμης περιόδου πωλήσεων. Στις ΗΠΑ, αυτό θα μπορούσε να μεταφραστεί σε απώλεια εσόδων δεκάδων εκατομμυρίων.

Ρυθμιστικές και νομικές προκλήσεις

Το ρυθμιστικό τοπίο των ΗΠΑ επιβάλλει αυστηρές απαιτήσεις στις εισηγμένες στο χρηματιστήριο εταιρείες. Πιο συγκεκριμένα η εισηγμένη εταιρία θα έπρεπε να προβεί σε :

- Υποχρεωτική γνωστοποίηση συμβάντος  στην Επιτροπής Κεφαλαιαγοράς: Η Επιτροπή Κεφαλαιαγοράς επιβάλλει την κοινοποίηση σημαντικών περιστατικών κυβερνοασφάλειας εντός τεσσάρων εργάσιμων ημερών. Η μη συμμόρφωση θα μπορούσε να οδηγήσει σε πρόστιμα και κυρώσεις.

- Συμμόρφωση με τον GDPR και τον CCPA: Η δραστηριοποίηση σε πολλαπλές δικαιοδοσίες θα απαιτούσε την τήρηση τόσο του Γενικού Κανονισμού για την Προστασία Δεδομένων (GDPR) όσο και του Νόμου της Καλιφόρνιας για την Προστασία του Απορρήτου των Καταναλωτών (CCPA), προσθέτοντας πολυπλοκότητα στις νομικές υποχρεώσεις.

- Γνωστοποίηση του συμβάντος στην Αρχή Καταπολέμησης της Νομιμοποίησης Εσόδων από Παράνομες Δραστηριότητες: Οποιαδήποτε πληρωμή λύτρων θα πρέπει να συμμορφώνεται με τους κανονισμούς περί νομιμοποίησης εσόδων από παράνομες δραστηριότητες, ώστε να αποφεύγεται η χρηματοδότηση εγκληματικών οργανώσεων ή η παραβίαση κυρώσεων.

Αξιώσεις μετόχων και δικαστικές διαμάχες

Ένας από τους σημαντικότερους κινδύνους για μια εταιρεία εισηγμένη στις ΗΠΑ θα ήταν οι αξιώσεις των μετόχων:

- Συλλογικές αγωγές μετόχων: Οι μέτοχοι θα μπορούσαν να καταθέσουν αγωγές ισχυριζόμενοι ότι η εταιρεία απέτυχε να εντοπίσει τα κινδύνους που συνδέονται με την  κυβερνοασφάλεια, να τους αντιμετωπίσει και να διαχειριστεί αποτελεσματικά τις επιπτώσεις μιας επίθεσης ransomware. Αυτές οι αξιώσεις προκύπτουν συχνά όταν οι τιμές των μετοχών πέφτουν σημαντικά μετά από ένα περιστατικό.

- Παραβίαση καθήκοντος από τα διοικητικό συμβούλιο και τα στελέχη της εταιρίας: Οι μέτοχοι ενδέχεται να κατηγορήσουν το διοικητικό συμβούλιο και τα στελέχη της εταιρίας ότι δεν εφάρμοσαν επαρκή μέτρα κυβερνοασφάλειας, με αποτέλεσμα να προκληθούν οικονομικές απώλειες.

- Κόστη διακανονισμών: Οι ομαδικές αγωγές για κινητές αξίες που σχετίζονται με παραβιάσεις δεδομένων έχουν οδηγήσει σε διακανονισμούς ρεκόρ, με ορισμένες υποθέσεις να ξεπερνούν τα εκατοντάδες εκατομμύρια δολάρια. Το κόστος αυτό θα μπορούσε να επιβαρύνει περαιτέρω τις οικονομικές καταστάσεις της εταιρείας.

- Μη ύπαρξης ασφάλισης cyber insurance:  H μη ύπαρξη ασφάλισης  cyber insurance η χρήση της οποίας μειώνει τις οικονομικές συνέπειες ενός περιστατικού παραβίασης και προστατεύει τα συμφέροντα των μετόχων έχει στο παρελθόν αποτελέσει αντικείμενο αγωγών.

Διαχείριση φήμης

Η ζημία φήμης από μια επίθεση ransomware μπορεί να είναι καταστροφική, ειδικά για μια μάρκα που απευθύνεται στον τελικό καταναλωτή.

Πιο συγκεκριμένα μια τέτοια επίθεση θα μπορεί να επηρεάσει την Εμπιστοσύνη των πελατών: Οι παρατεταμένες διαταραχές στο ηλεκτρονικό εμπόριο και τις αλυσίδες εφοδιασμού θα διαβρώσουν την εμπιστοσύνη των πελατών, επηρεάζοντας τη μακροπρόθεσμη εμπιστοσύνη και θα τους οδηγήσουν στην αναζήτηση άλλων παρόχων.

Επίσης θα προκαλέσει την προσοχή των μέσων μαζικής ενημέρωσης: Το περιστατικό θα προσέλκυε ευρεία προσοχή από τα μέσα μαζικής ενημέρωσης, ενισχύοντας τις αρνητικές εντυπώσεις και ενδεχομένως οδηγώντας σε δημόσιες αντιδράσεις.

Συμπέρασμα

Η επίθεση ransomware σε μια εισηγμένη σε Χρηματιστήριο των ΗΠΑ εταιρεία θα είχε σημαντικές συνέπειες οι οποίες θα ενισχύονταν από το ρυθμιστικό περιβάλλον της χώρας, τη δυναμική της αγοράς και τις προσδοκίες των καταναλωτών. Οι αξιώσεις των μετόχων θα προσέθεταν άλλο ένα επίπεδο πολυπλοκότητας, οδηγώντας ενδεχομένως σε δαπανηρές δικαστικές διαμάχες και διακανονισμούς.

Το σενάριο αυτό λειτουργεί ως προειδοποιητικό μήνυμα για τις επιχειρήσεις να δώσουν προτεραιότητα στη διαχείριση των ψηφιακών κινδύνων για να διασφαλίσουν τις λειτουργίες και τη φήμη τους επενδύοντας στην κυβερνοασφάλεια και στην κυβερνοασφάλιση.

Ποιός είναι ο Νίκος Γεωργόπουλος

Digital Risk Insurance Broker – Cromar

Co-Founder: The DPO Academy

LinkedIn Profile https://www.linkedin.com/in/nikos-georgopoulos/