Η AIG σύµµαχος των εταιρειών ενάντια στις ψηφιακές απειλές

"Οι hackers δρουν και συνδιαλέγονται μέσα σε συγκεκριμένες κοινότητες, έχοντας σχεδόν πάντα την προσωπική τους agenda ή ενίοτε κίνητρα αυτοπροβολής."

Γιάννης Τζίτζικας

Ο Γιάννης Τζίτζικας, Διευθυντής Επιχειρηματικών Ασφαλίσεων της AIG μίλησε στο netweek για τους ψηφιακούς κινδύνους, τη ζημία που αυτοί δημιουργούν τόσο οικονομικά όσο και στη φήμη της επιχείρησης, αλλά και τις πρωτοποριακές λύσεις που προτείνει για την ασφαλιστική και νομική προστασία της επιχείρησης.

Ποιοι είναι οι κυριότεροι ψηφιακοί κίνδυνοι που αντιμετωπίζουν οι σύγχρονες εταιρείες και τι μέτρα προστασίας παίρνουν συνήθως;

Γιάννης Τζίτζικας: Οι ψηφιακοί κίνδυνοι περιλαμβάνουν μια ιδιαίτερα ευρεία κατηγορία απειλών που ενδέχεται να έχουν σοβαρό αντίκτυπο στη λειτουργία μιας εταιρείας. Κάθε επιχείρηση που διαχειρίζεται ηλεκτρονικά δεδομένα, ανεξάρτητα από το μέγεθός της ή την κατηγορία της αγοράς που δραστηριοποιείται, ενδέχεται να βρεθεί εκτεθειμένη σε αντίστοιχα περιστατικά.Με κριτήριο την προέλευσή τους, οι ψηφιακοί κίνδυνοι μπορεί να είναι τόσο εξωτερικοί όσο και εσωτερικοί. Από τη μια πλευρά hackers, ανταγωνιστές, ομάδες ακτιβιστών, προσπαθούν να διεισδύσουν στα συστήματα μιας εταιρίας και από την άλλη πλευρά έχουμε εσωτερικές «επιθέσεις» ή αμέλεια στη χρήση των δεδομένων από τους ίδιους τους υπαλλήλους.

Χαρακτηριστικό παράδειγμα εδώ είναι τα μη κρυπτογραφημένα USB Flash Drives που πολλοί εργαζόμενοι χρησιμοποιούν για να μεταφέρουν σημαντικά εταιρικά αρχεία καθώς επίσης και η χρήση mobile συσκευών. Ενώ οι συγκεκριμένες συσκευές διευρύνουν σημαντικά τις δυνατότητες, τη διαθεσιμότητα και την προσβασιμότητα των χρηστών, δεν πληρούν απαραίτητα όλες τις προδιαγραφές ασφαλείας μιας εταιρείας, ανεβάζοντας εκθετικά τις πιθανότητες «διαρροών» ή απωλειών δεδομένων. Οι επιθέσεις μπορεί να γίνουν σε μεμονωμένους υπολογιστές, data warehouses, routers, private ή common servers, ή ακόμη και clouds.

Μια άλλη μορφή εμφάνισης των συγκεκριμένων απειλών είναι η αλλοίωση, η διακοπή της παρουσίας της εταιρείας στο διαδίκτυο, ή προβλήματα εξυπηρέτησης των πελατών της σε περίπτωση διακοπής λειτουργίας του server της.Μέχρι πρότινος, η αντιμετώπιση των εν λόγω απειλών περιοριζόταν στην απαραίτητη συντήρηση του server και την αναβάθμιση των λογισμικών ασφαλείας, ενώ σε μερικές περιπτώσεις, επεκτεινόταν στην ασφάλιση του hardware για «φυσικούς κινδύνους». Ωστόσο, τα παραπάνω μέτρα δεν προφυλάσσουν σε καμία περίπτωση το βασικό απειλούμενο στοιχείο που είναι τα δεδομένα που διαχειρίζεται μια εταιρεία, είτε αμιγώς εταιρικά, είτε προσωπικά ή ευαίσθητα προσωπικά. Αντιθέτως, όσο η τεχνολογία εξελίσσεται, τόσο εξελίσσονται και οι συγκεκριμένοι κίνδυνοι και μεγαλώνει η ανάγκη για περισσότερο εξειδικευμένες λύσεις ασφάλειας.

Ποια είναι η επιχειρηματική ζημιά που μπορεί να πάθει μια εταιρεία από μια επίθεση στην IT υποδομή της;
Γιάννης Τζίτζικας: Η εμπειρία που έχουμε αποκομίσει από τα περιστατικά ζημιών που έχουμε διαχειριστεί στην AIG, αλλά και οι πληροφορίες που λαμβάνουμε καθημερινά από τους εξειδικευμένους συμβούλους με τους οποίους συνεργαζόμαστε, μας υποδεικνύουν ότι μια ενδεχόμενη ζημιά αφορά όχι μόνο στα ΙΤ συστήματα αλλά έχει σημαντικότατη επίπτωση στον ισολογισμό μιας εταιρείας και τις περισσότερες φορές και στην εταιρική φήμη. Μια διαρροή προσωπικών ή ευαίσθητων προσωπικών δεδομένων, πέρα από τις ευθύνες έναντι τρίτων που συνεπάγεται, προκαλεί κατά πρώτον σοβαρά προβλήματα στην ΙΤ υποδομή που καλείται να τα αντιμετωπίσει, ενώ παράλληλα διαχειρίζεται και τα συνήθη ζητήματα της επιχείρησης.

Η δεύτερη συνέπεια αφορά στη φήμη και τη δημόσια εικόνα της εταιρείας. Διανύουμε μια περίοδο όπου η φωνή των καταναλωτών είναι περισσότερο δυνατή από ποτέ και το ζήτημα της προστασίας των προσωπικών δεδομένων είναι υψηλά στην agenda εποπτικών οργάνων και κοινωνικών οργανώσεων. Παράλληλα, μέσω των social media, τα αρνητικά σχόλια για μια εταιρεία μεταφέρονται πολύ πιο γρήγορα σε μεγαλύτερες ομάδες ιδιωτών.Η κρίση εταιρικής φήμης αυτόματα κλονίζει την εμπιστοσύνη των καταναλωτών σε μια εταιρεία, κάτι που μεταφράζεται σε πτώση των πωλήσεων και μείωση του μεριδίου της στην αγορά. Φυσικά, είναι περιττό να πούμε ότι όλα τα παραπάνω συνδυαστικά προκαλούν μια επιπλέον κρίση στο πρόσωπο της διοίκησης της επιχείρησης.Συνεπώς η ζημία μεταφράζεται σε αλλεπάλληλα προβλήματα νομικής, οικονομικής, επικοινωνιακής και τεχνικής φύσης, σε πολύ σύντομο χρονικό διάστημα.

Είναι γεγονός ότι σε καταστάσεις κρίσης, αυξάνεται η εγκληματικότητα. Έχετε παρατηρήσει μια αύξηση στις ψηφιακές επιθέσεις σε επιχειρήσεις ένεκα της κρίσης;

Γιάννης Τζίτζικας: Πράγματι, η οικονομική κρίση οδηγεί συνήθως σε αύξηση της εγκληματικότητας. Το πιο σημαντικό είναι ότι ο «μέσος χρήσης» έχει σήμερα στη διάθεσή του πολύ περισσότερη και πολύ μεγαλύτερη υπολογιστική ισχύ απ’ ότι στο παρελθόν και βέβαια πολύ περισσότερη γνώση. Ένας νέος άνθρωπος με ένα μέσο laptop κάποιες βασικές γνώσεις, επιμονή και υπομονή μπορεί να αποκτήσει πρόσβαση σε πολύ περισσότερα δεδομένα από αυτά που μπορούμε να φανταστούμε, εκμεταλλευόμενος κενά ασφαλείας, σχεδιασμού, εργαλεία ανοικτού κώδικα, πρωτόκολλα επικοινωνίας ή απλή αμέλεια.

Το αν θα επιλέξει να κινηθεί «καλοπροαίρετα ή κακοπροαίρετα» συνδέεται με την κρίση του, σε κάθε περίπτωση όμως το πλήγμα για την εταιρία που θα δεχθεί μια τέτοια απώλεια θα είναι μεγάλο. Το πόσο σοβαρό είναι το θέμα της ασφάλειας το δείχνει ένα πρόσφατο κρούσμα στη χώρα μας, κατά το οποίο ένας 35χρονος κατάφερε να υποκλέψει προσωπικά δεδομένον 9.000.000 Ελλήνων πολιτών από το TaxisNet, τα οποία και επιχείρησε να πουλήσει. Ποιες είναι οι τάσεις όσον αφορά στο hacking σήμερα; Πιστεύετε ότι τέτοιας εμβέλειας επιθέσεις θα ενταθούν στο μέλλον;

Εδώ αξίζει να σημειωθεί ότι η φετινή έρευνα της Verizon  «2012 Data Breach Investigation Report» έβαλε την Ελλάδα στον παγκόσμιο χάρτη των χωρών στις οποίες παρουσιάστηκαν κρούσματα επιθέσεων. Ενώ ο αριθμός των χωρών ήταν 22 στην αντίστοιχη έρευνα του 2010, το 2012 αυξήθηκε στις 36. Πέρα από αυτό το παράδειγμα, όλα τα σχετικά στοιχεία δείχνουν αύξηση των περιστατικών hacking και αυτό περιμένουμε και στο μέλλον.Ωστόσο, οι επιθέσεις δεν έχουν πάντα ως πρώτο στόχο το άμεσο ή έμμεσο οικονομικό όφελος του εισβολέα.
Οι hackers δρουν και συνδιαλέγονται μέσα σε συγκεκριμένες κοινότητες, έχοντας σχεδόν πάντα την προσωπική τους agenda ή ενίοτε κίνητρα αυτοπροβολής. Επιπλέον βλέπουμε μια αύξηση στα κρούσματα ακτιβιστικών οργανώσεων hackers, ένα φαινόμενο γνωστό και ως hacktivism, π.χ. τους Anonymous, που έχουν βάλει στο στόχαστρό τους από το Υπουργείο Δικαιοσύνης των ΗΠΑ μέχρι και το Υπουργείο Δικαιοσύνης της Ελλάδας.Λαμβάνοντας υπόψη τα παραπάνω και δεδομένης της εξέλιξης της τεχνολογίας, αναμένουμε πως στο μέλλον η προστασία των δεδομένων θα εξελιχθεί σ’ έναν αγώνα δρόμου ανάμεσα στις εταιρείες και τους δυνητικούς εισβολείς.

Η AIG είναι γνωστή για την παροχή μιας πληθώρας ασφαλιστικών λύσεων για επιχειρήσεις. Γιατί αποφασίσατε να δραστηριοποιηθείτε και στο χώρο του IT;

Γιάννης Τζίτζικας: Στόχος μας ανέκαθεν ήταν να παρέχουμε ασφαλιστικά προϊόντα και υπηρεσίες που να ανταποκρίνονται στις σύγχρονες ανάγκες των ασφαλισμένων μας. Η AIG έχει ένα μακρύ ιστορικό δημιουργίας καινοτόμων προϊόντων τόσο σε παγκόσμιο επίπεδο, όσο και στην ελληνική αγορά. Θα αναφέρω ενδεικτικά την ασφάλιση αστικών ευθυνών στελεχών διοίκησης (D&O), αστικής ευθύνης προϊόντος και ανάκλησης μολυσμένων προϊόντων αλλά και περιβαλλοντικής αστικής ευθύνης (EnviroPro).

Σε όλους αυτούς τους τομείς η AIG πρωτοπόρησε, δημιουργώντας ολοκληρωμένα προγράμματα που υποστηρίζουν στο μέγιστο τις ανάγκες μιας επιχείρησης, αφού μπορούν να προσαρμοστούν για να παρέχουν:
• Υψηλά όρια ασφάλισης
• Δραστηριότητα και δωσιδικία στην Ευρώπη ή και παγκόσμια
• Υποχρέωση υπεράσπισης του ασφαλισμένου και κάλυψη των σχετικών εξόδων (Duty to defend)
• Κάλυψη εξόδων εξειδικευμένων συμβούλων
• Διοικητικά/ κανονιστικά πρόστιμα (Punitive damages)

Η δραστηριοποίησή μας στον χώρο του ΙΤ σχετίζεται με τις εξής συγκυρίες: Αφενός παρατηρούμε εδώ και καιρό πως η λειτουργία των σύγχρονων επιχειρήσεων είναι κατά κύριο λόγο ηλεκτρονική: Τα αρχεία μιας εταιρίας είναι πλέον ψηφιακά, η εξυπηρέτηση των πελατών γίνεται με ηλεκτρονικές πλατφόρμες, ενώ το μεγαλύτερο μέρος της εργάσιμης ημέρας το περνάμε είτε διαβάζοντας είτε απαντώντας σε emails από τον υπολογιστή, το smartphone ή το tablet. Επιπλέον, υιοθετούμε ολοένα και περισσότερο τις ψηφιακές πωλήσεις και επενδύουμε μεγαλύτερα κονδύλια στο digital & social media marketing.Αφετέρου η κείμενη Ελληνική και Ευρωπαϊκή Νομοθεσία και η δράση ελέγχου και εποπτείας της Αρχής Προστασίας Προσωπικών Δεδομένων έχουν κάνει σαφείς τις ευθύνες τόσο των εταιρειών αλλά και των υπευθύνων ασφαλείας και επεξεργασίας, καθήκοντα που συνήθως αναλαμβάνουν οι IT Managers των εταιρειών.

Παράλληλα, τα περιστατικά παραβίασης δεδομένων είναι ολοένα και πιο συχνά, λαμβάνουν όλο και σοβαρότερες διαστάσεις, ενώ οι επιπτώσεις τους γίνονται συνεχώς μεγαλύτερες. Εδώ λοιπόν υπήρχε ένα κενό στην ασφαλιστική αγορά, την ασφάλιση της υποδομής και των δεδομένων μιας επιχείρησης. Σε αυτό το πλαίσιο προχωρήσαμε δημιουργώντας το CyberEdge, με στόχο την προστασία των επιχειρήσεων από τις συνέπειες των ψηφιακών κινδύνων.

netweek

(Από τον φίλο μας κύριο Γεώργιο Δ.)