Με μεγάλη επιτυχία πραγματοποιήθηκε την Τρίτη 5 Νοεμβρίου 2019 Cyber Insurance & Incident Response Conference. Tο Συνέδριο οργανώθηκε πρώτη φορά στην Ελλάδα από την Ethos Events, σε συνεργασία με το οικονομικό και επιχειρηματικό portal banks.com.gr και το περιοδικό ΧΡΗΜΑ. Επί τάπητος τέθηκαν όλες οι απειλές και οι αναδυόμενοι κίνδυνοι στο εν εξελίξει νέο περιβάλλον που δημιουργείται και επηρεάζει κοινωνία, οικονομία και επιχειρήσεις. Ειδικοί του κλάδου των cyber ασφαλίσεων, υπεύθυνοι ασφαλείας πληροφοριακών συστημάτων, νομικοί και λοιποί εμπειρογνώμονες ανέλυσαν τους κινδύνους που επηρεάζουν την καθημερινή λειτουργία μιας εταιρείας, οι οποίοι μπορούν να απειλήσουν την ομαλή λειτουργία και τη διαθεσιμότητα των συστημάτων της, να επιφέρουν σημαντικές επιβαρύνσεις στα οικονομικά της αποτελέσματα και στη φήμη της. Επίσης, στο επίκεντρο βρέθηκαν οι τάσεις και τα απαιτούμενα «εργαλεία» με στόχο την ανάπτυξη του Cyber Insurance και τις ενέργειες που απαιτούνται για την διαχείριση των εν λόγω κινδύνων.
Την ανάγκη εμβάθυνσης σε εξειδικευμένες υπηρεσίες γύρω από τον ασφαλιστικό κλάδο με έμφαση στους cyberκινδύνους – κάτι που μπορεί να επηρεάζει πλέον όλες τις πτυχές της κοινωνικής και οικονομικής δραστηριότητας – σημείωσε κατά την εισαγωγική του ομιλία ο Γενικός Διευθυντής της Ethos Media, κ. Κωνσταντίνος Ουζούνης.
Σχετικά νέοι αλλά ραγδαία εξελισσόμενοι είναι οι cyber κίνδυνοι, σημείωσε κατά την ομιλία της η Γενική Διευθύντρια της ΕΑΕΕ, κ. Μαργαρίτα Αντωνάκη. «Ο ψηφιακός μετασχηματισμός εκτός από τα οφέλη ανοίγει το έδαφος για νέους εγκληματίες. Στις προκλήσεις της ασφαλιστικής αγοράς συγκαταλέγονται η πρόληψη και η ασφάλιση του», σημείωσε. Όπως τόνισε, το cyber crime δεν αφορά μόνο μεγάλες επιχειρήσεις και πολυεθνικές αλλά και όλες τις ΜμΕ. Σύμφωνα με στοιχεία της περιόδου 2017-2018 η αγορά βρίσκεται σε εμβρυακό στάδιο και κυμαίνεται στα 4 δις δολάρια (με το 90% να αφορά τις ΗΠΑ) αποτελώντας τόσο απειλή όσο και ευκαιρία. Από την πλευρά της η ΕΑΕΕ, συμβάλει στην ορθή ενημέρωση των εταιρειών – μελών της για το κρίσιμο αυτό ζήτημα. Οι cyber κίνδυνοι βρίσκονται πολύ ψηλά στην ατζέντα της Ε.Ε. αλλά και οι επιχειρήσεις έχουν αρχίσει να συνειδητοποιούν τον νέο κίνδυνο και να ενημερώνονται
Στους βασικούς, μεταξύ άλλων, παράγοντες που επηρεάζουν την αγορά cyber ασφαλίσεων και στους λόγους που δεν αγοράζουν οι επιχειρήσεις cyber καλύψεις αναφέρθηκε ο κ. Νίκος Γεωργόπουλος, cyRM MBA CDPO, Cyber Risks Advisor της Cromar Insurance Brokers Ltd – Lloyd’s Cover Holder, προτάσσοντας την ανάγκη για εκπαίδευση. «Ο πελάτης δύνανται να μην κατανοεί την κάλυψη, την πραγματική έκθεσή του στον κίνδυνο και όλες τις διαδικασίες που απαιτούνται μετά από ένα χτύπημα. Η αγορά πρέπει να ακούσει τον πελάτη», σημείωσε. Σύμφωνα με τις εκτιμήσεις, η προβλεπόμενη μέση ετήσια αύξηση στα ασφάλιστρα αναμένεται στο 25% μέχρι το 2025. Πληθώρα κινδύνων αναδύονται στον ορίζοντα, όπως τόνισε, με την Ελλάδα να απασχολούν – για την ώρα – περισσότερο περιστατικά όπως telephone hacking, ransom και απάτες στην μεταφορά κεφαλαίων.
Οι cyber κίνδυνοι και η διακοπή εργασιών αποτελούν τους κορυφαίους κινδύνους, σημείωσε από την πλευρά του ο κ. Σπύρος Λαθούρης, Head, IT – Cyber Risks Expert της Matrix Group. Αναφορικά με το δεύτερο, οι κυβερνοεπιθέσεις θα είναι η κύρια αιτία που θα οφείλεται η διακοπή εργασιών καθώς η ραγδαία αύξηση του Internet of Things και η περαιτέρω ανάπτυξη της τεχνολογίας δημιουργεί νέους κινδύνους. Όπως σημείωσε χαρακτηριστικά, «μιλάμε πλέον για Insecurity of Things (IoT)». Σε αυτό το πλαίσιο, κίνδυνοι ελλοχεύουν σε συνδεδεμένες συσκευές/εξοπλισμό κρίσιμης σημασίας όπως σε νοσοκομεία, βηματοδότες, μετρητές ζαχάρου κ.ά. Κατά τα άλλα, σύμφωνα με τις εκτιμήσεις τα ασφάλιστρα παγκοσμίως αναμένεται να ξεπεράσουν τα 22 δις δολάρια. Προπομπός εξελίξεων στη Γηραιά Ήπειρο, όπως τόνισε, αποτέλεσε το GDPR.
Οι τάσεις & οι προοπτικές της αγοράς ασφάλισης Cyber Insurance απασχόλησαν το Panel 1 του συνεδρίου στην οποία συμμετείχαν ο κ. Βασίλης Βασιλείου, Chief Information Security Officer & Data Protection Officer, ο κ. Κώστας Βούλγαρης, Financial Lines and Casualty Manager, AIG και ο κ. Νίκος Γεωργόπουλος, Cyber Risks Advisor, Cromar Insurance Brokers Ltd – Lloyd’s Cover Holder. Συντονιστής της συζήτησης ήταν ο Γενικός Διευθυντής της Ethos Media, κ. Κωνσταντίνος Ουζούνης.
Όπως επισημάνθηκε, η ανάγκη ωρίμανσης τόσο στις επιχειρήσεις όσο και στην ίδια την αγορά κρίνεται επιτακτική, καθώς μεγάλη μερίδα θεωρεί πως με την λήψη κάποιων προληπτικών μέτρων, δεν απαιτείται εξειδικευμένη ασφάλιση. Το Cyber Insurance έρχεται να καλύψει και άλλες σύνθετες υπηρεσίες, ενώ δεν προστατεύει μόνο τα προσωπικά δεδομένα αλλά και εταιρικές λειτουργίες (πατέντες, εμπορικές συμφωνίες, συμβόλαια με προμηθευτές κ.ά.). Αυτό που πρέπει να γίνει αντιληπτό, όπως επισημάνθηκε, είναι ότι το κόστος είναι αρκετά χαμηλό σε σχέση με το ύψος των ζημιών που μπορεί να προκαλέσει μια επίθεση – κάτι που αρχίζουν σταδιακά να αντιλαμβάνονται και οι ΜμΕ. Ωστόσο απαιτείται ακόμη δουλειά, όσον αφορά την παραμετροποίηση της κοστολόγησης, καθώς οι τεχνολογικές εξελίξεις «τρέχουν» με ιλιγγιώδεις ρυθμούς και δεν υπάρχει ακόμη σοβαρή βάση δεδομένων/ιστορικό όπως τις παραδοσιακές μορφές ασφάλισης.
Όπως αναφέρθηκε, στην Ελλάδα υπάρχει ακόμη μεγάλη ανάγκη στον τομέα της εκπαίδευσης, κάτι που πρέπει να αφορά όλα τα στελέχη μιας επιχείρησης μέχρι τον CEO, για την ορθή λήψη αποφάσεων γύρω από αυτά τα ζητήματα. Τέλος, αναλύθηκε ο κρίσιμος αλλά συμβουλευτικός ρόλος ενός Υπεύθυνου Προστασίας Δεδομένων, ο οποίος καλείται να εκπαιδεύσει το προσωπικό, να δημιουργήσει το νομικό σκέλος και να υλοποιήσει το projectγια την προστασία μιας εταιρείας.
Στο Panel 2 του συνεδρίου υπό τον τίτλο Cyber Risks Management – Information Securityεπισημάνθηκε, μεταξύ άλλων, η κρισιμότητα του ανθρώπινου παράγοντα και οι σωστές λήψεις αποφάσεων που απαιτούνται. Υπό αυτό το πρίσμα, οι εταιρείες καλούνται να αυξήσουν τα κεφάλαια για την καλύτερη και αποτελεσματικότερη προστασία τους, καθώς μέχρι τώρα δεν ήταν στην κορυφή των επενδυτικών προτεραιοτήτων τους. Εφαλτήριο για την αύξηση του μπάτζετ, σε ένα βαθμό, αποτέλεσε ο νόμος GDPR, όπως επισημάνθηκε.
Στο επίκεντρο βρέθηκε και η έλλειψη εξειδικευμένου προσωπικού, καθώς μόλις 3 Πανεπιστήμια στην Ελλάδα μπορούν να συνδράμουν με άτομα που εκπαιδεύονται στην ασφάλεια πληροφοριακών συστημάτων. Μεγάλη έλλειψη αναμένεται τα επόμενα χρόνια, παγκοσμίως, και σε στελέχη της ασφαλιστικής αγοράς, που θα μπορούν να συνεισφέρουν σε αυτούς τους αναπτυσσόμενους κινδύνους. Παράλληλα, το 5G και το Wifi 6 θα δώσουν τη δυνατότητα για τη δημιουργία νέων ειδών επιθέσεων, και ως εκ τούτου θα απαιτηθούν νέες, πιο εξελιγμένες δράσεις αποτροπής τους. Οι νέες τεχνολογίες δίνουν την δυνατότητα σύνδεσης και συγχρονισμού, δημιουργώντας μια ολιστική προσέγγιση για το σύνολο της εικόνας ασφαλείας. Σύμφωνα με τα στοιχεία, όμως, μόνο 1 στις 4 εταιρείες φαίνεται να έχουν καταρτίσει πραγματικό cyber reaction plan παγκοσμίως.
Στη συζήτηση συμμετείχαν: ο κ. Ηλίας Αγγελίδης, Τεχνικός Διευθυντής Πληροφορικής και Επικοινωνιών, Algosystems, ο κ. Νίκος Σίμος, Τεχνικός Διευθυντής, Pylones Hellas A.E, ο κ. Παναγιώτης Σούλος, Υπεύθυνος Ασφαλείας Πληροφοριακών Συστημάτων, Διεύθυνση IT, Eurobank FPS και ο κ. Κώστας Παπαδάτος, Founder & Managing Director, Cyber Noesis, με συντονιστή τον κ. Αργύρη Μακρυγεώργου, Υπεύθυνο Μελών, Ελληνικό Chapter (ISC)2.
Το κανονιστικό πλαίσιο διαχείρισης περιστατικών ασφαλείας στις ηλεκτρονικές επικοινωνίες βρέθηκε στο επίκεντρο της παρουσίασης της κ. Αφροδίτης Κουσουνή, Δ.Ν, Δικηγόροy, LLM, Αρχήw Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ). Η ίδια σημείωσε πως οι προσπάθειες ρύθμισης του πλαισίου έχουν ξεκινήσει εδώ και καιρό, καθώς οι ηλεκτρονικές επικοινωνίες διευρύνονται συνεχώς. Συγκεκριμένα, αναφέρθηκε μίλησε για το Ευρωπαϊκό πλαίσιο αναφερόμενη στην Οδηγία 2002/58, άρθρο 4 και την Οδηγία 140/2009, ενώ έκανε λόγο για τις καθυστερήσεις γύρω από το e – privacy regulation. Μιλώντας για την εσωτερική έννομη τάξη, αναφέρθηκε στον ν. 3471/2006 (ενσωμάτωση της οδηγίας 2002/58), τον Ν. 3674/2008 (διασφάλιση απορρήτου τηλεπικοινωνίας) και στον Ν. 4070/2012 και τις κρίσιμες διατάξεις για την ασφάλεια και ακεραιότητα δικτύων και υπηρεσιών. Τέλος, σημείωσε πως πράγματι υπάρχει ένα πολυσχιδές πλαίσιο που δημιουργεί πολλές υποχρεώσεις, ωστόσο δημιουργεί έναν κοινό παρονομαστή: τον υπέρτατο σκοπό της προστασίας των ατομικών δικαιωμάτων, των προσωπικών δεδομένων και της ιδιωτικότητας.
Να ξεδιαλύνει το τοπίο γύρω από την νομική φύση των εν λόγω ζητημάτων είχε ως στόχο το Panel 3 υπό τον τίτλο Νομοθεσία – Συμμόρφωση με συντονιστή τον δικηγόρο κ. Τάκη Κακούρη. Συμμετείχαν η κ. Αφροδίτη Κουσουνή, Δ.Ν, Δικηγόρος, LLM, Αρχής Διασφάλισης του Απορρήτου των Επικοινωνιών (ΑΔΑΕ), η κ. Αριάννα Σέκερη, CIPP/E, CIPM, FIP, DPO, Junior Partner, ALG Manousakis Law Firm και η κ. Μαίρη Δεληγιάννη, Επικεφαλής της ομάδας Data Protection & Cybersecurity, Ζέπος & Γιαννόπουλος.
Πράγματι, όπως σημείωσαν, τα τελευταία 10 χρόνια η νομοθετική παραγωγή είναι τεράστια σε αυτά τα ζητήματα, ενώ η νομοθεσία επιβάλει τη γνωστοποίηση υποθέσεων που αφορούν την ασφάλεια και την παραβίαση προσωπικών δεδομένων. Αναλύθηκαν τεχνικά νομικά θέματα, όπως είναι ο απαιτούμενος χρόνος απόκρισης ύστερα από ένα περιστατικό, οι φορείς που πρέπει να γνωστοποιηθεί. Στο επίκεντρο βρέθηκαν ο GDPR, o NIS Directive και e – privacy regulation, ο οποίος αναμένεται. Όσον αφορά τα πρόστιμα και τις διοικητικές κυρώσεις, για το GDPR, προβλέπεται πρόστιμο ως και 10 εκ. ευρώ ή 2% επί του παγκόσμιου τζίρου. Για την NIS Directive πρόστιμο 15.000 ευρώ ανά περιστατικό και 200,000 ευρώ σε περίπτωση υποτροπής.
Με τίτλο Incident Response – Ανταπόκριση & Διαχείριση Περιστατικών Παραβίασης Ασφαλείας, οι συμμετέχοντες στο Panel 4 του συνεδρίου ανέλυσαν τις κινήσεις που απαιτούνται για την ορθή αντιμετώπιση των εν λόγω παραβιάσεων τόσο σε τεχνικό όσο και σε επικοινωνιακό επίπεδο. Όπως επισημάνθηκε, απαιτείται εξειδίκευση, εκπαίδευση και όχι γνώριμες και τυποποιημένες συμβουλές για κάθε περίπτωση.
Διακριτός και σαφής πρέπει να είναι οι ρόλοι: από τον DPO μέχρι τον τελευταίο συμμετέχοντα, ενώ κρίσιμος είναι ο ρόλος της εσωτερικής επικοινωνίας. Ιδιαίτερα λεπτές είναι και οι ισορροπίες κατά την δημοσιοποίηση ενός περιστατικού δημοσίως, καθώς απαιτούνται οι κατάλληλες ενέργειες για τη διασφάλιση της εταιρικής φήμης και την ορθή συνέχιση των λειτουργιών της εταιρείας. «Κλειδί» για τη σωστή αντιμετώπιση όλων αυτών – όπως σημείωσαν – αποτελούν η κουλτούρα, η εκπαίδευση και η τεχνογνωσία.
Στο πάνελ συμμετείχαν ο κ. Απόστολος Βόρρας, LL.M.mult, Phd (C), CIPP/E, Επικεφαλής Προστασίας Δεδομένων & Ιδιωτικότητας, KBVL Δικηγορική Εταιρεία, Μέλος του Διεθνούς Δικτύου Δικηγορικών Εταιρειών με τίτλο Deloitte Legal, η κ. Δήμητρα Ξηντάρα, CIPP/E, CIPM, CISM, FIP, Υπεύθυνη Προστασίας Δεδομένων, Όμιλος Eurolife ERB, ο κ. Αργύρης Χρυσάνθου, Security Operations Center Manager – Blue Team Leader, Neurosoft SA, o κ. Νίκος Σκυλακάκης, Διευθύνων Σύμβουλος Sk&P, με συντονιστή τον κ. Δημήτρη Γεωργόπουλο, Founder – CEO, Rethink Business Lab – RBL.