Cyber Claims: Η ανατομία μιας ιδιαίτερα σύνθετης ζημιάς

Διανύουμε μια περίοδο συνεχούς αύξησης των κρουσμάτων ηλεκτρονικών και διαδικτυακών επιθέσεων. Μόνο στην AIG, στην περιοχή της Ευρώπης, της Μέσης Ανατολής και της Αφρικής, το 2016 χειριστήκαμε 60 φορές περισσότερα περιστατικά σε σχέση με το 2013.

“Το κόστος μιας επίθεσης διαρροής δεδομένων υπολογίζεται παγκοσμίως πως ανέρχεται πλέον στα 3,5 εκατ. ευρώ, ποσό που έχει αυξηθεί κατά 29% από το 2003, σύμφωνα με στοιχεία

της IBM και του Ινστιτούτου Ponemon.

Η AIG έχει χειριστεί μια πληθώρα αιτιάσεων που αφορούν ηλεκτρονικούς και διαδικτυακούς κινδύνους, σε παγκόσμιο, ευρωπαϊκό και τοπικό επίπεδο, και η εμπειρία μάς έχει δείξει πως πρόκειται για ζημιές ιδιαίτερα σύνθετες στη διαχείρισή τους.

Θα φέρω εδώ ως παράδειγμα μια ασφαλισμένη σε εμάς εταιρεία στον τομέα των κατασκευών, με 300 εργαζομένους και κύκλο εργασιών μεταξύ 50 και 70 εκατ. ευρώ τον χρόνο. Την 1η Δεκεμβρίου 2016, έπεσε θύμα επίθεσης ransomware, με αποτέλεσμα να μην έχει πρόσβαση στο 85% περίπου των αρχείων και φακέλων της.

Η AIG επενέβη άμεσα μετά την ειδοποίησή της, παρέχοντας υπηρεσίες ΙΤ Forensics. Αποφασίστηκε να γίνει ανάκτηση αρχείων από back up, εργασία για την οποία χρειάστηκαν δύο ημέρες. Σε αυτό το διάστημα, οι εργαζόμενοι δεν μπορούσαν να δουλέψουν, γεγονός που είχε ως αποτέλεσμα απώλεια εισοδημάτων, δεδομένου του ότι η συγκεκριμένη εταιρεία χρεώνει τους πελάτες της με βάση τις εργατοώρες που επενδύει σε κάθε έργο.

Το κόστος για αυτές τις δύο ημέρες ανήλθε σε 73.500 ευρώ, χωρίς τις αμοιβές των ειδικών. Σε αυτήν την περίπτωση, έπρεπε να κινηθούμε παράλληλα σε διάφορες κατευθύνσεις, τόσο για να επαναφέρουμε την ομαλή λειτουργία της εταιρείας όσο και για να υπολογίσουμε το κόστος της ζημιάς, λόγω της απώλειας των εργασιών.

Εάν θέλουμε να δούμε τι σημαίνει μια επίθεση μεγάλης κλίμακας, έχουμε το παράδειγμα ενός νοσοκομείου που έπεσε θύμα hackers, οι οποίοι απέκτησαν πρόσβαση στα ιατρικά αρχεία 40.000 ασθενών. Σε αυτήν την περίπτωση, συνεργαστήκαμε με εταιρείες IT Forensics, για τη διαχείριση του περιστατικού, την ενημέρωση των ασθενών αλλά και των αρμόδιων αρχών, και δημιουργήσαμε ένα τηλεφωνικό κέντρο για την απάντηση ερωτημάτων.

Η AIG αποζημίωσε τον πελάτη με 400.000 ευρώ για αποζημιώσεις και έξοδα για κακόβουλη χρήση των στοιχείων που κλάπηκαν, 156.000 ευρώ για τα έξοδα του τηλεφωνικού κέντρου και την ειδοποίηση των ασθενών, 22.000 ευρώ για έξοδα IT Forensics, 80.000 ευρώ για νομικά έξοδα και 445.000 ευρώ για πρόστιμα διοικητικών αρχών.

Από τα παραπάνω παραδείγματα αξίζει να κρατήσουμε τα εξής: κατά πρώτον, οι ζημιές πράγματι μπορεί να λάβουν πολύ μεγάλες διαστάσεις, αυτό όμως δεν σημαίνει ότι οι μικρότερες σε μέγεθος επιθέσεις είναι αμελητέες. Κατά δεύτερον, έχουμε να αντιμετωπίσουμε μια σύνθετη κατηγορία ζημιών, που περιλαμβάνει πρόστιμα, απώλεια κερδών, διακοπή εργασιών, προβλήματα στην τεχνική υποδομή της εταιρείας, έξοδα τεχνικών, νομικών συμβούλων και ειδικών διαχείρισης κρίσεων, αλλά και μια σοβαρή κρίση στο πρόσωπο και την αξιοπιστία της εταιρείας.

Τέλος, υπάρχει μια λανθασμένη αντίληψη ότι οι επιθέσεις αφορούν συγκεκριμένες κατηγορίες επιχειρήσεων. Η εμπειρία μας έχει αποδείξει το αντίθετο: από τους χρηματοοικονομικούς οργανισμούς και τις τηλεπικοινωνίες, μέχρι την υγεία, τον τουρισμό, τις κατασκευές, το εμπόριο, ακόμη και τις μη κυβερνητικές οργανώσεις, έχουμε παραδείγματα ζημιών. Το ερώτημα λοιπόν παραμένει στο εάν και σε ποιον βαθμό επαρκούν τα μέτρα ασφαλείας που λαμβάνουν οι ασφαλισμένοι.

Γράφει ο Κώστας Βούλγαρης, Financial Lines and Casualty Manager, AIG Greece

Πηγή: Broker’s Time, Τεύχος 49

 

Ετικέτες

[adrotate banner="18"]
[adrotate banner="5"]
[adrotate banner="6"]

Πρόσφατα Άρθρα

Follow Us

[et_bloom_inline optin_id="optin_3"]