Η ασφάλιση cyber insurance ως εργαλείο διαχείρισης κινδύνου για κάθε εταιρία

Νίκος Γεωργόπουλος
Cyber Privacy Risks Insurance Advisor
Cromar Coverholder at Lloyd’s
Email: Nikos.georgopoulos@cromar.gr
www.cyberinsurancequote.gr

H ασφάλιση Cyber Insurance αποτελεί ένα κρίσιμο κομμάτι της στρατηγικής για τη διαχείριση των κινδύνων, που πρέπει να χρησιμοποιεί κάθε εταιρεία για να διαχειριστεί τον υπολειπόμενο κίνδυνο (residual risk), που δεν μπορεί να μειώσει με τη χρήση διαδικασιών και πολιτικών διαχείρισης.

Λαμβάνοντας υπόψη ότι 100% ασφάλεια δεν υπάρχει, οι εταιρείες θα πρέπει να εξετάσουν τη δυνατότητα μεταφοράς του κινδύνου που απομένει σε ασφαλιστικά προϊόντα cyber insurance. Ενώ η ασφάλιση δεν μπορεί να εμποδίσει ένα περιστατικό παραβίασης ασφάλειας, μπορεί, εκτός από την κάλυψη των οικονομικών επιπτώσεων, να βοηθήσει στην καλύτερη υλοποίηση του πλάνου αντιμετώπισης περιστατικών (Incident Response Plan) παραβίασης συστημάτων και απώλειας προσωπικών δεδομένων παρέχοντας εξειδικευμένες ομάδες ειδικών με εμπειρία στη διαχείριση και τις απαραίτητες υποδομές όταν εμφανίζεται συμβάν, μειώνοντας τις επιπτώσεις της παραβίασης στους πελάτες και τη φήμη της εταιρείας.

Ας δούμε τι νέο φέρνει ο Γενικός Κανονισμός για την Προστασία των Δεδομένων και ποιοί παράγοντες θα βοηθήσουν την ανάπτυξη της Ευρωπαϊκής αγοράς ασφάλισης Cyber Insurance, η οποία εκτιμάται ότι θα φθάσει τα €900εκ το 2020 από €190εκ το 2016.

Ο Γενικός Κανονισμός για την προστασία των δεδομένων απαιτεί την λήψη τεχνικών και οργανωτικών μέτρων από κάθε εταιρία για την προστασία των δεδομένων που διαχειρίζεται και απαιτεί γνωστοποίηση των περιστατικών παραβίασης συστημάτων και απώλειας δεδομένων εντός 72ωρών από την ανακάλυψή τους στην αρμόδια αρχή.

Επίσης, προβλέπει πρόστιμα για τις εταιρείες που δεν κατάφεραν να δια- τηρήσουν την ασφάλεια των πληροφοριών που διαχειρίζονται, τα οποία μπορούν να φθάσουν έως το 4% του τζίρου τους ή 20 εκατ. ευρώ, όποιο από τα δύο είναι μεγαλύτερο. Η εφαρμογή των παραπάνω προστίμων θα ισχύει μετά τις 25 Μαΐου 2018. Ενδυναμώνει τα δικαιώματα του Ευρωπαίου πολίτη και του δίνει το δικαίωμα να ενημερώνεται από τις εταιρίες που συνεργάζεται αν υπήρξαν περιστατικά παραβίασης και την δυνατότητα διεκδίκησης  αποζημιώσεων από αυτές. Ορίζει την έννοια της λογοδοσίας ζητώντας από κάθε εταιρία να μπορεί να αποδείξει τα τεχνικά και οργανωτικά μέτρα που έχει λάβει για την σωστή διαχείριση του κινδύνου. Η λογοδοσία θα βοηθήσει τις εταιρίες να δημιουργήσουν τις κατάλληλες προϋποθέσεις συμμόρφωσης με τον Κανονισμό και θα τις καταστήσει ασφαλίσιμες.

Οι παράγοντες που θα βοηθήσουν στην ανάπτυξη της συγκεκριμένης αγοράς είναι:

• Η εφαρμογή του Κανονισμού ο οποίος δημιουργεί το νέο πλαίσιο διαχείρισης προσωπικών δεδομένων για όλες τις εταρίες που διατηρούν δεδομένα Ευρωπαϊων πολιτών, η υποχρέωση γνωστοποίησης και τα πρόστιμα που εισάγει
• Η ευαισθητοποίηση των πελατών και των εταιριών, ήδη ο κίνδυνος βρίσκεται στην 14^η θέση κατάταξης και αναμένεται να φθάσει στην 8^η θέση το 2018
• Η αύξηση του αριθμού των περιστατικών που θα γίνονται πλέον γνωστά λόγω της υποχρεωτικής γνωστοποίησης
• Η αύξηση του κόστους διαχείρισης των περιστατικών αυτών λόγω της εισαγωγής του Κανονισμού, σήμερα το κόστος είναι περίπου 35% μικρότερο από το αντίστοιχο στις Ηνωμένες Πολιτείες

Ο Κανονισμός θα αναγκάσει επιπλέον τις εταιρείες να συμμορφωθούν στα νέα δεδομένα και να προετοιμαστούν κατάλληλα επιλέγοντας προϊόντα και υπηρεσίες προστασίας των πληροφοριών που διαχειρίζονται που θα τις βοηθήσουν να αντιμετωπίσουν αποτελεσματικά μελλοντικά περιστατικά, δημιουργώντας τις κατάλληλες συνθήκες που θα εξασφαλίσουν την ασφαλισιμότητα των εταιρειών και την ανάπτυξη της αγοράς του cyber insurance.

Εκτός από την εφαρμογή του Κανονισμού και η ίδια η ασφαλιστική αγορά θα πρέπει να φροντίσει ώστε να γίνει κατανοητή η έννοια της ασφάλισης στις μικρομεσαίες επιχειρήσεις απλοποιώντας τόσο την γλώσσα τα ασφαλιστηρίων που προσφέρει όσο και τις διαδικασίες ανάληψης του κινδύνου.