Η αύξηση των κυβερνοεπιθέσεων έχει αφυπνίσει πολλές ελληνικές επιχειρήσεις

Η αύξηση των κυβερνοεπιθέσεων έχουν αφυπνίσει πολλές ελληνικές επιχειρήσεις κάνοντας ενέργειες για να προστατευθούν. Καθώς η τεχνολογία συνεχίζει να εξελίσσεται, το ίδιο συμβαίνει και με τις ευκαιρίες αλλά και προκλήσεις που παρέχει.

Έφη Κοκορέλη, Project & Product Manager στην Karavias Corporate & Specialty Broker (Περιοδικό “am”, Μάιος 2025)

Είμαστε σε ένα σταυροδρόμι καθώς «κινούμαστε» σε μια κοινωνία ήδη συνυφασμένη με το Διαδίκτυο μέχρι την επόμενη εποχή αυτοματισμού, Big Data και Internet of Things (IoT). Η τεχνολογία φέρνει ολοένα και μεγαλύτερα οφέλη, αλλά φέρνει όλο και μεγαλύτερες απειλές όπως κυβερνοέγκλημα, βιομηχανική κατασκοπεία και κυβερνοεπιθέσεις.

Είναι ύψιστης προτεραιότητας να προστατευθούμε από:

• Επιθέσεις όπως botnet και ransomware.

• Απειλές χειραγώγησης δεδομένων, κλοπής και κυβερνοπολέμου.

Οι προκλήσεις που αντιμετωπίζουν οι χώρες σε όλο τον κόσμο είναι:

• Η ανάγκη για περισσότερη συνεργασία προκειμένου να μετριαστούν οι απειλές

• Εκπαίδευση και ευαισθητοποίηση.

• Η ισορροπία μεταξύ ιδιωτικότητας και ασφάλειας

Η ατομική ασφάλιση για κυβερνοκινδύνους

Πρόκειται για μια πολύπλοκη μορφή ασφάλισης. Η ασφάλιση cyber risk απασχολεί την ελληνική ασφαλιστική αγορά τόσο για την προοπτική ανάπτυξης, όσο και των προκλήσεων και των ειδικών θεμάτων όπως underwriting, risk management, προστασίας προσωπικών δεδομένων και άλλα, που θα πρέπει να επιλυθούν κατά την διάρκεια της διαδικασίας της ανάληψης των κινδύνων.

Οι πιο συνηθισμένοι κυβερνοκίνδυνοι

Ο COVID-19 έχει περιπλέξει περαιτέρω το τοπίο απειλών στον κυβερνοχώρο. Η παγκόσμια προσπάθεια επιβράδυνσης των ρυθμών μόλυνσης προκάλεσε μια ταχεία στροφή στην απομακρυσμένη εργασία. Σε μικρό χρόνο, οι επαγγελματίες ασφάλειας πληροφορικής έπρεπε να ανταποκριθούν στις προκλήσεις που εισήγαγε η εργασία εξ αποστάσεως, όπως:

1. οι μετακινήσεις εταιρικών δεδομένων
2. Διαδίκτυο για πρόσβαση σε εφαρμογές που βασίζονται σε:

• cloud,
• εταιρικό λογισμικό,
• τηλεδιασκέψεις και
• κοινή χρήση αρχείων

Παρόλο που οι λύσεις λογισμικού είχαν τεθεί σε εφαρμογή για την ασφάλειά σύμφωνα με τα δεδομένα του κάθε οργανισμού, συχνά δεν υπήρχαν πολιτικές που να βοηθούν τους εργαζόμενους από τις απειλές και τρωτά σημεία που έπρεπε να αντιμετωπίσουν όταν ο χώρος εργασίας τους βρισκόταν η μεταβάλλονταν εκτός παραδοσιακού περιβάλλοντος γραφείου.

Οι εργαζόμενοι ενδέχεται να ενεργούν ακούσια με τέτοιον τρόπο εκθέτοντας την επιχείρηση σε απειλές στον κυβερνοχώρο.

Παραδείγματα τέτοιων λαθών που αναφέρονται συχνά:

1. συνδέουν συσκευές εργασίας σε δημόσια δίκτυα Wi-Fi, μοιράζονται εταιρικές συσκευές με την οικογένεια η μέλη χωρίς εξουσιοδότηση,
2. σύνδεση συσκευών εργασίας με προσωπικό εξοπλισμό χωρίς άδεια και χρήση προσωπικών συσκευών για πρόσβαση σε εφαρμογές εργασίας
3. μη εξουσιοδοτημένες εφαρμογές αντίθετες με τις πολιτικές του οργανισμού.

Όλες αυτές οι ενέργειες αυξάνουν τον κίνδυνο έκθεσης των δεδομένων στα θέματα κυβερνοασφάλειας περιπλέκοντας την διαδικασία προστασίας της επιχείρησης

Οι καλύψεις στην Ελλάδα

Το ασφαλιστήριο cyber insurance είναι tailor made για μεγάλες εταιρείες με καλύψεις και όρια προσαρμοσμένα στις ανάγκες της εταιρείας ενώ για την κάλυψη των αναγκών των μικρομεσαίων επιχειρήσεων υπάρχουν συγκεκριμένα πακέτα cyber insurance

Καλύψεις που προσφέρονται είναι:

Κάλυψη κυβερνοεπιθέσεων : Καλύπτει ζημίες που προκαλούνται από κυβερνοαπειλές, όπως κακόβουλο λογισμικό (malware), απώλεια δεδομένων, επιθέσεις ransomware, και άλλες κυβερνοεπιθέσεις.

Κάλυψη Ευθύνης: Παρέχει προστασία σε περίπτωση που η επιχείρησή σας θεωρηθεί υπεύθυνη για τη διαρροή προσωπικών δεδομένων ή άλλες παραβιάσεις ασφάλειας.

Κόστος Ανακατασκευής και Αποκατάστασης: Καλύπτει τα έξοδα ανακατασκευής του συστήματος, αποκατάστασης δεδομένων και άλλες δαπάνες που προκύπτουν από μια κυβερνοεπίθεση.

Ειδικές κατηγορίες κυβερνοεπιθέσεων: Καλύψεις ειδικές για συγκεκριμένες κατηγορίες κυβερνοεπιθέσεων, όπως phishing, DDoS επιθέσεις ή κακόβουλα λογισμικά.

Η νομοθεσία και η κουλτούρα των επιχειρήσεων

Η αύξηση των κυβερνοεπιθέσεων έχει αφυπνίσει πολλές ελληνικές επιχειρήσεις. Οι κλάδοι που διέπονται από αυστηρό ρυθμιστικό ή κανονιστικό πλαίσιο όπως χρηματοπιστωτικά ιδρύματα και τηλεπικοινωνίες έχουν κάνει σημαντικές επενδύσεις για την αντιμετώπιση του κυβερνοεγκλήματος. Αυτό όμως που παρατηρούμε τελευταία επιχειρήσεις και από άλλους κλάδους να κάνουν ενέργειες για να προστατευθούν. Κάθε επιχείρηση θα πρέπει να διαθέτει ασφάλεια έναντι στις κυβερνοεπιθέσεις και σχέδιο επαναφοράς τα οποία αποτελούν υποχρεώσεις των εταιρειών στο πλαίσιο συμμόρφωσης με κανονισμούς όπως ο GDPR.

Έλεγχος στο επίπεδο “τρωτότητας” των επιχειρήσεων

Οι ασφαλιστικές εταιρείες να αξιολογούν το επίπεδο ασφαλείας της επιχείρησής προτού προσφέρουν κάλυψη, η πρόληψη κυβερνοεπιθέσεων μπορεί να επηρεάσει τις προσφερόμενες τιμές ασφαλίστρων.

Ο αυξημένος αριθμός των ζημιών ανάγκασε τις ασφαλιστικές εταιρίες να επανεκτιμήσουν την διαδικασίας ανάληψης κινδύνου.

Η επανεκτίμηση συνοδεύτηκε με μεγαλύτερο έλεγχο των τεχνικών και οργανωτικών μέτρων κάθε εταιρίας για την αντιμετώπιση περιστατικών παραβίασης, με

1. αλλαγές των παρεχόμενων καλύψεων
2. μείωση ορίων ασφαλιστικής κάλυψης
3. εισαγωγή συνασφάλισης
4. αύξηση απαλλαγών και αυξήσεις ασφαλίστρων.

Στην νέα πολιτική ανάληψης κινδύνου ο ασφαλισμένος καλείται να επιβεβαιώσει ότι διαθέτει και εφαρμόζει ενισχυμένα επίπεδα ελέγχου ασφάλειας για την πρόληψη, τον εντοπισμό και την ανταπόκριση στα σημερινά εξελιγμένα περιστατικά παραβίασης ασφάλειας.

Η εξέλιξη της αγοράς CyberInsurance

Σε επίπεδο παγκόσμιας αγοράς σύμφωνα με την έκθεση “Cybersecurity Insurance Market” που δημοσιεύτηκε από την Markets and Markets, η αγορά ασφάλισης κυβερνοασφάλειας προβλέπεται να αυξηθεί από 10,3 δισεκατομμύρια δολάρια το 2023 σε 17,6 δισεκατομμύρια δολάρια έως το 2028, με ετήσια αύξηση 11,4% στην περίοδο πρόβλεψης.

Στην έρευνα του ΣΕΒ αναφέρεται ότι μόνο το 6,9% των ελληνικών επιχειρήσεων έναντι 25,5% στην Ευρωπαϊκή Ένωση, έχουν επικαιροποίησει την στρατηγική και αναθεώρηση των πολιτικών της ψηφιακής τους ασφάλειας, τους τελευταίους 12 μήνες.

Άρα αυτό που θα πρέπει οι επιχειρήσεις να πραγματοποιήσουν άμεσα για την προστασία τους είναι η επικαιροποίηση της στρατηγική τους και η αναθεώρηση

των πολιτικών της ψηφιακής τους ασφάλειας.