Σήμερα ένα μικρό μέρος των ελληνικών εταιρειών έχει κάνει έργα συμμόρφωσης με τη βοήθεια εξωτερικών συμβούλων και περίπου 2.000 εταιρίες έχουν ορίσει Υπεύθυνο Προστασίας Δεδομένων (Data Protection Officer). To σύνολο των Ελληνικών εταιριών με 50 εργαζόμενους και άνω ανθρώπινο δυναμικό είναι 4.500. Οι εταιρείες αυτές είναι και οι πρώτες που θα ενσωματώσουν το Γενικό Κανονισμό στις διαδικασίες λειτουργίας τους. Σύμφωνα με έρευνες που έχουν γίνει δεν είναι μόνο στην Ελλάδα τα ποσοστά συμμόρφωσης μικρά, τα ίδια ισχύουν και στην υπόλοιπη Ευρώπη.
του Νίκου Γεωργόπουλου cyRM, MBA, CDPO, Cyber Risks Insurance Advisor, Cromar Coverholder at Lloyds
Το μεγαλύτερο πρόβλημα που αντιμετωπίζουν οι επιχειρήσεις είναι η εσωτερική αντίσταση σε οτιδήποτε επιφέρει αλλαγές στον τρόπο λειτουργίας τους, είναι η αλλαγή κουλτούρας η αλλαγη της οποίας είναι ένας συνεχής αγώνας οποίος ξεκίνησε την 25.05.2018. Γενικά, το 2018 μπορεί να θεωρηθεί έτος του πελάτη γιατί εκτός από το θέμα του Κανονισμού έχουμε και την IDD και την Directive NIS η οποία αφορά τις κρίσιμες υποδομές και επηρεάζει και την ασφαλιστική αγορά, συνεπώς ήταν ένα έτος κανονιστικής συμμόρφωσης των εταιρειών» εξηγεί ο Νίκος Γεωργόπουλος cyRM, MBA, CDPO, Cyber Risks Insurance Advisor στην Cromar Coverholder at Lloyds.
Τα οφέλη για τις εταιρείες από την εναρμόνισή τους
Ο Γενικός Κανονισμός είναι μια διαδικασία αποτύπωσης του τρόπου λειτουργίας μιας επιχείρησης, του τρόπου αντιμετώπισης των δικαιωμάτων του πελάτη, της προστασίας των υποδομών της και της εξασφάλισης της ομαλής συνέχισης λειτουργίας της. Πολλές εταιρείες μετά τη διαδικασία αποτύπωσης των διαδικασιών τους και των ροών των δεδομένων τους ανακάλυψαν ότι έκαναν πράγματα τα οποία έπρεπε να αλλάξουν ή να καταργήσουν για να διαχειριστούν καλύτερα τον κίνδυνο. Επίσης η διαχείριση των τριών βασικών στοιχείων της πληροφορίας τα οποία είναι η εμπιστευτικότητα, η ακεραιότητα και η διαθεσιμότητα, τις ανάγκασε να ελέγξουν τι κατάλληλα τεχνικά και οργανωτικά μέτρα διέθεταν ανάλογα με τη φύση της πληροφορίας που διαχειρίζονταν και τι επιπλέον μέτρα έπρεπε να λάβουν.
Οι επιχειρήσεις σε δεύτερη φάση θα πρέπει να εκμεταλλευτούν τη δυνατότητα που τους δίνει ο Γενικός Κανονισμός να πιστοποιηθούν ως προς την τήρηση των διαδικασιών τους, η πιστοποίηση των διαδικασιών τους αυξάνει την εμπιστοσύνη των πελατών σε αυτές.
Παράλληλα η υιοθέτηση του Γενικού Κανονισμού αναγκάζει τις επιχειρήσεις να γίνουν πελατοκεντρικές και αυξάνει την πιστότητα (loyalty) των πελατών σε αυτές κάτι που μακροπρόθεσμα θα επηρεάσει και το δείκτη διατηρησιμότητας των πελατών τους. Ας μην ξεχνάμε ότι η διατηρησιμότητα των καλών πελατών εξασφαλίζει την κερδοφορία μιας επιχείρισης. Η εφαρμογή του Γενικού Κανονισμού προστατεύει και τα συμφέροντα των μετόχων μιας επιχείρησης και είναι ένας παράγοντας αξιολόγησης των μεγάλων εταιριών από τους Οίκους Αξιολόγησης.
Πώς μπορεί η ασφάλιση cyberinsurance να συμβάλλει στη θωράκιση των εταιρειών
Η διαδικασία ανάληψης κινδύνου (Underwriting) από μια ασφαλιστική εταιρεία αποτελεί στην ουσία έναν δωρεάν έλεγχο του επιπέδου ασφάλειας του συστήματος διαχείρισης της πληροφορίας που έχει μια επιχείρηση και είναι κάτι που οι επιχειρήσεις πρέπει να κάνουν σε συνεργασία με τον ασφαλιστή που θα επιλέξουν. Μετά τις 25.05.2018 αυτό που είδαμε στην Ευρωπαϊκή αγορά της ασφάλισης Cyber Insurance είναι μια μεγάλη αύξηση του αριθμού των προσφορών που ζητήθηκαν από επιχειρήσεις χωρίς να συνοδευτεί με αντίστοιχο αριθμό ασφαλιστηρίων συμβολαίων.
Οι εταιρείες μετά τη λήψη της προσφοράς συνέχισαν τις εργασίες συμμόρφωσης λαμβάνοντας υπόψη και τις παρατηρήσεις των ασφαλιστών. Παρατηρώντας τους λόγους για τους οποίους αγοράζει κάποια εταιρία cyber insurance σύμφωνα με την έρευνα “2018 Survey of Cyber Insurance Market Trends” της PartnerRe θα δει ότι ο τρίτος λόγος είναι η απαίτηση των πελατών τους.
Η ασφάλιση των επιχειρήσεων γίνεται πλέον απαίτηση της αγοράς και εμπορική πρακτική που θα επιβάλλεται από τις επιχειρήσεις στις μεταξύ τους εμπορικές σχέσεις.
Πιο απλά αν δεν έχει μια επιχείρηση ασφάλιση Cyber Insurance δεν θα μπορεί να συμμετάσχει σε κάποιες εμπορικές συμφωνίες. Επιπλέον η ασφάλιση Cyber Insurance κάνει λειτουργικό το Πλάνο Αντιμετώπισης Περιστατικών (Incident Response Plan) της επιχείρησης παρέχοντας πρόσβαση σε ειδικούς διαχείρισης περιστατικών παραβίασης ασφάλειας (δικηγόρους, πραγματογνώμονες ηλεκτρονικού εγκλήματος, επικοινωνιολόγους κ.λπ.) οι οποίοι έχουν αντιμετωπίσει πλήθος περιστατικών.
Δεν είναι εύκολο για μια επιχείρηση να βρει εξειδικευμένους στη διαχείριση περιστατικών παραβίασης ασφάλειας τη στιγμή που τους χρειάζεται χωρίς την ύπαρξη ασφάλισης cyber insurance. Η αγορά της ασφάλισης Cyber Insurance είναι μία δυναμική αγορά που συνεχώς προσφέρει νέες ασφαλιστικές καλύψεις, όπως την κάλυψη περιστατικών social engineering (κοινωνική μηχανική), στα περιστατικά αυτά οι διαβασμένοι κυβερνοεγκληματίες σπαταλούν χρόνο να μάθουν περισσότερα για την εταιρεία επιλέγουν έναν άνθρωπο-κλειδί, κατά κύριο λόγο από το οικονομικό τμήμα ή κάποιο βασικό προμηθευτή της εταιρείας. Στη συνέχεια, αποστέλλεται ένα email το οποίο υπογράφει ο CEO ή ο CFO της εταιρείας-στόχου ή ο προμηθευτής, στην προσπάθεια να πείσει εντέχνως τον υπάλληλο που διαχειρίζεται τις συναλλαγές, να προχωρήσει σε κατάθεση χρημάτων σε λογαριασμούς των κυβερνοεγκληματιών, εκτός από τις ασφαλιστικές καλύψεις προσφέρουν και υπηρεσίες διαχείρισης κινδύνου.
Στην ελληνική αγορά τα περισσότερα περιστατικά παραβίασης ασφάλειας αφορούν περιστατικά social engineering και ransomware (Λογισμικό κλειδώματος εταιρικών αρχείων και καταβολής λύτρων για την επανάκτησή τους). Περισσότερες πληροφορίες για την προετοιμασία της επιχείρησής σας στην αντιμετώπιση περιστατικών παραβίασης ασφάλειας μπορείτε να βρείτε στη βραβευμένη από την αγορά των Lloyd’s εκπαιδευτική μηχανή (https://www. cyberinsurancequote.gr/insurance/incident-plan/).
Πηγή: Ασφαλιστικό Marketing Φεβρουαρίου 2019
