Γιατί είναι λανθασμένη η άποψη πως οι μικρές επιχειρήσεις δεν χρειάζονται ασφάλιση δικτυακών κινδύνων (Cyber Insurance).
Το πρόβλημα
H ασφάλιση δικτυακών κινδύνων (Cyber Insurance) όχι μόνο προστατεύει τις επιχειρήσεις από σημαντικές χρηματικές απώλειες-αν επέλθει ο κίνδυνος- αλλά επιπλέον αποτελεί και εργαλείο διαχείρισης ρίσκου.
Είναι πια γνωστό σε όλους μας πως οι κυβερνοεπιθέσεις αποτελούν σύγχρονη ασύμμετρη απειλή και ένας κίνδυνος που η συχνότητα επέλευσής του είναι ανησυχητική και με τεράστιες χρηματικές απώλειες για το θύμα της επίθεσης.
Η λανθασμένη εκτίμηση ιδιοκτητών και Γενικών Διευθυντών
Στους ιδιοκτήτες και Γενικούς Διευθυντές των λεγόμενων μικρών και μεσαίων επιχειρήσεων κυριαρχεί η άποψη πως οι επιχειρήσεις που διοικούν δεν χρειάζονται την ασφάλιση δικτυακών κινδύνων , γιατί δεν είναι – λόγω μεγέθους – εκτεθειμένες στους παραπάνω κινδύνους.
Ποια είναι η πραγματικότητα
Η παραπάνω άποψη είναι λανθασμένη και η πραγματικότητα είναι πως κυρίως οι μικρομεσαίες επιχειρήσεις χρειάζονται την παραπάνω κάλυψη, για τους εξής λόγους:
- Βάσει μελετών το 60% των καταγεγραμμένων επιθέσεων αφορά μικρές και μεσαίες επιχειρήσεις
- Υπάρχουν γενικευμένες και όχι στοχευμένες επιθέσεις.
Σε αυτού του τύπου επιθέσεις οι κυβερνο εγκληματίες εντοπίζουν τρωτά σημεία π.χ συγκεκριμένης έκδοσης ενός λειτουργικού συστήματος και εξαπολύουν τυφλή επίθεση σε όλους τους παγκόσμιους χρήστες του συστήματος. Γνωστότερη τέτοιου τύπου υπόθεση είναι η “WannaCry”, όπου έγινε επίθεση σε 600.000 χρήστες και υπολογιστές, από τους οποίους ζητήθηκαν λύτρα.
Περαιτέρω, δημιουργήθηκαν τεράστια προβλήματα στη λειτουργία επιχειρήσεων, αλλά δυστυχώς και στο Εθνικό Σύστημα Υγείας της Αγγλίας (NHS).
- Υπάρχει “πώληση” ευαίσθητων προσωπικών δεδομένων.
Για έναν κυβερνο εγκληματία που υποκλέπτει και πωλεί προσωπικά δεδομένα, είναι περισσότερο επικερδή τα αναφερόμενα στη νομοθεσία ως ιδιαίτερα προσωπικά δεδομένα.
Έτσι για παράδειγμα, πωλούνται πολύ ακριβότερα δεδομένα υγείας παρά αριθμοί πιστωτικών καρτών. Το γεγονός αυτό καθιστά σαν θελκτικούς στόχους όχι μόνο παρόχους υπηρεσιών υγείας, ανεξαρτήτως μεγέθους, αλλά και οποιαδήποτε μικρή και μεσαία επιχείρηση που πιθανά παρέχει στο προσωπικό της πρόγραμμα ομαδικής ασφάλισης.
Είναι περιττό να τονιστεί η επικινδυνότητα που υπάρχει για τον υπολογιστή του Διευθυντή Προσωπικού, στον οποίο υπάρχουν προσωπικά δεδομένα υγείας εργαζομένων από τα claims του ομαδικού συμβολαίου που έχει διαχειριστεί! - Βιομηχανική κατασκοπεία.
Δεν ανταποκρίνεται στη πραγματικότητα η άποψη πως το φαινόμενο αυτό αφορά μόνο μεγάλες ή πολυεθνικές επιχειρήσεις. Οποιαδήποτε επιχείρηση, οποιουδήποτε μεγέθους , δραστηριοποιούμενη σε οποιονδήποτε κλάδο έχει τα δικά της ανταγωνιστικά πλεονεκτήματα, τις δικές της συνταγές και πατέντες, τα οποία αντιδεοντολογικοί ανταγωνιστές έχουν όφελος να υποκλέψουν. - Περιορισμένος προϋπολογισμός για μέσα προστασίας.
Συνήθως οι μικρότερου μεγέθους εταιρείες έχουν περιορισμένο προϋπολογισμό για συστήματα ασφαλείας και προστασίας από κυβερνοεπιθέσεις (hardware,firewalls κλπ).
Επιπλέον, πολλές επιχειρήσεις δεν έχουν καν εσωτερικό τμήμα ΙΤ, αλλά αναθέτουν την προστασία και εύρυθμη λειτουργία των συστημάτων τους σε εξωτερικούς παρόχους, οι οποίοι επισκέπτονται την επιχείρηση μόνο για την επίλυση προβλημάτων ή στην καλύτερη περίπτωση στα πλαίσια περιοδικού follow up.
