Το ransomware αλλάζει τα δεδομένα στον τομέα του cyber insurance

Ακολουθήστε μας στο Linkedin και συνδεθείτε με άλλους επαγγελματίες του κλάδου

Γράφει ο Γιάννης Μουρατίδης, από Digital Finance

Η ασφαλιστική αγορά εξελίσσεται συνήθως μετρώντας τις απώλειες της. Το ransomware που μέχρι πριν μερικά χρόνια ήταν μια ασήμαντη απώλεια, απέκτησε επαρκές μέγεθος για να αναγκάσει τις ασφαλιστικές εταιρείες να διαμορφώσουν μια νέα πολιτική για τους πελάτες τους.

Το ζήτημα των κυβερνοεπιθέσεων έχει αποτελέσει ιδίως τα τελευταία χρόνια έναν μεγάλο «πονοκέφαλο» για τις ασφαλιστικές εταιρείες που αναγκάζονται να εισάγουν νέα προγράμματα ασφάλισης προς τις επιχειρήσεις προκειμένου να ανταπεξέλθουν στις συνεχείς αποζημιώσεις για επιθέσεις στα εταιρικά συστήματα.

Οι κυβερνοεπιθέσεις τύπου ransomware που βλέπουν τα φώτα της δημοσιότητας είναι η κορυφή του παγόβουνου, σύμφωνα με το Μιχάλη Μίγγο, IT Director της TicTac, η οποία ειδικεύεται στην παροχή υπηρεσιών προς εταιρείες και ιδιώτες που έχουν πέσει θύματα ransomware, “Συχνά, οι οργανισμοί αποφεύγουν να δημοσιεύσουν στοιχεία σχετικά με το ύψος των λύτρων, ενώ σε πολλές περιπτώσεις δεν δημοσιοποιούν ούτε το περιστατικό της επίθεσης. Επομένως, είναι πολύ δύσκολο να προκύψουν ασφαλή στατιστικά στοιχεία.”

Η μελέτη της Sophos (The State of ransomware 2020), η οποία δημοσιεύτηκε το Μαϊο του 2020, στο σύνολο των επιθέσεων που πραγματοποιήθηκαν το 73% ήταν πετυχημένες.

Το μέσο κόστος ανά επίθεση, όσον αφορά την πληρωμή λύτρων διαμορφώθηκε στα 760.000 δολάρια. Από τις εταιρείες που δέχτηκαν επίθεση το 84% είχαν ένα συμβόλαιο cyber insurance, αλλά το 64% είχαν κάλυψη για περιστατικά τύπου ransomware. Η αξιοπιστία των ασφαλιστικών εταιρειών ήταν πολύ υψηλή την περασμένη χρονιά, καθώς στο 94% των περιστατικών τα λύτρα πληρώθηκαν.

 Νίκος Γεωργόπουλος, Cyber Insurance Advisor, μας λέει “Μέχρι τώρα για επιθέσεις ransomware που έγιναν το 2021, τα λύτρα που έχουν ζητηθεί είναι περίπου 650 εκατομμύρια δολάρια σε λύτρα. Ωστόσο δε γνωρίζουμε το ποσό που καταβλήθηκε ή θα καταβληθεί τελικά.”

Ένα ποσοστό των λύτρων πληρώθηκε από τις ασφαλιστικές εταιρείες, με τις οποίες τα θύματα είχαν συνάψει συμβόλαια, οπότε τα βάρη για τους ισολογισμούς των εταιρειών ήταν μικρότερα από το παραπάνω ποσό. Χρειάζεται όμως να συνεκτιμήσουμε ότι το ποσό αυτό δεν περιλαμβάνει τις οικονομικές ζημιές που υπέστησαν οι οργανισμοί, λόγω της μειωμένης λειτουργικότητάς τους από τη στιγμή της επίθεσης και μέχρι να αποκατασταθεί πλήρως η λειτουργία των πληροφορικών τους συστημάτων.

Επομένως, είναι λογικό να υποθέσουμε ότι μια από τις αιτίες για την αύξηση του κόστους των ασφαλίσεων από 50% έως και 60% ήταν η “διπλή” απειλή μιας επίθεσης με ransomware. Πλέον οι επιθέσεις εκτός από το κλείδωμα των συστημάτων στοχεύουν και στην κλοπή δεδομένων, τα οποία στη συνέχεια οι εγκληματίες χρησιμοποιούν ως μέσο εκβιασμού. Παράλληλα, οι ασφαλιστικές εταιρείες προετοιμάζονται για ένα μεγαλύτερο κύμα επιθέσεων, οπότε σύμφωνα με τον Νίκο Γεωργόπουλο, έχουμε μπροστά μας αρκετές ακόμα αυξήσεις τιμών μέχρι να φτάσουμε σε μια σταθεροποίηση.

Η αγορά του cyber insurance είναι παγκόσμια
Αν και οι καταστροφές εξαιτίας των καιρικών φαινομένων τα τελευταία χρόνια είναι αρκετά πιο σφοδρές σε σχέση με το παρελθόν, τυφώνες, όπως αυτοί που έπληξαν την πολιτεία του Κεντάκι και είχαν ως αποτέλεσμα την απώλεια πάνω από 100 ανθρώπινων ζωών, δεν είναι συνηθισμένοι στη χώρα μας.

Ενώ όμως η σφοδρότητα των καιρικών φαινομένων εξαρτάται άμεσα από τη γεωγραφία μιας περιοχής, δεν ισχύει το ίδιο και για τη σφοδρότητα των κυβερνοεπιθέσεων, οι οποίες μπορεί να ξεκινήσουν από οπουδήποτε και να δημιουργήσουν ζημιές σε δεκάδες γεωγραφικές περιοχές ταυτόχρονα.

Σύμφωνα με τα όσα γνωρίζουμε από μια έρευνα που πραγματοποίησε η Kaspersky, η Ελλάδα κατατάσσεται στην 5η θέση στον κόσμο ως προς τον αριθμό επιθέσεων σε βιομηχανικά συστήματα.
Γενικότερα, όμως οι πληροφορίες για τον αριθμό των επιθέσεων ανά χώρα και ανά τομέα είναι πολύ φειδωλές, καθώς οι περισσότεροι οργανισμοί επιλέγουν να μη δημοσιοποιούν τα περιστατικά.
Δύο σημαντικές βιομηχανίες της Ελλάδας, ο τουρισμός και η ναυτιλία έχουν ήδη βρεθεί στο στόχαστρο κυβερνοεγκληματιών.

Σύμφωνα με τον Σπύρο Λαθούρη, head of IT και cyber risks expert του ομίλου Howden Matrix, οι οργανισμοί των δύο αυτών τομέων έδειξαν το περασμένο έτος ενδιαφέρον για τις υπηρεσίες cyber insurance.

Όπως αναφέρει ο ίδιος, γενικότερα εξαγωγικές εταιρείες και εταιρείες που συνεργάζονται με το εξωτερικό, είναι αυτήν την περίοδο περισσότερο ευαισθητοποιημένες, γιατί ακούν πιο συχνά από συνεργάτες τους διάφορα περιστατικά, αλλά και γιατί υποχρεώνονται στη χρήση υπηρεσιών cyber insurance, προκειμένου να μπουν σε μια συνεργασία.

Πλέον οι ασφαλιστικές δεν δέχονται να τους ασφαλίσουν όλους
Της συμφωνίας ασφάλισης κινδύνων που προέρχονται από κυβερνοεπιθέσεις προηγείται μια διαδικασία (underwriting), η οποία έχει στόχο να αξιολογήσει τις προετοιμασίες που έχει κάνει ο οργανισμός, προκειμένου να προστατευτεί. Πρόκειται για ένα μοντέλο ανάλογο με αυτό που ισχύει για μια ασφάλεια οικίας, όπου εάν ο ιδιοκτήτης έχει φροντίσει να εγκαταστήσει πόρτα ασφαλείας και συναγερμό έχει χαμηλότερο κόστος ασφάλισης από κάποιον άλλο που δεν έχει λάβει τα ίδια μέτρα προστασίας.

Στην περίπτωση που η ασφαλιστική εταιρεία κρίνει ότι ο κίνδυνος είναι πολύ μεγάλος, είναι πολύ πιθανό να μη δεχτεί την ασφάλιση του, κάτι που όπως λέει ο Κώστας Βούλγαρης, επικεφαλής του κλάδου Χρηματικών Απωλειών της AIG στην Ελλάδα “Συμβαίνει πλέον αρκετά συχνά στον τομέα του cyber insurance. Αν και η πρακτική αυτή ακούγεται ως αδιέξοδο στην πράξη είναι ένα κίνητρο για τους οργανισμούς, ώστε να δουν τις αδυναμίες τους και να τις διαχειριστούν. Ακόμα και η ίδια η διαδικασία του underwriting είναι ένα πρώτο βήμα, καθώς πολλοί οργανισμοί αποκτούν για πρώτη φορά αυτογνωσία μέσω αυτής.

Ωστόσο, όπως αναφέρει η κυρία Δήμητρα Ξηντάρα, senior cyber risk strategist και data protection officer του Ομίλου Eurolife FFH, “Πριν ακόμα φτάσει σε αυτό το στάδιο ένας οργανισμός, θα πρέπει να έχει φροντίσει για την εκπαίδευση των executive στελεχών που θα εμπλακούν στη διαδικασία του underwriting. Όπως λέει ο Σπύρος Λαθούρης, “Oι πελάτες πολύ συχνά δεν καταλαβαίνουν τι προσφέρουν οι υπηρεσίες που τους πουλά μια ασφαλιστική εταιρεία και ακόμα περισσότερο δεν καταλαβαίνουν γιατί πρέπει να κάνουν όλα αυτά που τους ζητάει η διαδικασία του underwriting.

“Πολύ συχνά ακούμε από εν δυνάμει πελάτες να απορούν γιατί χρειάζονται μια ασφαλιστική υπηρεσία, δεδομένου ότι οι εφαρμογές του λειτουργούν πάνω στο ασφαλές cloud της τάδε εταιρείας. Οπότε δεν κατανοούν ότι ανάμεσα στη Microsoft και τον οργανισμό παρεμβάλλονται εφαρμογές, οι οποίες ανοίγουν την πόρτα στο 14% των κυβερνοεπιθέσεων.”

Η όλη κατάσταση είναι φρέσκια και για τις ασφαλιστικές εταιρείες, οι οποίες σίγουρα τα ερχόμενα χρόνια θα πρέπει να κάνουν ενέργειες ώστε να μειώσουν την πολυπλοκότητα του udnerwriting.
Όπως αναφέρει ο Κώστας Βούλγαρης, “Στόχος όλων των stakeholders είναι να κάνουν πιο ασφαλίσιμο τον κίνδυνο. Ο μεσίτης που θα χρειαστεί να πάει 3 προσφορές σε έναν πελάτη θα χρειαστεί να πάει και 3 διαφορετικά χαρτιά αξιολόγησης των υποδομών.

Οπότε, ίσως θα βοηθούσε αν στο μέλλον οι ασφαλιστικές εταιρείες φρόντιζαν να υπάρχει μια πιο τυποποιημένη διαδικασία underwriting.”

Οι αυξήσεις των τιμών, οφείλονται στην αλλαγή της φύσης του κινδύνου και την επανατιμολόγησή του.
Δεν είναι μόνο οι άμεσες αυξήσεις στις τιμές των υπηρεσιών που διαμορφώνουν τον τομέα του cyber insurance. Οι απαλλαγές της ασφαλιστικής από τους καλυπτόμενους κινδύνους διαμορφώνονται σε υψηλότερα ποσά. Όπως μας λέει ο Νίκος Γεωργόπουλος, “Μια επίθεση είναι πιθανό να ενεργοποιήσει πολλες ασφαλιστικές καλύψεις ενός ασφαλιστηριου συμβολαίου.
Αν για παράδειγμα υπάρχει διαρροή δεδομένων, ενεργοποιούνται ασφαλιστικές καλύψεις που αφορούν την ευθύνη της εταιρίας για την ασφάλεια των δεδομένων που διατηρεί, αλλά και οι ασφαλιστικές καλύψεις που έχουν σχέση με απώλεια εσόδων λόγω διακοπής λειτουργιών του οργανισμού.”

Οι ειδικοί σε θέματα ασφάλειας δηλώνουν ιδιαίτερα ανήσυχοι για τα όσα μας επιφυλάσσει η νέα χρονιά. Σύμφωνα με έρευνα που έγινε για λογαριασμό της HP, οι επιθέσεις στην εφοδιαστική αλυσίδα είναι πιθανόν να είναι περισσότερες φέτος.

Άλλωστε, όπως είδαμε και το 2021, δύο από τα σημαντικότερα περιστατικά ransomware αφορούσαν στην εφοδιαστική αλυσίδα και μάλιστα ένα εξ αυτών στο πληροφοριακό σύστημα της Colonial Pipeline σχεδόν παρέλυσε ένα μεγάλο ποσοστό της τροφοδοσίας καυσίμων στην ανατολική ακτή των ΗΠΑ.

Αναζητώντας τις αιτίες του φαινομένου, οι συντάκτες της έρευνας, προβλέπουν ότι τα λογισμικά ανοιχτού κώδικα θα περιλαμβάνουν συχνότερα κακόβουλο κώδικα. Από τη μια ακούγεται λογικό μια εταιρεία που εμπορεύεται λογισμικό να θέλει να ευαισθητοποιήσει τους αγοραστές που επιλέγουν το λογισμικό ανοιχτού κώδικα.

Από την άλλη και δεδομένου ότι το λογισμικό ανοιχτού κώδικα επιβλέπεται από εκατομμύρια μάτια, είναι πολλοί αυτοί που ισχυρίζονται ότι είναι δυσκολότερο να υπεισέλθει σε αυτό κακόβουλος κώδικας, σχετικά με απροσεξίες που έχουμε συνηθίσει σε εμπορικά λογισμικά. Και ενώ θα μπορούσε να πει κάποιος ότι στο παραπάνω θέμα, τα συμπεράσματα της έρευνας είναι αμφιλεγόμενα, καμία αμφιβολία δε χωράει στο συμπέρασμα της σχετικά με τις επαναλαμβανόμενες επιθέσεις στους πιο ευάλωτους οργανισμούς.

Ενώ όμως η αύξηση των επιθέσεων με την πρώτη ματιά ακούγεται ως κάτι δυσάρεστο και πράγματι είναι, ανοίγει και ένα παράθυρο αισιοδοξίας για δύο λόγους. Ο ένας είναι ότι περισσότεροι οργανισμοί θα κινητοποιηθούν ώστε να προστατέψουν καλύτερα τις πληροφορικές τους υποδομές.

Παράλληλα και καθώς οι επιθέσεις θα αυξάνονται, περισσότεροι οργανισμοί θα επιλέγουν την αγορά ασφαλιστικών υπηρεσιών, το οποίο αν συμβεί είναι πολύ πιθανό να οδηγήσει σε μείωση της τιμής των παρεχόμενων υπηρεσιών. Το ίδιο έχει συμβεί στο παρελθόν και με την ασφάλιση άλλων κινδύνων, όπως τα οδικά ατυχήματα και οι ασφαλίσεις οικιών, οπότε είναι λογικό να περιμένουμε ότι θα συμβεί και σε αυτόν τον τομέα.

Ακόμα και αν κάναμε την υπόθεση ότι οι ασφαλιστικές εταιρείες αποζημίωσαν για το σύνολο λύτρων που πληρώθηκαν το 2021, το ποσό είναι ελάχιστο μπροστά στο ύψος των αποζημιώσεων που αφορούν φυσικές καταστροφές, οι οποίες για το 2020 έφτασαν τα 210 δισεκατομμύρια δολάρια, από 166 δισεκατομμύρια το 2019. Δεδομένου ότι οι φυσικές καταστροφές είναι περισσότερο απρόβλεπτες σε σχέση με μια κυβερνοεπίθεση, είναι αναμενόμενο ότι βραχυπρόθεσμα οι ασφαλιστικές εταιρείες θα μπορέσουν να σταθμίσουν καλύτερα τους κινδύνους και με τη βοήθεια των οργανισμών να διαμορφώσουν σε πιο ανεκτά επίπεδα τις τιμές των ασφαλίστρων.

Θα μπορούσε ενα περιστατικό παραβίασης ασφάλειας να ενεργοποιήσει και ασφαλιστήρια που αφορούν ευθύνες στελεχών
Υπάρχουν περιστατικά που η κακή διαχείρισή τους ενεργοποίησε και άλλες εποπτικές αρχές, όπως η Αμερικανική Επιτροπή Κεφαλαιαγοράς η οποία επέβαλε πρόστιμα σε στελέχη εισηγμένων εταιριών γιατί η μη ανακοίνωση των περιστατικών αυτών και η μη σωστή απεικόνιση του κόστους τους ή η παράλειψη αναφοράς του στις χρηματοοικονομικές καταστάσεις τους αλλοίωσαν τα οικονομικά αποτελέσματα της εταιρίας και έβλαψαν τους μετόχους της.

Επίσης, η πληρωμή λύτρων σε περιπτώσεις κυβερνοεκβιασμού μπορεί να επιφέρει πρόστιμα από τις αρχές ξεπλύματος μαύρου χρήματος.

Θεωρώντας τις παραβιάσεις πληροφοριακών συστημάτων σε ένα ιστορικό πλαίσιο, βλέπουμε ότι η απαίτηση λύτρων από κυβερνοεγκληματίες είναι ένα σχετικά φρέσκο δεδομένο στο οικοσύστημα του κυβερνοεγκλήματος. Στο παρελθόν, οι hackers αντιμετωπίζονταν συχνά και ως ήρωες ή ως διφορούμενες προσωπικότητες μια εκ των οποίων ήταν και αυτή του Ρομπέν των Δασών.

Δεν είναι λίγες οι κινηματογραφικές ταινίες που έχουν αναδείξει τους hackers για την ευφυΐα τους, ενώ πολύ περισσότερες είναι οι περιπτώσεις που hackers έχουν γίνει συνεργάτες των οργανισμών που έχουν παραβιάσει.

Όταν όμως ο παράγοντας του οικονομικού οφέλους γίνεται πρωταγωνιστής σε μια κυβερνοεπίθεση, είναι πιθανότερο το άτομο ή συνήθως η ομάδα που την υλοποίησε να χαρακτηριστούν ως εγκληματίες και με αυτή την εικόνα να αποτυπωθούν στο ευρύτερο κοινό. Θεωρούμε ότι σε αυτήν τη φάση βρισκόμαστε τώρα, καθώς στις επιθέσεις που έχουν γίνει γνωστές, δεν έχουν δημοσιευτεί στοιχεία που να δείχνουν ότι το κοινό καλό ήταν μια από τις αιτίες τους.

Στα μάτια του κοινού αλλά και των αρχών, οι ομάδες που κάνουν επιθέσεις τύπου ransomware εντάσσονται περισσότερο στην κατηγορία των σκληρών εγκληματιών, μια εικόνα που έχει ενισχυθεί από επιθέσεις που έγιναν ακόμα και σε πληροφοριακά συστήματα που είχαν άμεση σχέση με την ανθρώπινη ζωή, όπως σε νοσοκομεία και αεροδρόμια.

Δεδομένης της κατάστασης, θα μπορούσε ένας οργανισμός να εξετάσει το ενδεχόμενο, κάποιος εργαζόμενος σε υψηλά ή χαμηλά κλιμάκια της διοίκησης, ο οποίος ισχυρίζεται ότι έπεσε θύμα phishing, να θεωρηθεί ύποπτος ως συνένοχος σε μια επίθεση τύπου ransomware.

Σε αυτήν την περίπτωση, ο ύποπτος θα μπορούσε να θεωρηθεί συνένοχος μέχρι αποδείξεως του εναντίον. Προσωρινά, δεν έχουν αναφερθεί τέτοια περιστατικά για εργαζόμενους σε χαμηλές βαθμίδες του οργανισμού, αυτό όμως δε σημαίνει ότι δεν θα μπορούσε να συμβεί στο μέλλον, αν οι ζημιές γίνουν συχνότερες ή μεγαλύτερες για τους οργανισμούς.