Άρθρο του κ. Νίκου Γεωργόπουλου, που δημοσιεύτηκε στο Broker’s Time 57*

*Ο κ. Γεωργόπουλος είναι ΜΒΑ, cyRM, CDPO, Cyber Risks Insurance Advisor Cromar coverholder at Lloyd’s, Co Founder The DPO Academy

Ένας χρόνος συμπληρώθηκε στις 25.05.2019 από την ενεργοποίηση του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR), η εφαρμογή του οποίου επηρέασε τον τρόπο λειτουργίας των εταιρειών.

Πιο συγκεκριμένα οι εταιρείες κλήθηκαν να προσαρμόσουν πολιτικές και διαδικασίες διαχείρισης προσωπικών δεδομένων και να δημιουργήσουν υποδομές αντιμετώπισης περιστατικών παραβίασης ασφάλειας των συστημάτων τους.

Σήμερα η λειτουργία μιας επιχείρησης επηρεάζεται σημαντικά από περιστατικά παραβίασης ασφάλειας των συστημάτων της τα οποία μπορούν να οδηγήσουν σε διακοπή εργασιών.

Ένα περιστατικό παραβίασης ασφάλειας μπορεί να προκαλέσει αδυναμία χρήσης των εταιρικών συστημάτων και μη δυνατότητα εξυπηρέτησης των πελατών της. Αν το περιστατικό παραβίασης συνοδεύεται και από απώλεια προσωπικών δεδομένων πελατών έχουμε δημιουργία άγχους και δυσαρέσκειας στους πελάτες, δυσαρέσκεια που μεταφράζεται σε απώλεια πελατών και εσόδων.

Κάθε περιστατικό παραβίασης ασφάλειας δημιουργεί κρίση στην εταιρεία και η διαχείρισή του απαιτεί εκπαιδευμένο ανθρώπινο δυναμικό, ύπαρξη Πλάνου Αντιμετώπισης Περιστατικών και ασφάλιση cyber insurance η οποία εκτός από την κάλυψη των οικονομικών συνεπειών προσφέρει την τεχνογνωσία διαχείρισης περιστατικών και τους ειδικούς οι οποίοι κάνουν το Πλάνο Αντιμετώπισης Περιστατικών της εταιρείας λειτουργικό.

Η ασφάλιση Cyber Insurance είναι ένα δυναμικό προϊόν το οποίο εξελίσσεται ενσωματώνοντας νέες ασφαλιστικές καλύψεις, παροχή υπηρεσιών πρόληψης και διαχείρισης των περιστατικών παραβίασης ασφάλειας και εξειδικευμένα προϊόντα για συγκεκριμένους κλάδους εταιρειών όπως των εταιρειών τεχνολογίας και των ναυτιλιακών.

Τα πιο συνηθισμένα περιστατικά που αντιμετωπίζουν οι επιχειρήσεις στην Ελλάδα είναι το κλείδωμα των συστημάτων τους από κακόβουλο λογισμικό (ransomware) και η αποστολή χρημάτων σε άγνωστο παραλήπτη (fraudulent instructions) μετά από λήψη παραποιημένου παραστατικού συνήθως τιμολογίου προμηθευτή μέσω email και οι δύο παραπάνω περιπτώσεις αντιμετωπίζονται αποτελεσματικά με την ύπαρξη κατάλληλων διαδικασίων και εκπαίδευσης του ανθρώπινου δυναμικού της.

Αυτό που παρατηρήθηκε μετά την εφαρμογή του Γενικού Κανονισμού Προστασίας Προσωπικών Δεδομένων (GDPR) είναι ότι μέσα στους κύριους λόγους αγοράς ασφαλιστικής κάλυψης από τις εταιρείες οι οποίοι είναι:

  • Η ύπαρξη ενός περιστατκού παραβίασης ασφάλειας σε ανταγωνιστή
  • Η ύπαρξη ενός περιστατικού στην ίδια την εταιρεία
  • Η απαίτηση ενός πελάτη/προμηθευτή για να προχωρήσει η μεταξύ τους συνεργασία

ανέβηκε στην τρίτη θέση η απαίτηση ενός πελάτη/προμηθευτή για να προχωρήσει μια συνεργασία η ύπαρξη ασφαλιστικής κάλυψης. Η ανάγκη προστασίας των εταιρειών από περιστατικά παραβίασης ασφάλειας που μπορούν να συμβούν σε συνεργαζόμενες με αυτές εταιρείες, τα οποία μπορούν να επηρεάσουν τις λειτουργίες τους και να τις φέρουν αντιμέτωπες με διοικητικά πρόστιμα που μπορούν να φθάσουν έως και 4% του ετήσιου τζίρου τους, ήταν η αιτία που ανέβασε στην τρίτη θέση την ύπαρξη ασφαλιστικής κάλυψης.

Για το λόγο αυτόν άρχισαν να ζητάνε την ασφάλιση των πελατών/προμηθευτών μιας και ήταν ο καταλληλότερος τρόπος εξασφάλισης, η ύπαρξη ασφαλιστικής κάλυψης σε σχέση με τη διενέργεια ενός ελέγχου του οποίου τα αποτελέσματα όσο καλά και να ήταν δεν εξασφαλίζουν τη διαθεσιμότητα των πόρων αντιμετώπισης ενός περιστατικού.

Για την ενημέρωση των διαμεσολαβούντων και των εταιρειών έχουμε δημιουργήσει την εκπαιδευτική μηχανή www.cyberinsurancequote.gr στην οποία μπορείτε να βρείτε εκπαιδευτικό υλικό για την αντιμετώπιση περιστατικών παραβίασης ασφάλειας και τη χρήση της ασφάλισης ως εργαλείο διαχείρισης κινδύνου.